Mål C-101/01


Brottmål
mot
Bodil Lindqvist


(begäran om förhandsavgörande från Göta hovrätt (Sverige))

«Direktiv 95/46/EG – Tillämpningsområde – Offentliggörande av personuppgifter på Internet – Platsen för offentliggörandet – Begreppet överföring av personuppgifter till tredje land – Yttrandefrihet – Huruvida ett större skydd för personuppgifter i nationell lagstiftning i en medlemsstat är förenligt med direktiv 95/46»

Förslag till avgörande av generaladvokat A. Tizzano föredraget den 19 september 2002
    
Domstolens dom av den 6 november 2003
    

Sammanfattning av domen

1.
Tillnärmning av lagstiftning – Direktiv 95/46 – Tillämpningsområde – Begreppet behandling av personuppgifter som helt eller delvis företas på automatisk väg – Omnämnandet på en webbsida av olika personer, vilka identifieras med namn eller på annat sätt, till exempel med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen – Omfattas – Undantag – Sådan verksamhet som endast kan bedrivas av staten eller statliga myndigheter och som inte kan bedrivas av enskilda personer – Verksamhet som utgör en del av enskildas privat- eller familjeliv – Behandling av personuppgifter som består i att de offentliggörs på Internet inom ramen för ideell eller religiös verksamhet – Omfattas inte

(Europaparlamentets och rådets direktiv 95/46, artikel 3.1 och 3.2 första och andra strecksatserna)

2.
Tillnärmning av lagstiftning – Direktiv 95/46 – Tillämpningsområde – Begreppet personuppgift om hälsa – Uppgift om att en person har skadat sin fot och är deltidssjukskriven – Omfattas

(Europaparlamentets och rådets direktiv 95/46, artikel 8.1)

3.
Tillnärmning av lagstiftning – Direktiv 95/46 – Överföring av personuppgifter till tredje land – Begrepp – Utläggande av uppgifter på en webbsida vilka blir åtkomliga för personer, även i tredje land, som har de tekniska möjligheterna att få tillgång till hemsidan – Omfattas inte

(Europaparlamentets och rådets direktiv 95/46, artikel 25)

4.
Tillnärmning av lagstiftning – Direktiv 95/46 – Iakttagande av de grundläggande rättigheterna – Yttrandefrihet – Nationella myndigheter som skall tillämpa de nationella bestämmelser genom vilka detta direktiv har införlivats är skyldiga att garantera en rättvis balans mellan de rättigheter och intressen som är i fråga

(Europaparlamentets och rådets direktiv 95/46)

5.
Tillnärmning av lagstiftning – Direktiv 95/46 – Nationell lagstiftning om skydd för personuppgifter – Nödvändig överensstämmelse med såväl direktivets bestämmelser som dess syfte – Möjlighet för medlemsstaten att utvidga räckvidden till att omfatta områden som inte ingår i direktivets tillämpningsområde – Gränser

(Europaparlamentets och rådets direktiv 95/46)

1.
Omnämnandet av olika personer – vilka identifieras med namn eller på annat sätt, till exempel med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen – på en webbsida utgör en ”behandling av personuppgifter som helt eller delvis företas på automatisk väg”, i den mening som avses i artikel 3.1 i direktiv 95/46 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Sådan behandling av personuppgifter omfattas inte av något av de undantag som nämns i punkt 2 i nämnda artikel.
Det första undantaget, som anges i första strecksatsen i artikel 3.2, avser nämligen sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och avser under alla omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område. Den verksamhet som nämns såsom exempel i denna bestämmelse är i samtliga fall sådan verksamhet som endast kan bedrivas av staten eller statliga myndigheter och som inte kan bedrivas av enskilda personer. Angivandet av denna verksamhet syftar till att definiera räckvidden av det där föreskrivna undantaget, varför detta undantag endast är tillämpligt på sådan verksamhet som uttryckligen nämns där eller som kan placeras i samma kategori. Ideell eller religiös verksamhet kan emellertid inte likställas med sådan verksamhet som nämns i denna bestämmelse och omfattas således inte av detta undantag. Det andra undantaget, som anges i andra strecksatsen i artikel 3.2, avser sådan verksamhet som utgör en del av enskildas privat- eller familjeliv, vilket uppenbart inte är fallet i fråga om sådan behandling av personuppgifter som består i att de offentliggörs på Internet för att dessa uppgifter skall bli tillgängliga för ett obestämt antal personer.

