Preliminär utgåva
FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
MACIEJ SZPUNAR
föredraget den 4 september 2025(1)
Mål C‑312/24 [Darashev](i)
CL (anonymisering)
mot
Prokuratura na Republika Bulgaria
(begäran om förhandsavgörande från Sofiyski rayonen sad (Distriktsdomstolen i Sofia, Bulgarien))
” Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter på det straffrättsliga området – Direktiv (EU) 2016/680 – Behandling av uppgifter som samlats in om en polistjänsteman under en brottsutredning där denne var misstänkt – Lagring av uppgifter i personalakten – Förordning (EU) 2016/679 – Behandlingens laglighet – Behandling är nödvändig med hänsyn till iakttagandet av en lagstadgad skyldighet som den personuppgiftsansvarige omfattas av – Mål av allmänt intresse – Behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott – Rätt till radering (’rätten att bli bortglömd’) – Likabehandling i arbetslivet – Direktiv 2000/78/EG ”
I. Inledning
1. I likhet med alla andra arbetsgivare behandlar offentliga myndigheter sina anställdas personuppgifter. Vid sin myndighetsutövning kan det även hända att myndigheterna samlar in vissa uppgifter om sin personal i andra sammanhang än i samband med personaladministration, och i så fall uppkommer frågor om grunden för och ändamålen med behandlingen av uppgifterna.
2. Den hänskjutande domstolen vill därför få klarhet i huruvida det är tillåtet att behandla uppgifter som en offentlig myndighet har lagrat i en anställds personalakt när uppgifterna rör en brottsutredning i vilken den anställde har varit föremål för utredningsåtgärder i egenskap misstänkt. I förevarande fall samlades de berörda uppgifterna in av samma myndighet i dess egenskap av utredande myndighet och lagrades i personalakten, trots att brottsutredningen hade lagts ned och utan att den anställde formellt hade delgetts misstanke eller anklagats.
3. Den centrala frågan i förevarande mål rör sig någonstans mellan förordning (EU) 2016/679(2) (nedan kallad dataskyddsförordningen) och direktiv (EU) 2016/680(3) och syftar till att klargöra grunden och villkoren för att använda sig av rätten till radering av uppgifter som är föremål för lagring under sådana omständigheter.
II. Tillämpliga bestämmelser
A. Unionsrätt
1. Direktiv 2000/78/EU
4. Enligt artikel 1 i direktiv 2000/78/EG(4) är syftet med detta direktiv ”att fastställa en allmän ram för bekämpning av diskriminering i arbetslivet på grund av religion eller övertygelse, funktionshinder, ålder eller sexuell läggning, för att principen om likabehandling skall kunna genomföras i medlemsstaterna”.
5. Enligt artikel 2.1 i samma direktiv ”avses med principen om likabehandling att det inte får förekomma någon direkt eller indirekt diskriminering på någon av de grunder som anges i artikel 1” i direktivet.
2. Dataskyddsförordningen
6. Skälen 19, 39 och 41 i dataskyddsförordningen har följande lydelse:
”(19) … Vad gäller dessa behöriga myndigheters behandling av personuppgifter [i den mening som avses i direktiv 2016/680] för ändamål som omfattas av tillämpningsområdet för denna förordning, bör medlemsstaterna kunna bibehålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning. I sådana bestämmelser får det fastställas mer specifika krav för dessa behöriga myndigheters behandling av personuppgifter för dessa andra ändamål, med beaktande av respektive medlemsstats konstitutionella, organisatoriska och administrativa struktur. …
…
(39) … Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. … För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. …
…
(41) När det i denna förordning hänvisas till en rättslig grund eller lagstiftningsåtgärd, innebär detta inte nödvändigtvis en lagstiftningsakt antagen av ett parlament, utan att detta påverkar krav som uppställs i den konstitutionella ordningen i den berörda medlemsstaten. En sådan rättslig grund eller lagstiftningsåtgärd bör dock vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med rättspraxis vid [EU-domstolen] och Europeiska domstolen för de mänskliga rättigheterna [(nedan kallad Europadomstolen)].”
7. Artikel 2 i dataskyddsförordningen har rubriken ”Materiellt tillämpningsområde”. I artikel 2.1 föreskrivs att denna förordning ”ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register” och i artikel 2.2 d föreskrivs att denna förordning inte ska tillämpas på behandling av personuppgifter som ”behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten”.
8. I artikel 4 i dataskyddsförordningen, med rubriken ”Definitioner”, föreskrivs följande:
”I denna förordning avses med
1) personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person …, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, …,
2) behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning …,
…
6) register: en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,
7) personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter, …”
9. I artikel 6 i dataskyddsförordningen, med rubriken ”Laglig behandling av personuppgifter”, föreskrivs följande:
”1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
…
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
…
3. Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med
…
b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
Syftet med behandlingen ska fastställas i den rättsliga grunden … . Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning … Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
…”
10. I artikel 9 i dataskyddsförordningen föreskrivs följande:
”1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.
2. Punkt 1 ska inte tillämpas om något av följande gäller:
…”
11. I artikel 10 i dataskyddsförordningen föreskrivs följande:
”Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. …”
12. I artikel 17 i dataskyddsförordningen, med rubriken ”Rätt till radering (’rätten att bli bortglömd’)”, föreskrivs följande:
”1. Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:
a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.
…
d) Personuppgifterna har behandlats på olagligt sätt.
…
3. Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:
…
b) För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, …
…”
3. Direktiv 2016/680
13. I artikel 1.1 i direktiv 2016/680 föreskrivs följande:
”I detta direktiv fastställs bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.”
14. I artikel 3 i direktivet definieras begreppen personuppgifter och behandling på exakt samma sätt som i dataskyddsförordningen.
15. Enligt artikel 3.7 i nämnda direktiv avses med ”behörig myndighet”, bland annat varje offentlig myndighet som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten.
16. Artikel 9 i samma direktiv har rubriken ”Särskilda villkor för uppgiftsbehandling”. I artikel 9.1 föreskrivs följande:
”Personuppgifter som samlas in av behöriga myndigheter för de ändamål som anges i artikel 1.1. ska inte behandlas för andra ändamål än de som anges i artikel 1.1 såvida inte sådan behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt. När personuppgifter behandlas för andra ändamål ska [dataskyddsförordningen] tillämpas, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten.”
17. I artikel 16.2 i direktiv 2016/680 föreskrivs bland annat i vilka situationer medlemsstaterna ska ge den registrerade rätt att av den personuppgiftsansvarige få de personuppgifter som rör honom eller henne raderade.
B. Bulgarisk rätt
1. ZMVR
18. Artikel 29.1 och 29.2 i Zakon za Ministerstvo na vatreshnite raboti (lagen om inrikesministeriet),(5) i den lydelse som är tillämplig i det nationella målet (nedan kallad ZMVR), föreskrivs följande:
”1) Personuppgiftsansvarig är inrikesministern, som kan anförtro behandlingen av personuppgifter åt tjänstemän som denne utser.
2) Närmare bestämmelser om behandlingen av personuppgifter ska fastställas genom anvisningar från inrikesministern.”
19. I artikel 147 ZMVR föreskrivs följande:
”1) En personalakt ska upprättas och föras för varje anställd vid inrikesministeriet.
2) Villkoren för upprättande, hantering och lagring av personalakter samt hur de ska användas ska fastställas genom anvisningar från inrikesministern.”
2. Anvisningarna om personalakter
20. I artikel 3 i anvisning nr 8121z-532 av den 9 september 2014 om upprättande, förande, lagring och användning av personalakter över anställda vid inrikesministeriet, som utfärdats av inrikesministern(6) (nedan kallad anvisningarna om personalakter), föreskrivs följande:
”Personalakter ska upprättas och lagras av personalavdelningen vid de berörda strukturerna, numreras i stigande ordning, beskrivas i en tidning och lagras på platser (i register) som uppfyller kraven på lagring av material som innehåller säkerhetsklassade uppgifter.”
21. Enligt artikel 5 andra stycket i dessa anvisningar behandlas den information som lagras i personalakten bland annat för att inleda, ändra och avsluta en anställds anställningsförhållande eller tjänsteförhållande.
22. I artikel 6 i anvisningarna föreskrivs följande:
”1) I personalakterna sammanställs och lagras handlingar klassificerade i tre olika underavdelningar, med uppgifter och information om anställdas rekrytering, utnämning, ingående av anställningsavtal, ändrade arbetsuppgifter och avslutad tjänstgöring.
…
4) Den tredje underavdelningen innehåller handlingar som rör ändrade arbetsuppgifter (beslut, beslut om inledande och avslutande av tjänstgöringen, handlingar som rör disciplinära förfaranden …).”
III. Tvisten i det nationella målet, tolkningsfrågorna och förfarandet vid domstolen
23. Ministerstvo na vatreshnite raboti (inrikesministeriet) (nedan kallad ministeriet) är en förvaltningsmyndighet som ansvarar för upprätthållandet av den allmänna ordningen och som består av flera generaldirektorat (nedan kallade generaldirektoraten). Generaldirektoratet för inre säkerhet ansvarar för genomförandet av utredningar av anställda vid ministeriet som misstänks för någon typ av lagöverträdelse. Mellan åren 2012 och 2023 innehade CL olika befattningar som polistjänsteman vid generaldirektoratet för säkerhetspolisen och generaldirektoratet för den nationella polisen.
24. Den 1 mars 2016 inleddes en utredning mot en okänd gärningsman till följd av en stöld. Vid ett möte den 17 maj 2016, vid vilket CL deltog tillsammans med polistjänstemän vid den avdelning där han arbetade, greps CL inför sina kollegor och tvingades lämna ifrån sig sin polisbricka, sitt vapen och sin polislegitimation. Efter 24 timar försattes CL på fri fot. Han har därefter varken delgetts misstanke om eller anklagats för brott, men har varit föremål för flera utredningsåtgärder.
25. Under år 2016 vilandeförklarades förundersökningen mot CL på grund av att gärningsmannen inte kunde identifieras. Senare antogs ett beslut att avsluta förfarandet utan vidare åtgärder.
26. CL fortsatte att tjänstgöra som polis och deltog i uttagningsprov för befordran till andra befattningar inom ministeriet.
27. CL väckte senare talan vid Sofiyski rayonen sad (Distriktsdomstolen i Sofia, Bulgarien), den hänskjutande domstolen, mot Prokuratura na Republika Bulgaria (Republiken Bulgariens åklagarmyndighet) (nedan kallad åklagarmyndigheten). CL har yrkat att åklagarmyndigheten ska förpliktas att betala ersättning för den ideella skada som han lidit till följd av de åtgärder som vidtagits mot honom i samband med brottsutredningen och konsekvenserna av detta förfarande, bland annat den omständigheten att han inte blivit befordrad eller förflyttad till en annan tjänst på grund av sin ställning som misstänkt i samband med denna utredning. CL har dessutom begärt att hans namn ska raderas från den databas där han är registrerad som misstänkt.
28. Den hänskjutande domstolen har angett att ministeriet är arbetsgivare för alla personer som är anställda vid ministeriet. Varje generaldirektorat lagrar information om sin personal i en separat personalakt för varje anställd. Information som erhållits inom ramen för en utredning som genomförts av generaldirektoratet för inre säkerhet lagras också där. I det nationella målet konstaterades att ministeriet, i sin egenskap av arbetsgivare, hade lagrat uppgifter om att CL misstänktes och greps i samband med den aktuella utredningen. Den hänskjutande domstolen hyser emellertid tvivel om huruvida lagringen av uppgifter i personalakten är förenlig med dataskyddsförordningen och direktiv 2016/680 och huruvida den omständigheten att CL nekades befordran är förenlig med direktiv 2000/78.
29. Mot denna bakgrund beslutade Sofiyski rayonen sad (Distriktsdomstolen i Sofia) att begära ett förhandsavgörande från EU-domstolen avseende följande frågor:
”Ska artikel 2.1 i dataskyddsförordningen tolkas på så sätt att behandling av personuppgifter omfattar verksamhet som utförs inom en och samma organisationsstruktur, där vissa av direktoraten i organisationen fungerar som arbetsgivare, medan ett av de andra direktoraten agerar i egenskap av utredande myndighet i brottmålsprocesser mot anställda vid de andra direktoraten? Om denna fråga ska besvaras jakande:
1) Ska begreppet behandling av personuppgifter i artikel 4.2 i dataskyddsförordningen tolkas på så sätt att det omfattar en verksamhet inom ramen för vilken information avseende en konkret anställd förs till dennes personalakt, när arbetsgivaren, i sin egenskap av utredande myndighet, har erhållit informationen från ett av sina andra direktorat?
2) Ska begreppet register i artikel 4.6 i dataskyddsförordningen tolkas på så sätt att det omfattar den personalakt som förs över en tjänsteman eller anställd som arbetar vid en av arbetsgivarens direktorat, när informationen samlats in av ett annat av arbetsgivarens direktorat som agerar i egenskap av utredande myndighet?
3) Ska artikel 9.2 b i dataskyddsförordningen tolkas på så sätt att en organisatorisk enhet hos en arbetsgivare får samla in och lagra uppgifter om att den anställde var misstänkt/tilltalad/anklagad i en brottmålsprocess, när informationen samlats in av en annan organisatorisk enhet hos arbetsgivaren som agerar i egenskap av utredande myndighet?
4) Ska rätten att bli bortglömd enligt artikel 17.1 a i dataskyddsförordningen tolkas på så sätt att en arbetsgivare är skyldig att radera samtliga uppgifter från den anställdes personalakt som arbetsgivaren, genom ett annat av sina direktorat som agerar i egenskap av utredande myndighet i fråga om de egna anställda, har samlat in och lagrat om att den anställde:
– är misstänkt/tilltalad/anklagad för ett brott i en pågående brottmålsprocess, och
– var misstänkt/tilltalad/anklagad för ett brott, men där brottmålsprocessen har vilandeförklarats eller lagts ned?
5) Ska begreppet personuppgifter som har behandlats på ett olagligt sätt, i den mening som avses i artikel 17.1 d i dataskyddsförordningen, tolkas på så sätt att det omfattar uppgifter som arbetsgivaren har mottagit, samlat in och lagrat genom en av sina organisatoriska enheter som ansvarar för brottsutredningar mot anställda vid arbetsgivarens andra organisatoriska enheter, när dessa personuppgifter har lagrats i personalakten och rör den omständigheten att den anställde är misstänkt/tilltalad/anklagad för ett brott, närmare bestämt att den anställde
– är misstänkt/tilltalad/anklagad för ett brott i en pågående brottmålsprocess, och
– var misstänkt/tilltalad/anklagad för ett brott, men där brottmålsprocessen har vilandeförklarats eller lagts ned?
6) Ska begreppet personuppgifter. i den mening som avses i artikel 3.1 i [direktiv 2016/680], jämförd med artikel 52 i Europeiska unionens stadga om de grundläggande rättigheterna, [nedan kallad stadgan], tolkas på så sätt att detta begrepp avser uppgifter som arbetsgivaren har erhållit, samlat in och lagrat genom en av sina organisatoriska enheter som agerar i egenskap av utredande myndighet i en brottmålsprocess mot en av arbetsgivarens anställda som tjänstgör vid en annan av arbetsgivarens organisatoriska enheter?
7) Ska begreppet behandling, i den mening som avses i artikel 3.2 i [direktiv 2016/680], jämförd med artikel 52 i [stadgan], tolkas på så sätt att det omfattar en verksamhet som innebär att arbetsgivaren lagrar personuppgifter som rör en anställd i dennes personalakt, i en situation där arbetsgivaren erhållit, samlat in och lagrat uppgifterna genom en av sina organisatoriska enheter, som agerar i egenskap av utredande myndighet i en brottmålsprocess mot en av arbetsgivarens anställda som tjänstgör vid en annan av arbetsgivarens organisatoriska enhet?
8) Ska artikel 9.1 i [direktiv 2016/680], jämförd med artikel 52 i [stadgan], tolkas på så sätt att det är tillåtet för arbetsgivaren att samla in och lagra information om en anställd som är misstänkt/tilltalad/anklagad för brott, när denna information har samlats in av arbetsgivaren genom en annan av arbetsgivarens organisatoriska enheter som agerar i egenskap av utredande myndighet i en brottmålsprocess mot den anställde?