(se punkterna 27, 38, 43–48, samt punkterna 1 och 2 i domslutet)

2.
En uppgift om att en person har skadat sin fot och är deltidssjukskriven utgör en personuppgift om hälsa, i den mening som avses i artikel 8.1 i direktiv 95/46 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Med hänsyn till syftet med detta direktiv skall uttrycket ”uppgifter som rör hälsa”, vilket används i denna bestämmelse, nämligen ges en vid tolkning och anses omfatta uppgifter som rör alla aspekter, såväl fysiska som psykiska, av en persons hälsa.

(se punkterna 50 och 51, samt punkt 3 i domslutet)

3.
Det föreligger inte någon ”överföring av ... uppgifter till tredje land”, i den mening som avses i artikel 25 i direktiv 95/46 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, när en person som befinner sig i en medlemsstat lägger ut personuppgifter på en webbsida som är lagrad hos en fysisk eller juridisk person som hyser den webbplats där sidan kan läsas och som är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land.
Med hänsyn dels till det stadium på vilket Internets utveckling befann sig vid den tidpunkt då direktiv 95/46 utarbetades, dels till att det i kapitel IV i direktivet, i vilket artikel 25 ingår – som syftar till att säkerställa att medlemsstaterna har kontroll över överföringen av personuppgifter till tredje land och till att överföring av personuppgifter till ett tredje land skall förbjudas om inte det landet garanterar en adekvat skyddsnivå – ,inte anges några kriterier som är tillämpliga på Internetanvändning, kan det inte presumeras att gemenskapslagstiftaren hade för avsikt att med tanke på framtiden låta ett sådant utläggande av uppgifter på en webbsida omfattas av begreppet överföring av uppgifter till tredje land, även om dessa på detta sätt blir åtkomliga för sådana personer i tredje land som har de tekniska möjligheterna att få tillgång till hemsidan.

(se punkterna 63, 64, 68 och 71, samt punkt 4 i domslutet)

4.
Bestämmelserna i direktiv 95/46 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter utgör inte i sig en begränsning som står i strid med den allmänna principen om yttrandefrihet, eller andra fri- och rättigheter, som gäller inom Europeiska unionen och som har en motsvarighet i bland annat artikel 10 i Europakonventionen om skydd för de mänskliga rättigheterna. Det ankommer på de nationella myndigheter och domstolar som skall tillämpa de nationella bestämmelser genom vilka detta direktiv har införlivats att garantera en rättvis balans mellan de rättigheter och intressen som är i fråga, inklusive de grundläggande rättigheter som skyddas genom gemenskapens rättsordning.

(se punkt 90, samt punkt 5 i domslutet)

5.
De åtgärder som medlemsstaterna vidtar för att säkerställa skyddet av personuppgifter skall stå i överensstämmelse med såväl bestämmelserna i direktiv 95/46 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter som med dess målsättning att upprätthålla en balans mellan det fria flödet av personuppgifter och skyddet för privatlivet. Däremot hindrar ingenting att en medlemsstat utökar räckvidden av den nationella lagstiftning varigenom bestämmelserna i detta direktiv har införlivats till att omfatta områden som inte ingår i direktivets tillämpningsområde, såvida ingen annan gemenskapsrättslig bestämmelse utgör hinder för detta.

(se punkt 99, samt punkt 6 i domslutet)


DOMSTOLENS DOM
den 6 november 2003(1)


Direktiv 95/46/EG – Tillämpningsområde – Offentliggörande av personuppgifter på Internet – Platsen för offentliggörandet – Begreppet överföring av personuppgifter till tredje land – Yttrandefrihet – Huruvida ett mer långtgående skydd för personuppgifter i en medlemsstats lagstiftning är förenligt med direktiv 95/46

I mål C-101/01,

angående en begäran enligt artikel 234 EG, från Göta hovrätt (Sverige), att domstolen skall meddela ett förhandsavgörande i det vid den nationella domstolen anhängiga brottmålet mot

Bodil Lindqvist,


angående bland annat tolkningen av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter  (EGT L 281, s. 31),meddelar

DOMSTOLEN,



sammansatt av ordföranden på första avdelningen P. Jann, tillförordnad ordförande, avdelningsordförandena C.W.A. Timmermans, C. Gulmann, J.N Cunha Rodrigues och A. Rosas samt domarna D.A.O. Edward (referent), J .-P Puissochet, F. Macken och S. von Bahr,

generaladvokat: A. Tizzano,
justitiesekretarare: biträdande justitiesekreteraren H. von Holstein,

med beaktande av de skriftliga yttranden som har inkommit från:

Bodil Lindqvist, genom advokaten S. Larsson,

Sveriges regering, genom A. Kruse, i egenskap av ombud,

Nederländernas regering, genom H.G. Sevenster, i egenskap av ombud,

Förenade kungarikets regering, genom G. Amodeo, i egenskap av ombud, biträdd av J. Stratford, barrister,

Europeiska gemenskapernas kommission, genom L. Ström och X. Lewis, båda i egenskap av ombud,

efter att muntliga yttranden har avgivits vid förhandlingen den 30 april 2002 av: Bodil Lindqvist, företrädd av S. Larsson, Sveriges regering, företrädd av A. Kruse och B. Hernqvist, i egenskap av ombud, Nederländernas regering, företrädd av J. van Bakel, i egenskap av ombud, Förenade kungarikets regering, företrädd av J. Stratford, kommissionen, företrädd av L. Ström och M.C. Docksey, i egenskap av ombud, och Eftas övervakningsmyndighet, företrädd av D. Sif Tynes, i egenskap av ombud,

och efter att den 19 september 2002 ha hört generaladvokatens förslag till avgörande,

följande



Dom



1
Göta hovrätt har, genom beslut av den 23 februari 2001 som inkom till domstolen den 1 mars samma år, i enlighet med artikel 234 EG ställt sju frågor om tolkningen av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, s. 31).

2
Frågorna har uppkommit i ett brottmål vid den nämnda domstolen mot Bodil Lindqvist, som är anklagad för att ha överträtt den svenska lagstiftningen om skydd av personuppgifter genom att på sin webbplats på Internet ha offentliggjort personuppgifter beträffande ett visst antal personer som, i likhet med henne själv, arbetar ideellt i ett pastorat inom Svenska kyrkan.


Tillämpliga bestämmelser

De gemenskapsrättsliga bestämmelserna

3
Såsom följer av artikel 1.1 i direktiv 95/46 syftar direktivet i fråga till att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.

4
Artikel 3 i direktiv 95/46, som avser direktivets tillämpningsområde, har följande lydelse:

”1.     Detta direktiv gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.       Detta direktiv gäller inte för sådan behandling av personuppgifter

som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område,

av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans hushåll.”

5
I artikel 8 i direktiv 95/46, som har rubriken ”Behandlingen av särskilda kategorier av uppgifter”, föreskrivs följande:

”1.     Medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.

2.       Punkt 1 gäller inte om

a)
den registrerade har lämnat sitt uttryckliga samtycke till en sådan behandling, utom när det enligt medlemsstatens lagstiftning anges att förbudet i punkt 1 inte kan upphävas genom den registrerades samtycke,

eller

b)
behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda rättigheter som åligger den registeransvarige inom arbetsrätten, i den omfattning detta är tillåtet enligt en nationell lagstiftning som föreskriver lämpliga skyddsåtgärder,

eller

c)
behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke,

eller

d)
behandlingen utförs inom ramen för berättigad verksamhet hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut till tredje man utan den registrerades samtycke,

eller

e)
behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av den registrerade eller är nödvändi[g] för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.

3.       Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt.

4.       Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse får medlemsstaterna antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i punkt 2.

5.       Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet.

Medlemsstaterna får föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också skall behandlas under kontroll av en myndighet.

6.       De undantag från punkt 1 som anges i punkterna 4 och 5 skall anmälas till kommissionen.

7.       Medlemsstaterna skall bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas.”

6
I artikel 9 i direktiv 95/46, som har rubriken ”Behandling av personuppgifter och yttrandefriheten”, stadgas följande:

”Medlemsstaterna skall med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från bestämmelserna i detta kapitel, kapitel IV och kapitel VI endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten.”

7
I artikel 13 i direktiv 95/46, vilken har rubriken ”Undantag och begränsningar”, föreskrivs att medlemsstaterna får begränsa vissa skyldigheter som den registeransvarige har enligt direktivet, bland annat vad gäller information till de berörda personerna, i den mån en sådan begränsning är nödvändig med hänsyn till exempelvis statens säkerhet, försvaret, allmän säkerhet, ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos Europeiska unionen eller med hänsyn till undersökning av eller åtal för brott eller överträdelser av etiska regler som gäller för lagreglerade yrken.