9) Ska artikel 16.2 i [direktiv 2016/680], jämförd med artikel 52 i [stadgan], tolkas på så sätt att arbetsgivaren är skyldig att radera samtliga uppgifter från den anställdes personalakt som arbetsgivaren har samlat in och lagrat genom en annan av arbetsgivarens organisatoriska enheter, som agerar i egenskap av utredande myndighet i en brottmålsprocess mot den anställde, och som rör den omständigheten att den anställde:
– är misstänkt/tilltalad/anklagad för ett brott i en pågående brottmålsprocess, och
– var misstänkt/tilltalad/anklagad för ett brott, men där brottmålsprocessen har vilandeförklarats eller lagts ned?
10) Ska artikel 1 i [direktiv 2000/78] tolkas på så sätt att en arbetsgivare, i en situation där en av dess organisatoriska enheter fattar beslut om utredningsåtgärder gentemot en anställd vid en annan organisatorisk enhet, inte får vägra att befordra vederbörande enbart av det skälet att den anställde
– är misstänkt/tilltalad/anklagad för ett brott i en pågående brottmålsprocess, och
– var misstänkt/tilltalad/anklagad för ett brott, men där brottmålsprocessen har vilandeförklarats eller lagts ned?”
30. Den bulgariska och den ungerska regeringen samt Europeiska kommissionen har inkommit med skriftliga yttranden. Den bulgariska regeringen och kommissionen deltog i den förhandling som hölls den 21 maj 2025.
IV. Bedömning
A. Huruvida tolkningsfrågorna kan tas upp till prövning
31. Den bulgariska regeringen har gjort gällande att det är uppenbart att tolkningsfrågorna i sin helhet inte kan tas upp till prövning, och det av följande skäl.
32. För det första har den bulgariska regeringen gjort gällande att yrkandet om ersättning för liden skada endast riktar sig mot åklagarmyndigheten, som är en del av den dömande makten, medan det endast är ministeriet, som är en del av den verkställande makten och som var CL:s arbetsgivare, som innehar de uppgifter som finns i hans personalakt. CL kan således varken begära att åklagarmyndigheten ska radera hans uppgifter eller hålla åklagarmyndigheten ansvarig för att ministeriet innehar dessa uppgifter eller klandra åklagarmyndigheten för att ha hindrat hans karriärutveckling.
33. För det andra har nämnda regering påpekat att den hänskjutande domstolen, för att kunna hålla åklagarmyndigheten ansvarig, i enlighet med den nationella lagstiftningen om statens skadeståndsansvar ska fastställa huruvida CL:s rättigheter som tilltalad har kränkts och huruvida han felaktigt har anklagats för ett brott. Det nationella målet avser emellertid varken tillämpningen av bestämmelserna i dataskyddsförordningen eller tillämpningen av den nationella lagstiftning genom vilken direktiven 2016/680 och 2000/78 har införlivats. En tolkning av dessa unionsrättsakter är således inte nödvändig för att avgöra det nationella målet.
34. Jag delar inte denna uppfattning.
35. Jag erinrar om att nationella domstolars tolkningsfrågor presumeras vara relevanta. Dessa frågor ställs mot bakgrund av den beskrivning av omständigheterna i målet och tillämplig lagstiftning som den nationella domstolen på eget ansvar har lämnat och vars riktighet det inte ankommer på EU-domstolen att pröva.(7)
36. I förevarande fall anser jag att denna presumtion inte kan ifrågasättas. Av beslutet om hänskjutande framgår nämligen att det nationella målet avser den ideella skada som CL har lidit, bland annat till följd av att han nekades befordran på grund av att han misstänktes för brott. CL har dessutom begärt att de uppgifter som ministeriet i samband med utredningen lagrade om honom i egenskap av misstänkt ska raderas. Ovanstående ligger till grund för den hänskjutande domstolens frågor om tolkningen av direktiv 2000/78, dataskyddsförordningen och direktiv 2016/680.(8)
37. Det är riktigt att den hänskjutande domstolen inte har förklarat huruvida de åtgärder som ministeriet har vidtagit till följd av brottsutredningen kan tillskrivas åklagarmyndigheten vid en sådan skadeståndstalan. Den hänskjutande domstolen har endast angett att enligt nationell rättspraxis riktas ett skadeståndsyrkande mot åklagarmyndigheten när ett sådant yrkande avser en brottsutredning. Frågan huruvida ministeriets påstått skadliga handlingar kan tillskrivas staten omfattas emellertid endast av nationell rätt. Detsamma gäller frågan om passiv legitimation i samband med en skadeståndstalan som grundas på statens ansvar för en brottsutredning. Den bulgariska regeringens argument grundar sig således på tolkningen och tillämpningen av nationell rätt. Det ankommer emellertid inte på EU-domstolen att uttala sig om tolkningen av nationella bestämmelser eller att bedöma huruvida en nationell domstols tolkning eller tillämpning av sådana bestämmelser är korrekt, eftersom det enbart är den domstolen som är behörig att göra en sådan tolkning.(9)
38. Jag föreslår därför att tolkningsfrågorna inte ska avvisas i sin helhet.
39. Däremot noterar jag att frågorna 3–5 och 8–10 delvis avser hypotetiska situationer som inte motsvarar de faktiska omständigheterna i målet, såsom dessa beskrivs i beslutet om hänskjutande, det vill säga att en misstänkt, anklagad eller tilltalad person är föremål för ett förfarande som pågår, vilandeförklarats eller lagts ned. Det framgår emellertid av beslutet om hänskjutande att brottsutredningen har lagts ned och att de uttagningsprov som CL deltog i ägde rum efter beslutet om att lägga ned utredningen. Det är dessutom utrett att CL endast misstänktes för brott.
40. Frågorna 3–5 och 8–10 kan således inte tas upp till sakprövning, eftersom de är hypotetiska och avser andra situationer än CL:s situation.
B. Prövning i sak
1. Inledande anmärkningar om tolkningsfrågornas räckvidd
41. Den hänskjutande domstolen har sammanlagt ställt elva frågor beträffande dataskyddsförordningen (den inledande frågan och frågorna 1–5), direktiv 2016/680 (frågorna 6–9) och direktiv 2000/78 (fråga 10).
42. Det framgår av förevarande begäran om förhandsavgörande att den hänskjutande domstolen vill få klarhet med stöd av vilken rättsakt – dataskyddsförordningen eller direktiv 2016/680 – en anställd, under sådana omständigheter som de som är aktuella i det nationella målet, kan grunda en begäran om att de uppgifter i den anställdes personalakt som identifierar honom eller henne som misstänkt i samband med en nedlagd brottsutredning ska raderas.
43. För det första är det av tydlighetsskäl nödvändigt att precisera den faktiska premiss som är föremål för de frågor som rör dataskyddsförordningen och direktiv 2016/680. Jag noterar att även om de flesta av dessa frågor(10) uttryckligen hänvisar till de uppgifter som är lagrade i den anställdes personalakt,(11) hänvisar vissa mer allmänt till arbetsgivarens lagring av uppgifter om en anställd som arbetar vid en av arbetsgivarens organisatoriska enheter, eftersom uppgifterna samlades in av den enhet som ansvarade för utredningen.
44. Mot bakgrund av den samlade motiveringen till beslutet om hänskjutande avser samtliga dessa frågor lagringen av uppgifter om den anställdes i hans personalakt. Även om lagring av uppgifter i ministeriets ”arkiv” eller ”databaser” också nämns i begäran om förhandsavgörande har detta inte vidareutvecklats, och i vart fall inte tagits upp i frågorna.
45. Min bedömning avser därför endast lagringen av uppgifter i personalakten.
46. För det andra, för att kunna ge ett användbart svar som gör det möjligt för den hänskjutande domstolen att fatta ett beslut om begäran om radering, anser jag att det är nödvändigt att omformulera flera frågor.(12) Av de skäl som jag redogör för nedan kommer jag att bedöma frågorna efter att ha omgrupperat dem på följande sätt:
– Den inledande frågan samt frågorna 1, 2 och 6–8, vilka i huvudsak syftar till att fastställa dataskyddsförordningens tillämpningsområde.
– Frågorna 3–5, vilka i huvudsak rör villkoren för behandlingens laglighet inom ramen för rätten till radering enligt dataskyddsförordningen.
– Fråga 9, som rör rätten till radering enligt direktiv 2016/680.
– Fråga 10, som rör direktiv 2000/78.
2. Den inledande frågan samt frågorna 1, 2 och 6–8
a) Omformuleringen av frågorna
47. Den hänskjutande domstolen har ställt den inledande frågan för att få klarhet i huruvida artikel 2.1 i dataskyddsförordningen ska tolkas så, att denna förordning är tillämplig på behandling av personuppgifter som utförs inom en och samma organisationsstruktur, där vissa av direktoraten i organisationen fungerar som arbetsgivare, medan endast ett av de andra direktoraten agerar i egenskap av utredande myndighet i brottmålsprocesser mot anställda vid de andra direktoraten.
48. Om så är fallet vill den hänskjutande domstolen, genom frågorna 1 och 2, få klarhet i huruvida artikel 4.2 och 4.6 i dataskyddsförordningen ska tolkas så, att en offentlig myndighets lagring av personuppgifter i den personalakt som förs över en anställd vid myndigheten, och som myndighet har erhållit genom den av sina enheter som agerar som utredande myndighet, utgör en ”behandling av personuppgifter” som ingår i ett ”register”.
49. Även om den hänskjutande domstolen genom frågorna 1 och 2 formellt vill få klarhet i hur dessa båda begrepp ska tolkas, anser jag att detta inte är det verkliga syftet med dessa frågor. Med hänvisning till den dubbla roll som en offentlig myndighet som ministeriet har vid behandling av uppgifter om sina anställda (insamling i egenskap av utredande myndighet och lagring i egenskap av arbetsgivare), ska nämnda frågor förstås som utgångspunkt för ett resonemang om fastställande av dataskyddsförordningens tillämpningsområde. Enligt min mening bekräftas denna tolkning av den omständigheten att den hänskjutande domstolen inte hyser några konkreta tvivel om tolkningen av dessa begrepp i motiveringen till samma frågor.
50. Fråga 8 utgör enligt min mening en del av samma resonemang och syftar i huvudsak till att få klarhet i huruvida artikel 9.1 i direktiv 2016/680(13) ska tolkas så, att den tillåter en myndighet att lagra uppgifter om huruvida en av dess tjänstemän är misstänkt i en brottsutredning, när denna myndighet har samlat in dessa uppgifter genom en av sina organisatoriska enheter som agerar i egenskap av utredande myndighet.
51. Det framgår av lydelsen av fråga 8, liksom av motiveringen till begäran om förhandsavgörande, att den hänskjutande domstolen närmare bestämt hyser tvivel om förhållandet mellan tillämpningsområdet för dataskyddsförordningen respektive direktiv 2016/680, när de uppgifter som lagras i personalakten har samlats in av en av arbetsgivarens organisatoriska enheter i egenskap av ”behörig myndighet”, i den mening som avses i artikel 3.7 i detta direktiv. Som jag kommer att förklara nedan fastställer artikel 9 i direktivet just sambandet mellan detta direktiv och dataskyddsförordningen vid ytterligare behandling av uppgifter som samlats in av de behöriga myndigheterna.
52. Frågorna 6 och 7 rör i huvudsak huruvida lagring av personuppgifter i den personalakt som förs över en anställd vid en offentlig myndighet, och som myndigheten erhållit genom den av sina organisatoriska enheter som agerar i egenskap av utredande myndighet, utgör ”behandling av personuppgifter”, i den mening som avses i artikel 3.1 och 3.2 i direktiv 2016/680.
53. Jag anser att dessa båda frågor, i likhet med frågorna 1 och 2, i själva verket inte ger upphov till någon fråga om tolkningen av begreppen behandling och personuppgifter, utan är rent instrumentella för att fastställa vilken unionsrättsakt – dataskyddsförordningen eller direktiv 2016/680 – som är tillämplig. Under alla omständigheter har dessa begrepp definierats exakt likadant som i direktiv 2016/680,(14) vilket innebär att de inte utgör en särskiljande faktor.
54. Av dessa skäl föreslår jag att den hänskjutande domstolen ska anses ha ställt den inledande frågan och frågorna 1, 2 och 6–8 tillsammans för att få klarhet i huruvida artikel 2.1 i dataskyddsförordningen och artikel 9.1 i direktiv 2016/680 ska tolkas så, att denna förordning är tillämplig på en offentlig myndighets lagring av uppgifter i en av sina anställdas personalakter om den anställdes ställning som misstänkt i samband med en brottsutredning, när uppgifterna har samlats in av en organisatorisk enhet inom denna myndighet som ett led i utövandet av dess uppdrag som behörig myndighet, i den mening som avses i detta direktiv.
b) Bedömning
55. För det första vill jag påpeka att artikel 2.1 i dataskyddsförordningen ger en vid definition av förordningens materiella tillämpningsområde, vilket omfattar all ”behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register”.(15)
56. I det nationella målet förefaller det inte ha bestritts att den information om ställningen som misstänkt som lagrats i CL:s personalakt utgör personuppgifter, i den mening som avses i artikel 4.1 i dataskyddsförordningen.
57. Dessutom utgör registrering och lagring av anställdas personuppgifter i deras personalakter utan tvekan en ”behandling”, i den mening som avses i artikel 4.2 i dataskyddsförordningen, och det förefaller inte råda något tvivel om att inrikesministeriet är personuppgiftsansvarig, i den mening som avses i artikel 4.7 i samma förordning.(16)
58. Vad gäller begreppet register är detta begrepp endast relevant om det inte sker någon behandling, åtminstone delvis, på automatisk väg.(17) I artikel 4.6 i dataskyddsförordningen definieras ”register” som ”en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier …”. Det anges inte närmare hur ett register ska struktureras eller utformas, och inte heller att uppgifterna ska finnas i elektroniska databaser eller i fysiska akter eller register.(18) En personalakt i vilken man på ett strukturerat sätt samlar in uppgifter om anställda omfattas således av begreppet register. Med förbehåll för den hänskjutande domstolens prövning förefaller detta vara fallet i förevarande mål.(19)
59. För det andra föreskrivs det i artikel 2.2 d i dataskyddsförordningen att denna förordning inte ska tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att bland annat förebygga, förhindra, utreda, avslöja eller lagföra brott. Som framgår av skäl 19 i dataskyddsförordningen, och artikel 1.1 i direktiv 2016/680, regleras en sådan behandling av direktiv 2016/680 i dess egenskap av lex specialis.(20)
60. För det tredje föreskrivs såväl i dataskyddsförordningen som i direktiv 2016/680 att principen om ”ändamålsbegränsning” ska tillämpas,(21) och att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas på ett sätt som står i strid med dessa ändamål. Denna princip är emellertid inte absolut.(22) I artikel 9.1 i detta direktiv föreskrivs nämligen att uppgifter får behandlas för andra ändamål än de ändamål som anges i artikel 1.1 i direktivet för vilka uppgifterna samlades in, och att dataskyddsförordningen är tillämplig på en sådan behandling,(23) förutsatt att behandlingen ”är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt”. Detta förbehåll innebär endast att frågan huruvida en behandling för andra ändamål är laglig ska bedömas mot bakgrund av dataskyddsförordningen.(24)
61. I förevarande fall råder det inget tvivel om att ministeriet, genom sitt direktorat med ansvar för utredningsåtgärder mot sina anställda, samlade in och behandlade uppgifterna om CL för de ändamål som anges i artikel 1.1 i direktiv 2016/680, i egenskap av behörig myndighet, i den mening som avses i artikel 3.7 i samma direktiv.
62. Vad gäller lagringen av dessa uppgifter i CL:s personalakt har den hänskjutande domstolen inte tillhandahållit några uppgifter om vilka ändamål som eftersträvas med lagringen. Enligt den bulgariska regeringen(25) lagras emellertid uppgifterna, med förbehåll för den hänskjutande domstolens prövning, inte för de ändamål som anges i artikel 1.1 i direktiv 2016/680. Under dessa omständigheter anser jag, i likhet med samtliga rättegångsdeltagare som har inkommit med skriftliga yttranden, att dataskyddsförordningen är tillämplig på behandlingen av sådana uppgifter i personalakten som de som är aktuella i det nationella målet.
63. Jag föreslår därför att domstolen ska besvara den inledande frågan på följande sätt: Artikel 2.1 i dataskyddsförordningen och artikel 9.1 i direktiv 2016/680 ska tolkas så, att denna förordning är tillämplig på en offentlig myndighets lagring i en av dess anställdas personalakter av uppgifter om dennes ställning som misstänkt i en brottsutredning, om uppgifterna har samlats in av en organisatorisk enhet inom denna myndighet vid utövandet av dess arbetsuppgifter som behörig myndighet, i den mening som avses i detta direktiv, under förutsättning att lagringen sker för andra ändamål än de som anges i artikel 1.1 i detta direktiv.