8
Artikel 25 i direktiv 95/46, som ingår i kapitel IV med rubriken ”Överföring av personuppgifter till tredje land”, har följande lydelse:

”1.     Medlemsstaterna skall föreskriva att överföringen av personuppgifter som är under behandling eller som är avsedda att behandlas efter överföring till tredje land endast får ske om ifrågavarande tredje land – utan att detta påverkar tillämpningen av de nationella bestämmelser som antagits till följd av de andra bestämmelserna i detta direktiv – säkerställer en adekvat skyddsnivå.

2.       Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land liksom de regler för yrkesverksamhet och säkerhet som gäller där.

3.       Medlemsstaterna och kommissionen skall informera varandra när de anser att ett tredje land inte erbjuder en adekvat skyddsnivå enligt punkt 2.

4.       Om kommissionen i enlighet med ett sådant förfarande som beskrivs i artikel 31.2 finner att ett tredje land inte erbjuder en sådan adekvat skyddsnivå som beskrivs i punkt 2 i denna artikel, skall medlemsstaterna vidta de åtgärder som är nödvändiga för att hindra överföring av uppgifter av samma slag till ifrågavarande tredje land.

5.       Vid lämpligt tillfälle skall kommissionen inleda förhandlingar för att avhjälpa den situation som uppstått när kommissionen kommit till den slutsats som anges i punkt 4.

6.       Kommissionen kan, i enlighet med det i artikel 31.2 angivna förfarandet, konstatera att ett tredje land genom sin interna lagstiftning eller på grund av de internationella förpliktelser som – särskilt till följd av sådana förhandlingar som anges i punkt 5 och som gäller skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter – åligger landet har en skyddsnivå som är adekvat i den mening som avses i punkt 2 i denna artikel.

Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut.”

9
När direktiv 95/46 antogs gjorde Konungariket Sverige i fråga om artikel 9 i denna följande förklaring, som är inskriven i rådets protokoll (rådets dokument nr 4649/95 av den 2 februari 1995):

”Sverige anser att begreppet konstnärliga och litterära uttryck mer syftar på uttrycksmedlen än kommunikationens innehåll eller dess kvalitet.”

10
I artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, vilken undertecknades i Rom den 4 november 1950 (nedan kallad Europakonventionen) föreskrivs rätten till skydd för privat- och familjeliv. I artikel 10 i samma konvention återfinns bestämmelser om yttrandefriheten.

Den nationella lagstiftningen

11
Direktiv 95/46 införlivades med svensk rätt genom personuppgiftslagen,  SFS 1998:204 (nedan kallad PUL).


Målet vid den nationella domstolen och tolkningsfrågorna

12
Vid sidan av sin anställning som lokalvårdare arbetade Bodil Lindqvist som ledare för konfirmander inom Alseda pastorat (Sverige). Hon deltog i en datakurs. Inom ramen för denna kurs skulle hon bland annat skapa en hemsida på Internet. Mot slutet av år 1998 skapade Bodil Lindqvist hemma hos sig och på sin egen persondator webbsidor i syfte att göra det möjligt för församlingsmedlemmar som förberedde sig för konfirmationen att lätt få den information de behövde. På hennes begäran lade den webbansvarige för Svenska kyrkans webbplats på Internet ut en länk mellan dessa sidor och den nämnda webbplatsen.

13
De aktuella sidorna innehöll vissa uppgifter om Bodil Lindqvist och 18 av hennes arbetskamrater inom pastoratet, inklusive deras fullständiga namn eller i vissa fall bara förnamn. Därutöver beskrevs, i lätt skämtsamma ordalag, arbetskamratens arbetsuppgifter och fritidsvanor. I flera fall nämndes även deras familjeförhållanden, telefonnummer och andra uppgifter. Dessutom angav hon att en arbetskamrat hade skadat foten och var deltidssjukskriven.

14
Bodil Lindqvist hade varken informerat sina arbetskamrater om att dessa sidor existerade, inhämtat deras samtycke eller redovisat sitt handlingssätt för Datainspektionen. Hon tog bort de aktuella sidorna så fort hon fick reda på att vissa av hennes kolleger inte uppskattade dem.

15
Åklagaren yrkade ansvar enligt PUL mot Bodil Lindqvist under påstående att hon hade

behandlat personuppgifter, vilken behandling varit automatiserad, utan att dessförinnan göra skriftlig anmälan till Datainspektionen (36 § PUL),

behandlat känsliga personuppgifter, nämligen dem om en skadad fot och en deltidssjukskrivning, utan att detta varit tillåtet (13 § PUL), och

till tredje land fört över personuppgifter som varit under behandling utan att detta varit tillåtet (33 § PUL).