3. Frågorna 3–5
a) Omformulering av frågorna
64. Den hänskjutande domstolen har ställt fråga 3 för att få klarhet i huruvida artikel 9.2 b i dataskyddsförordningen ska tolkas så, att en organisatorisk enhet inom en offentlig myndighet får samla in och lagra uppgifter om att en av dess anställda har varit misstänkt i en brottmålsprocess, även om denna information samlades in av en annan enhet inom denna myndighet som agerade i egenskap av utredande myndighet.
65. Fråga 4 har ställts för att få klarhet i huruvida artikel 17.1 a i dataskyddsförordningen ska tolkas så, att en offentlig myndighet, i egenskap av arbetsgivare, ska radera alla uppgifter i en anställds personalakt som rör dennes ställning som misstänkt i en brottsutredning som har lagts ned, om uppgifterna samlades in av en enhet inom denna myndighet i dess egenskap av ansvarig myndighet för utredningen av den anställde.
66. Syftet med fråga 5 är vidare att få klarhet i huruvida artikel 17.1 d i förordningen ska tolkas så, att sådana uppgifter ”behandlas på ett olagligt sätt”.
67. Vad gäller den bestämmelse som avses i fråga 3 påpekar jag att artikel 9 i dataskyddsförordningen, såsom framgår av punkt 1 däri, reglerar behandling av vissa särskilda kategorier av uppgifter. Det finns inget i beslutet om hänskjutande som tyder på att de uppgifter från brottsutredningen som i förevarande fall lagrats i personalakten motsvarar någon av dessa kategorier. Artikel 9.2 b i denna förordning kan således inte utgöra en grund för lagring av de uppgifter som är aktuella i förevarande fall. Som jag kommer att förklara nedan måste grunden för behandlingens laglighet sökas i andra bestämmelser i förordningen, vilka inte nämns i de frågor som den hänskjutande domstolen har ställt.(26)
68. I artikel 17.1 a och d i dataskyddsförordningen, som är föremål för frågorna 4 och 5, anges skälen till radering av uppgifter som ”inte längre är nödvändiga för de ändamål för vilka de samlats in eller … behandlats” (led a) eller som ”har behandlats på ett olagligt sätt” (led d).
69. Av dessa två frågor och av motiveringen till begäran om förhandsavgörande framgår emellertid att den hänskjutande domstolen genom dessa frågor, på ett mer grundläggande plan, vill få klarhet i huruvida det är tillåtet att lagra de aktuella uppgifterna i personalakten för att kunna fatta ett beslut om begäran om radering.
70. Även om den hänskjutande domstolen inte har tillhandahållit några uppgifter om den eventuella laglighetsgrund som är relevant i förevarande fall eller om den tillämpliga nationella lagstiftningen, har såväl kommissionen som den bulgariska regeringen i sina skriftliga yttranden hänvisat till artikel 6.1 c i dataskyddsförordningen.
71. Enligt denna bestämmelse är en behandling laglig om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. I artikel 6.3 i dataskyddsförordningen preciseras bland annat att den medlemsstats rätt som den personuppgiftsansvarige omfattas av och som definierar grunden för behandlingen ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Samma laglighetsgrund återspeglas i artikel 17.3 b i denna förordning, som utesluter rätten till radering enligt artikel 17.1 i samma förordning om behandlingen av uppgifterna är nödvändig för att fullgöra en sådan rättslig förpliktelse.(27)
72. Den bulgariska regeringen har i detta avseende preciserat att behandlingen av personuppgifter i syfte att upprätta, föra, lagra och använda personalakterna för ministeriets anställda utförs på grundval av de anvisningar om personalakter som inrikesministern har utfärdat med stöd av artikel 147.2 ZMVR. I dessa anvisningar föreskrivs bland annat att alla uppgifter om ”ändrade arbetsuppgifter” för anställda, såsom uppgifter om disciplinära förfaranden, ska lagras.(28) Denna regering har angett att enligt de bestämmelser som är tillämpliga när det gäller disciplinärt ansvar för anställda vid ministeriet, ska en kopia av rapporten om resultatet av utredningen och frågan om den anställdes disciplinära ansvar föras in i personalakten vid varje händelse som rör ett brott inom ministeriet. Enligt nämnda regering följer av detta att lagringen av dessa uppgifter i personalakten motiveras av de särskilda arbetsuppgifter som polistjänstemän har, vilka har till uppgift att upprätthålla allmän ordning.
73. Mot bakgrund av de slutsatser som jag har dragit av de yttranden som inkommit till domstolen(29) föreslår jag att frågorna 3–5 ska omformuleras på så sätt att de syftar till att få klarhet i huruvida artikel 17.3 i dataskyddsförordningen, jämförd med artikel 6.1 c och artikel 6.3 i samma förordning, ska tolkas så, att lagring i en polistjänstemans personalakt av personuppgifter avseende en brottsutredning inom ramen för vilken denne har varit föremål för utredningsåtgärder i egenskap av misstänkt, men där utredningen har lagts ned, inte kan anses utgöra en laglig behandling i syfte att fullgöra en rättslig förpliktelse som enligt nationell rätt åvilar den offentliga myndigheten (tillika den anställdes arbetsgivare) i dess egenskap av personuppgiftsansvarig, enbart på grund av den typ av arbetsuppgifter som polistjänstemannen i fråga har att utföra.
b) Bedömning
74. Av de förklaringar som den bulgariska regeringen har lämnat förefaller den rättsliga grunden för lagringen av de aktuella uppgifterna följa av en jämförelse av flera bestämmelser i de ”anvisningar” som inrikesministern har utfärdat med stöd av ZMVR, i vilka det uttryckligen föreskrivs att regleringsbefogenheten ska delegeras till ministern.
75. I detta avseende uppkommer frågan huruvida grunden för behandlingen, i den mening som avses i artikel 6.3 i dataskyddsförordningen, kan fastställas genom en regleringsakt som antagits av en myndighet i en medlemsstat med stöd av ett lagstadgat bemyndigande som föreskrivs i en nationell lagstiftningsakt.
76. I första meningen i skäl 41 i dataskyddsförordningen anges att kravet på en rättslig grund inte nödvändigtvis innebär en lagstiftningsakt antagen av ett parlament, utan att detta påverkar krav som uppställs i den konstitutionella ordningen i den berörda medlemsstaten. Av detta följer att unionslagstiftaren inte har velat utesluta att en rättslig skyldighet avseende behandlingen i nationell rätt kan definieras genom en annan rättslig grund än en lag i formell mening, i enlighet med nationell konstitutionell rätt.
77. Jag påpekar vidare att medlemsstaterna, enligt skäl 19 i dataskyddsförordningen, bör ha ett visst handlingsutrymme när det gäller behandling av uppgifter som, såsom i förevarande fall, utförs av en behörig myndighet, i den mening som avses i direktiv 2016/680, men för ändamål som omfattas av dataskyddsförordningen. Medlemsstaterna bör därför kunna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av dataskyddsförordningen när det gäller behandling av sådana uppgifter ”med beaktande av respektive medlemsstats konstitutionella, organisatoriska och administrativa struktur”.
78. Dataskyddsförordningen utgör således inte hinder för att den rättsliga grunden för behandlingen fastställs i en regleringsakt som antas i enlighet med nationell konstitutionell rätt. Detta utrymme för skönsmässig bedömning kan emellertid inte tolkas så, att det gör det möjligt att godtyckligt använda så kallade öppnandeklausuler, såsom artikel 6.3 i dataskyddsförordningen, som gör det möjligt att i nationell rätt införa en rättslig skyldighet som grund för lagligheten av behandlingen av uppgifter.(30) Såsom anges i andra meningen i skäl 41 i förordningen – som upprepar rättspraxis angående artikel 52.1 i stadgan,(31) mot bakgrund av vilken artikel 6.3 i nämnda förordning ska tolkas(32) – bör den rättsliga grunden för behandlingen vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den.
79. I förevarande fall framgår det av handlingarna i målet att ministeriets anvisningar utfärdas som regleringsakter med stöd av det bemyndigande som föreskrivs i ZMVR och att de även offentliggörs i Darzhaven vestnik (Bulgariens officiella tidning). De utgör således inte rent interna instruktioner som uppenbarligen inte kan kvalificeras som ”lag” i materiell mening.(33)
80. De bestämmelser som den bulgariska regeringen har hänvisat till ger emellertid enligt min mening upphov till frågor om förutsägbarheten i behandlingen av uppgifter som härrör från en brottsutredning. Jag hyser närmare bestämt tvivel om huruvida ändamålen med behandlingen, vilka enligt artikel 6.3 i dataskyddsförordningen ska definieras genom den rättsliga grunden för behandlingen, är förutsägbara.
81. Enligt de uppgifter som tillhandahållits av den bulgariska regeringen återfinns bland dessa ändamål, som på ett uttömmande sätt räknas upp i artikel 5.2 i anvisningarna om personalakter, det ändamål som avser ”att …ändra … en anställds … tjänsteförhållande”, vilket motsvarar lagringen av de aktuella uppgifterna. Enligt artikel 6.4 i dessa anvisningar omfattar begreppet ”handlingar som rör ändrade arbetsuppgifter” bland annat ”handlingar som rör disciplinära förfaranden”.
82. Med beaktande av innehållet i de aktuella uppgifterna framgår att detta ändamål ska förstås så, att det, i mycket vid bemärkelse och trots sin lydelse, omfattar lagring av uppgifter om avsaknaden av sådana disciplinära förfaranden till följd av utredningen, såsom var fallet i förevarande mål, och som således inte avser någon ändring av den anställdes arbetsuppgifter.
83. Med förbehåll för alla andra bestämmelser som den hänskjutande domstolen anser vara relevanta, anser jag att en sådan mycket vid tillämpning av de berörda bestämmelserna i anvisningarna om personalakter inte uppfyller de krav som anges i punkt 77 i förevarande förslag till avgörande.
84. Om domstolen inte delar min uppfattning att den rättsliga grunden inte är förutsägbar, anser jag att denna rättsliga grund, som utgör grunden för lagringen av uppgifter, under alla omständigheter inte tycks uppfylla ett mål av allmänt intresse, i den mening som avses i artikel 6.3 i dataskyddsförordningen.
85. På denna punkt har den bulgariska regeringen vid förhandlingen gjort gällande att om en utredning inte leder till att ett disciplinärt förfarande inleds används uppgifterna i utredningen inte vid senare handläggning av den anställdes karriärutveckling. Det ligger emellertid i allmänhetens intresse att sådana uppgifter lagras, eftersom uppgifterna rör personer med ansvar för särskilda verksamheter som syftar till att säkerställa den allmänna ordningen och skydda befolkningen.
86. Det är visserligen vedertaget att en polistjänstemans arbetsuppgifter ställer högre krav på uppförande och beteende än vad som är fallet för andra tjänstemän eller anställda. Det är emellertid ostridigt att utredningen i förevarande fall lades ned på grund av brist på bevis och att det inte inleddes något disciplinärt förfarande mot den anställde i fråga. Jag kan därför inte se hur den uppgift att skydda den allmänna ordningen som åvilar den anställde kan motivera lagringen av de aktuella uppgifterna i hans personalakt.
87. Vid förhandlingen preciserade den bulgariska regeringen dessutom att lagringen av uppgifter från brottsutredningen är kopplad till lagringen av uppgifter om de anställdas disciplinära ansvar, eftersom resultatet av brottsutredningen är avgörande för huruvida ett sådant disciplinärt ansvar kan göras gällande. Av CL:s personalakt framgår således att den brottsutredning som han var föremål för i egenskap av misstänkt visade att det saknades bevis mot honom, vilket innebar att det aldrig inleddes något disciplinärt förfarande. Jag anser emellertid att detta är ett cirkelresonemang som likställer lagring av uppgifter med ett mål av allmänt intresse. Enligt en sådan logik skulle varje lagring av uppgifter i sig vara motiverad, vilket skulle göra kravet på ett mål av allmänt intresse överflödigt.
88. Att lagra vissa uppgifter för att visa att det inte föreligger någon anklagelse, fällande dom eller disciplinåtgärd – trots att detta även skulle kunna visas utan att någon information om brottsutredningen eller det disciplinära ansvaret förs in i personalakten – skulle, om detta argument dras till sin spets, dessutom innebära att det utan en sådan lagring inte skulle vara möjligt att bevisa att ovannämnda omständigheter inte föreligger.
89. I så fall rör det sig nästan om en skuldpresumtion, i strid med principen om oskuldspresumtion i artikel 48.1 i stadgan, som motsvarar(34) artikel 6.2 i Europakonventionen. Jag understryker att enligt Europadomstolens praxis upphör denna princip inte att gälla när det straffrättsliga förfarandet avslutas, utan har till syfte att förhindra att personer som har frikänts eller fått ett åtal mot sig nedlagt i ett senare skede behandlas av offentliga myndigheter som om de faktiskt var skyldiga till det brott som de anklagats för.(35) Denna tolkning talar således för ett återställande av den tidigare rådande situationen i personalakten om utredningen läggs ned.
90. Oberoende av det sistnämnda konstaterandet anser jag att domstolen inte förfogar över tillräckliga uppgifter för att slå fast att kraven i artikel 6.1 c och 6.3 i dataskyddsförordningen har iakttagits. Eftersom ingen av de andra laglighetsgrunder som avses i artikel 6.1 i förordningen är tillämplig i förevarande fall, vilket det ankommer på den hänskjutande domstolen att kontrollera,(36) kan lagringen av dessa uppgifter inte anses laglig och har den anställde således rätt att få uppgifterna raderade enligt artikel 17.1 d i nämnda förordning.
91. Under dessa omständigheter, och i avsaknad av andra uppgifter om det legitima mål som eftersträvas, är det inte möjligt att bedöma huruvida lagringstiden för uppgifterna i personalakterna är proportionerlig (enligt den information som den bulgariska regeringen lämnade vid förhandlingen är lagringstiden 100 år från det att den anställde föddes). Att utan åtskillnad tillämpa denna tidsfrist på alla uppgifter som rör brottsutredningen, oberoende av resultatet av utredningen och eventuella disciplinära åtgärder, kan emellertid inte heller motiveras av en enkel hänvisning till de arbetsuppgifter som polistjänstemän har.(37)
92. Sammanfattningsvis föreslår jag att frågorna 3–5 ska besvaras på följande sätt: Artikel 17.3 i dataskyddsförordningen, jämförd med artikel 6.1 c och 6.3 i samma förordning, ska tolkas så, att lagring i en polistjänstemans personalakt av personuppgifter från en brottsutredning i vilken denne har varit föremål för utredningsåtgärder i egenskap av misstänkt, men där utredningen har lagts ned, inte kan anses utgöra en laglig behandling i syfte att fullgöra en rättslig förpliktelse som enligt nationell rätt åvilar den offentliga myndigheten (tillika polistjänstemannens arbetsgivare) i dess egenskap av personuppgiftsansvarig, enbart på grund av den typ av arbetsuppgifter som polistjänstemannen i fråga har att utföra.
c) Ytterligare reflektioner
93. Jag vill kort lyfta fram artikel 10 i dataskyddsförordningen, som den hänskjutande domstolen inte har ställt någon fråga om men som den bulgariska regeringen tog ställning till vid förhandlingen som svar på en fråga från EU-domstolen.
94. I denna artikel fastställs särskilda villkor för behandling av uppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott. Det föreskrivs bland annat att behandlingen av sådana uppgifter enligt artikel 6.1 i dataskyddsförordningen endast får utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Såsom framgår av nämnda bestämmelses ordalydelse är bestämmelsen endast tillämplig på behandling som uppfyller någon av de laglighetsgrunder som anges i artikel 6.1 i dataskyddsförordningen. Den hänskjutande domstolen ska således endast beakta artikel 10 i denna förordning om den kommer fram till att lagringen av de aktuella uppgifterna är laglig.
95. Även om så vore fallet anser jag emellertid att de ytterligare krav som föreskrivs i artikel 10 i dataskyddsförordningen under alla omständigheter är uppfyllda i förevarande fall.