16
Bodil Lindqvist vitsordade de faktiska förhållandena men bestred ansvar. Hon dömdes av Eksjö tingsrätt till böter, men överklagade domen till den hänskjutande domstolen.

17
Böterna uppgick till 4 000 SEK, då beloppet 100 SEK, beräknat utifrån Bodil Lindqvists ekonomiska situation, multiplicerades med 40, vilket motsvarade brottets svårighetsgrad. Bodil Lindqvist förpliktades dessutom att betala 300 SEK till den svenska brottsofferfonden.

18
Göta hovrätt, som inte var säker på hur den på området tillämpliga gemenskapsrätten, bland annat direktiv 95/46, skulle tolkas, beslutade att vilandeförklara målet och ställa följande tolkningsfrågor till domstolen:

”1)
Innebär omnämnandet av en person – med namn eller med namn och telefonnummer – på en så kallad hemsida på Internet ett förfarande som faller under tillämpningsområdet för direktiv [95/46]? Utgör det en ‘behandling av personuppgifter som helt eller delvis företas på automatisk väg’, att på en egenhändigt konstruerad hemsida på Internet ange ett antal personer jämte utsagor och påståenden om dessa personers arbetsförhållanden och fritidsintressen med mera?

2)
Om svaret på föregående fråga är nej, kan förfarandet att på en hemsida på Internet upprätta särskilda sidor för ett drygt femtontal personer, med länkar mellan sidorna som möjliggör sökning på förnamn, anses utgöra en sådan ‘‘‘‘annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register’’’’ som avses i artikel 3 punkt 1?

Om svaret på någon av frågorna är ja, då har hovrätten även följande frågor.

3)
Kan förfarandet att lägga ut uppgifter av nu berört slag om arbetskamrater på en privat hemsida, som dock är åtkomlig för alla med kännedom om hemsidans adress, anses falla utanför ... tillämpningsområde[t för direktiv 95/46] på grund av något av undantagen i artikel 3, punkten 2?

4)
Är uppgift på en hemsida om att en namngiven arbetskamrat har skadat sin fot och är halvt sjukskriven en sådan personuppgift om hälsa som enligt artikel 8 punkt 1 inte får göras till föremål för behandling?

5)
Överföring av personuppgifter till tredje land skall enligt direktiv [95/46] vara förbjudet i vissa fall. Om en person i Sverige med hjälp av dator lägger ut personuppgifter på en hemsida som är lagrad på en server i Sverige – varvid personuppgifterna blir åtkomliga för medborgare i tredje land – innebär det en överföring av uppgifter till tredje land i den mening som avses i direktivet? Blir svaret detsamma även om, såvitt känt, inte någon från tredje land rent faktiskt har tagit del av uppgifterna eller om servern i fråga rent fysiskt befinner sig i ett tredje land?

6)
Kan direktivets föreskrifter, i ett fall som det förevarande, anses medföra en begränsning som står i strid med de allmänna principer om yttrandefrihet, eller andra fri- och rättigheter, som gäller inom EU och som har en motsvarighet i bland annat artikel 10 i Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna?

Hovrätten har slutligen följande fråga:

7)
Kan en medlemsstat, i de hänseenden som aktualiserats av de förutvarande frågorna, ha ett mera långtgående skydd för personuppgifter eller ett vidare tillämpningsområde än som följer av direktivet, även om inte något av de i artikel 13 angivna förhållandena föreligger?”


Den första frågan

19
Hovrätten har ställt den första frågan för att få klarhet i huruvida omnämnandet av olika personer – vilka identifieras med namn eller på annat sätt, till exempel med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen – på en webbsida utgör en ”behandling av personuppgifter som helt eller delvis företas på automatisk väg”, i den mening som avses i artikel 3.1 i direktiv 95/46.

Yttranden som har inkommit till domstolen

20
Enligt Bodil Lindqvists mening är det inte rimligt att bedöma enbart omnämnandet av en person eller en personuppgift i text på en webbsida som automatiserad behandling av uppgifter. Däremot kan omnämnandet av sådana uppgifter i ett nyckelord på en webbsidas ”metatagg”, som möjliggör indexering och gör att man kan finna denna sida genom en sökmotor, utgöra sådan behandling.

21
Den svenska regeringen har gjort gällande att begreppet ”behandling av personuppgifter som helt eller delvis företas på automatisk väg”, i artikel 3.1 i direktiv 95/46, innefattar all behandling som sker i datorformat, det vill säga i binär form. Detta innebär att så snart en personuppgift behandlas i en dator, antingen i till exempel ett ordbehandlingsprogram eller genom att den läggs ut på en webbsida, omfattas behandlingen av direktiv 95/46.