96. Jag erinrar till att börja med om att enligt rättspraxis är artikel 10 i dataskyddsförordningen tillämplig på uppgifter om brott oberoende av om det brott som personen åtalats för faktiskt har styrkts eller inte under domstolsförfarandet.(38)
97. I förevarande fall är det utrett att CL varken har åtalats eller anklagats, men att de uppgifter som lagrats i hans personalakt visar att han varit föremål för utredningsåtgärder i egenskap av misstänkt. Dessutom anser jag att sådana uppgifter utgör uppgifter ”om” brott.(39) Det mål som eftersträvas med artikel 10 i dataskyddsförordningen(40) talar nämligen för att denna bestämmelse ska tillämpas på personuppgifter som visar att misstankar om att ett brott har begåtts har gett upphov till utredningsåtgärder som den behöriga myndigheten har vidtagit mot den registrerade.(41) Även om utredningen inte leder till en fällande dom kan den omständigheten att sådana uppgifter ingår i personalakten få negativa konsekvenser längre fram.
98. När den registeransvarige är en offentlig myndighet utförs behandlingen av personuppgifter under alla omständigheter ”under kontroll av en offentlig myndighet”.(42) I förevarande fall behandlades uppgifterna om CL uteslutande inom ministeriets enheter i deras egenskap av personuppgiftsansvariga. Det är således inte nödvändigt att pröva huruvida det i nationell rätt, i den mening som avses i artikel 10 i dataskyddsförordningen, föreskrivs lämpliga skyddsåtgärder för de registrerades rättigheter och friheter.
4. Fråga 9
99. Den hänskjutande domstolen har ställt fråga 9 för att få klarhet i huruvida artikel 16.2 i direktiv 2016/680 ska tolkas så, att en offentlig myndighet, i dess egenskap av arbetsgivare, ska radera alla uppgifter från den anställdes personalakt som samlats in och lagrats genom den organisatoriska enhet som agerat i egenskap av utredande myndighet, om uppgifterna avser den omständigheten att den anställde har varit misstänkt i en brottsutredning som har lagts ned.
100. Eftersom det framgår av bedömningen ovan att dataskyddsförordningen är tillämplig på lagring av sådana uppgifter som de som är aktuella i det nationella målet och att direktiv 2016/680 inte är tillämpligt, saknas det anledning att besvara fråga 9.
5. Fråga 10
101. Den hänskjutande domstolen har ställt fråga 10 för att få klarhet i huruvida artikel 1 i direktiv 2000/78 ska tolkas så, att detta direktiv utgör hinder för att en offentlig myndighet, vars organisatoriska enhet vidtar utredningsåtgärder mot en anställd vid en annan enhet, i dess egenskap av arbetsgivare vägrar att befordra vederbörande enbart av det skälet att han eller hon har varit misstänkt i en brottsutredning som har lagts ned.
102. Vad inledningsvis gäller de faktiska förutsättningar som ligger till grund för denna fråga, angav den bulgariska regeringen vid förhandlingen, som svar på EU-domstolens frågor, att CL i motsats till vad han själv har gjort gällande befordrades till högre befattningar under perioden efter brottsutredningen. Presumtionen att frågorna är relevanta kan emellertid inte kullkastas endast genom att en av parterna i målet vid den nationella domstolen har bestritt vissa faktiska omständigheter som det inte ankommer på domstolen att pröva riktigheten av och som är avgörande för hur saken i den ovannämnda tvisten ska bestämmas.(43)
103. Jag erinrar vidare om att artikel 1 i direktiv 2000/78 innehåller en uttömmande uppräkning av de diskrimineringsgrunder som förbjuds i direktivet, nämligen religion eller övertygelse, funktionshinder, ålder eller sexuell läggning.(44) Att ha varit misstänkt inom ramen för en brottsutredning som lagts ned omfattas emellertid inte av någon av dessa grunder. Att vägra att befordra någon enbart på grund av denna omständighet omfattas således inte av tillämpningsområdet för detta direktiv.
104. Under dessa omständigheter saknar det betydelse att uppgifterna om ställningen som misstänkt har samlats in av en annan organisatorisk enhet hos arbetsgivaren än den där den anställde arbetade.
105. Direktiv 2000/78 är inte heller tillämpligt när en person nekats befordran på grund av att han eller hon är misstänkt just i sin egenskap av polistjänsteman. Det framgår nämligen av domstolens praxis att diskriminering på grund av själva anställningsförhållandet, i synnerhet på grund av tillhörigheten till en social grupp eller yrkesgrupp eller på arbetsplatsen, inte omfattas av detta direktiv.(45)
106. Jag föreslår därför att fråga 10 ska besvaras på följande sätt: Artikel 1 i direktiv 2000/78 ska tolkas så, att detta direktiv inte är tillämpligt när en anställd nekas befordran enbart av det skälet att vederbörande har varit misstänkt i en brottsutredning som har lagts ned.
V. Förslag till avgörande
107. Mot bakgrund av det ovan anförda föreslår jag att domstolen ska besvara de tolkningsfrågor som ställts av Sofiyski rayonen sad (Distriktsdomstolen i Sofia, Bulgarien) på följande sätt:
1) Artikel 2.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, och artikel 9.1 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF
ska tolkas så,
att denna förordning är tillämplig på en offentlig myndighets lagring i en av dess anställdas personalakter av uppgifter om dennes ställning som misstänkt i en brottsutredning, om uppgifterna har samlats in av en organisatorisk enhet inom denna myndighet vid utövandet av dess arbetsuppgifter som behörig myndighet, i den mening som avses i detta direktiv, under förutsättning att lagringen sker för andra ändamål än de som anges i artikel 1.1 i detta direktiv.
2) Artikel 17.3 i förordning 2016/679, jämförd med artikel 6.1 c och artikel 6.3 däri
ska tolkas så,
att lagring i en polistjänstemans personalakt av personuppgifter från en brottsutredning i vilken denne har varit föremål för utredningsåtgärder i egenskap av misstänkt, men där utredningen har lagts ned, inte kan anses utgöra en laglig behandling i syfte att fullgöra en rättslig förpliktelse som enligt nationell rätt åvilar den offentliga myndigheten (tillika polistjänstemannens arbetsgivare) i dess egenskap av personuppgiftsansvarig, enbart på grund av den typ av arbetsuppgifter som polistjänstemannen i fråga har att utföra.
3) Artikel 1 i rådets direktiv 2000/78/EG av den 27 november 2000 om inrättande av en allmän ram för likabehandling i arbetslivet
ska tolkas så,
att detta direktiv inte är tillämpligt när en anställd nekas befordran enbart av det skälet att vederbörande har varit misstänkt i en brottsutredning som har lagts ned.
1 Originalspråk: franska.
i Förevarande mål har getts ett fiktivt namn. Detta namn är inte någon av rättegångsdeltagarnas verkliga namn.
2 Europaparlamentets och rådets förordning av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2).
3 Europaparlamentets och rådets direktiv av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89).
4 Rådets direktiv av den 27 november 2000 om inrättande av en allmän ram för likabehandling i arbetslivet (EGT L 303, 2000, s. 16, och rättelse i EGT L 2, 2001, s. 42).
5 DV nr 53, av den 27 juni 2014.
6 DV nr 78 av den 19 september 2014, ändrad och kompletterad genom DV nr 27 av den 14 april 2015, ändrad och kompletterad genom DV nr 53 av den 25 juni 2021.
7 Se, för ett liknande resonemang, dom av den 8 maj 2025, Stadt Wuppertal (C‑130/24, EU:C:2025:340, punkt 42).
8 Även om brottsutredningen genomfördes år 2016, det vill säga innan dataskyddsförordningen och direktiv 2016/680 trädde i kraft, har CL begärt att de uppgifter om honom som fortfarande finns lagrade hos ministeriet ska raderas. Under dessa omständigheter hyser jag inga tvivel om att dataskyddsförordningen och direktiv 2016/680 är tillämpliga i tiden (ratione temporis) i det nationella målet.
9 Se, för ett liknande resonemang, dom av den 4 oktober 2024, Bezirkshauptmannschaft Landeck (Försök att bereda sig tillgång till personuppgifter som finns lagrade i en mobiltelefon) (C‑548/21, EU:C:2024:830, punkt 53).
10 Frågorna 1, 2, 4, 5, 7 och 9.
11 Frågorna 3, 6 och 8.
12 Vad gäller omformulering av frågor, se dom av den 3 juni 2025, Kinsa (C‑460/23, EU:C:2025:392, punkt 34 och där angiven rättspraxis).
13 Artikel 52 i stadgan, som också avses i denna fråga, reglerar begränsningar av de grundläggande rättigheterna och är enligt min mening inte relevant i samband med avgränsningen av tillämpningsområdet för dataskyddsförordningen respektive direktiv 2016/680.
14 Den tolkning av dessa begrepp som gjorts inom ramen för dataskyddsförordningen ska således tillämpas analogt på detta direktiv. Se, vad gäller begreppet behandling, dom av den 4 oktober 2024, Bezirkshauptmannschaft Landeck (Försök att bereda sig tillgång till personuppgifter som finns lagrade i en mobiltelefon) (C‑548/21, EU:C:2024:830, punkt 71).
15 Se, för ett liknande resonemang, dom av den 8 december 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Ändamålen med behandlingen av personuppgifter – Brottsutredning) (C‑180/21, EU:C:2022:967, punkt 37).
16 Se artikel 29.1 ZMVR. Beträffande utnämning av personuppgiftsansvariga enligt nationell rätt, se dom av den 11 januari 2024, État belge (Personuppgifter som behandlas av en officiell tidning) (C‑231/22, EU:C:2024:7, punkterna 29 och 30).
17 Artikel 2.1 i dataskyddsförordningen.
18 Se, för ett liknande resonemang, dom av den 7 mars 2024, Endemol Shine Finland (C‑740/22, EU:C:2024:216, punkterna 37 och 38).
19 Enligt de uppgifter som lämnats av den bulgariska regeringen ska personalakterna, enligt artikel 147.1 ZMVR och artiklarna 3 och 6 i anvisningarna om personalakter, numreras i stigande ordning och lagras i särskilda register, i vilka de lagrade personuppgifterna klassificeras i olika på förhand angivna underavdelningar.
20 Se, för ett liknande resonemang, dom av den 8 december 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Ändamålen med behandlingen av personuppgifter – Brottsutredning) (C‑180/21, EU:C:2022:967, punkt 74).
21 Artikel 5.1 b i dataskyddsförordningen och artikel 4.1 b i direktiv 2016/680.
22 Se, för ett liknande resonemang, förslag till avgörande av generaladvokaten Campos Sánchez-Bordona i målet Inspektor v Inspektorata kam Visshia sadeben savet (Ändamålen med behandlingen av personuppgifter – Brottsutredning) (C‑180/21, EU:C:2022:406, punkterna 37, 38, 70 och 71).
23 Såvitt det inte rör sig om en verksamhet som inte omfattas av unionsrätten, det vill säga som syftar till att upprätthålla nationell säkerhet eller en verksamhet som kan placeras i samma kategori, vilket inte tycks vara fallet här, se dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) (C‑439/19, EU:C:2021:504, punkterna 66–68).
24 Se, för ett liknande resonemang, förslag till avgörande av generaladvokaten Campos Sánchez-Bordona i målet Lietuvos Respublikos generalinė prokuratūra (C‑162/22, EU:C:2023:266, punkterna 83 och 84).
25 Se, närmare bestämt, punkt 72 i förevarande förslag till avgörande.
26 Denna omständighet hindrar inte EU-domstolen från att beakta dessa bestämmelser när den omformulerar frågorna, se dom av den 13 mars 2025, Alsen (C‑137/23, EU:C:2025:179, punkt 46 och där angiven rättspraxis).
27 Se, för ett liknande resonemang, förslag till avgörande av generaladvokaten Medina i målet Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:445, punkterna 62 och 63).
28 Artiklarna 5.2 och 6.4 i anvisningarna om personalakter.
29 Vad gäller beaktandet av sådana anvisningar, se dom av den 13 juli 2023, Ferrovienord (C‑363/21 och C‑364/21, EU:C:2023:563, punkt 58 och där angiven rättspraxis).
30 Se, för ett liknande resonemang, förslag till avgörande av generaladvokaten Pikamäe i målet SCHUFA Holding m.fl. (Scoring) (C‑634/21, EU:C:2023:220, punkt 69).
31 Se, bland annat, dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål) (C‑175/20, EU:C:2022:124, punkterna 54–56).
32 Se, för ett liknande resonemang, dom av den 1 augusti 2022, Vyriausioj tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punkterna 69 och 70).
33 Se, beträffande ställningen som lag, i den mening som avses i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, som undertecknades i Rom den 4 november 1950 (nedan kallad Europakonventionen), Europadomstolen, 25 mars 1983, Silver m.fl. mot Förenade kungariket, CE:ECHR:1983:0325JUD000594772, § 26 och §§ 86–88.
34 Se, bland annat, dom av den 2 februari 2021, Consob (C‑481/19, EU:C:2021:84, punkt 37).
35 För en översikt av denna rättspraxis, se Europadomstolen, stora avdelningen, 11 juni 2024, Nealon och Hallam mot Förenade kungariket, CE:ECHR:2024:0611JUD003248319, §§ 102–109 och §§ 122–125, och mer specifikt, i personalmål, Europadomstolen, 16 februari 2017, Yildiz mot Turkiet, CE:ECHR:2017:0124DEC006518210, §§ 30–34. I det målet hävdade en polistjänsteman att ett negativt tjänstgöringsbetyg innebar en presumtion om att han hade gjort sig skyldig till ett brott, trots att han hade frikänts. Europadomstolen fann emellertid att artikel 6.2 i Europakonventionen inte var tillämplig, eftersom polistjänstemannen inte hade visat att behandlingen av honom hade skapat en koppling mellan det straffrättsliga förfarandet och det efterföljande administrativa förfarandet.
36 Kommissionen har i sitt skriftliga yttrande hänvisat till artikel 6.1 e i dataskyddsförordningen, som avser behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Om det faktiskt rör sig om en laglighetsgrund som kan tillämpas på en offentlig myndighet omfattas denna även av kraven i artikel 6.3 i samma förordning. Frågan huruvida det föreligger ett mål av allmänt intresse kvarstår dock.
37 Jag erinrar om att enligt principen om uppgiftsminimering, som slås fast i artikel 5.1 c i dataskyddsförordningen, ska uppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Enligt skäl 39 i dataskyddsförordningen kräver denna princip att det tillses att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum.
38 Dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter) (C‑136/17, EU:C:2019:773, punkt 72).
39 Den bulgariska regeringen förklarade vid förhandlingen att ställningen som misstänkt inte medför någon särskild rättslig ställning i bulgarisk rätt. EU-domstolen har emellertid redan slagit fast att begreppet brott ska tolkas självständigt och enhetligt (dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkterna 80–85), vilket enligt min mening bör gälla för alla delar av tillämpningsområdet för artikel 10 i dataskyddsförordningen.
40 Det vill säga att säkerställa ett utökat skydd för behandling som, på grund av uppgifternas särskilda känslighet, kan utgöra ett särskilt allvarligt ingrepp i den registrerades privatliv eller yrkesliv, se dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) (C‑439/19, EU:C:2021:504, punkterna 74 och 75).
41 Denna ståndpunkt delas av Bäcker, M., ”Art. 10”, i Wolff, H.A., Brink, S., och av Ungern-Sternberg, A., BeckOK Datenschutzrecht, 51:a upplagan, C.H. Beck, 2024, punkt 3. Se även Georgieva, L., ”Article 10”, i Kuner, C., Bygrave, L.A., och Docksey, C., The EU General Data Protection Regulation (GDPR). A Commentary, Oxford University Press, 2020, s. 389.
42 Se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) (C‑439/19, EU:C:2021:504, punkt 101).
43 Dom av den 5 december 2006, Cipolla m.fl. (C‑94/04 och C‑202/04, EU:C:2006:758, punkt 26).
44 Se, för ett liknande resonemang, dom av den 17 juli 2008, Coleman (C‑303/06, EU:C:2008:415, punkterna 38 och 46), dom av den 7 juli 2011, Agafiţei m.fl. (C‑310/10, EU:C:2011:467, punkt 34), och dom av den 20 oktober 2022, Curtea de Apel Alba Iulia m.fl. (C‑301/21, EU:C:2022:811, punkterna 64 och 69 samt där angiven rättspraxis).
45 Dom av den 7 juli 2011, Agafiţei m.fl. (C‑310/10, EU:C:2011:467, punkterna 31–33), och dom av den 9 mars 2017, Milkova (C‑406/15, EU:C:2017:198, punkt 44) ), och dom av den 17 oktober 2024, Zetschek (C-349/23, EU:C:2024:889, punkt 25 och där angiven rättspraxis).