22
Den nederländska regeringen har gjort gällande att personuppgifter förs in på webbsidor med hjälp av en dator och en server, vilket utgör ett viktigt kännetecken för automatisering, varför dessa uppgifter måste anses vara föremål för automatiserad behandling.

23
Kommissionen har hävdat att direktiv 95/46 är tillämpligt på all sådan behandling av personuppgifter som avses i artikel 3 i detta direktiv, oavsett vilka tekniska hjälpmedel som används. Att lägga ut personuppgifter på Internet utgör följaktligen helt eller delvis automatiserad behandling, såvida det inte föreligger några tekniska begränsningar som innebär att behandlingen blir helt manuell. En webbsida ingår därför på grund av sin natur i tillämpningsområdet för direktiv 95/46.

Domstolens svar

24
Begreppet personuppgifter, som används i artikel 3.1 i direktiv 95/46, omfattar i enlighet med definitionen i artikel 2 a i direktivet i fråga ”varje upplysning som avser en identifierad eller identifierbar fysisk person”. Detta begrepp omfattar förvisso en persons namn tillsammans med dennes telefonnummer eller med uppgifter om vederbörandes arbetsförhållanden eller fritidsintressen.

25
Vad gäller begreppet ”behandling” av sådana uppgifter, vilket används i artikel  3.1 i direktiv 95/46, innefattar detta enligt definitionen i artikel 2 b i direktivet i fråga ”varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte”. I den sistnämnda bestämmelsen anges flera exempel på sådana åtgärder, bland annat utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter. Följaktligen skall åtgärden att på en webbsida lägga ut sådana personuppgifter anses utgöra sådan behandling.

26
Det skall även avgöras huruvida denna behandling ”helt eller delvis företas på automatisk väg”. I detta hänseende noterar domstolen att åtgärden att lägga ut uppgifter på en webbsida innefattar, enligt de tekniska dataprocesser som för närvarande tillämpas, överföring av denna sida till en server samt de åtgärder som är nödvändiga för att göra sidan i fråga tillgänglig för personer som har kopplat upp sig på Internet. Dessa transaktioner görs åtminstone delvis på automatisk väg.

27
Den första frågan skall således besvaras så, att omnämnandet av olika personer – vilka identifieras med namn eller på annat sätt, till exempel med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen – på en webbsida utgör en ”behandling av personuppgifter som helt eller delvis företas på automatisk väg”, i den mening som avses i artikel 3.1 i direktiv 95/46.


Den andra frågan

28
Eftersom den första frågan har besvarats jakande saknas det anledning att besvara den andra frågan, som endast har ställts för det fall den första frågan skulle besvaras nekande.


Den tredje frågan

29
Den nationella domstolen har ställt den tredje frågan för att få klarhet i huruvida en sådan behandling av personuppgifter som den som avses i den första frågan omfattas av något av de undantag som återfinns i artikel 3.2 i direktiv 95/46.

Yttranden som har inkommit till domstolen

30
Bodil Lindqvist anser att en privatperson, som med utnyttjande av sin yttrandefrihet upprättar webbsidor på Internet inom ramen för en verksamhet som är ideell eller av hobbykaraktär inte bedriver någon ekonomisk verksamhet och att gemenskapsrätten därför inte är tillämplig på honom eller henne. Om domstolen kommer till motsatt slut uppkommer enligt hennes mening frågan huruvida direktiv 95/46 är giltigt, eftersom gemenskapslagstiftaren i så fall har överskridit sina befogenheter enligt artikel 100a i EG-fördraget (nu artikel 95 EG i ändrad lydelse). Tillnärmningen av lagstiftning, vars ändamål är att den inre marknaden skall upprättas och fungera, kan inte utgöra rättslig grund för gemenskapsrättsliga bestämmelser som reglerar privatpersoners yttrandefrihet på Internet.

31
Den svenska regeringen har gjort gällande att den svenska lagstiftaren vid införlivandet av direktiv 95/46 med nationell rätt har utgått från att en privatpersons behandling av personuppgifter som innebär att uppgifterna förmedlas till ett obestämt antal personer, till exempel via Internet, inte kan kvalificeras som ”verksamhet av rent privat natur eller som har samband med hans hushåll” i den mening som avses i artikel 3.2 andra strecksatsen i direktiv 95/46. Däremot har denna regering inte uteslutit att det undantag som föreskrivs i första strecksatsen i samma punkt omfattar den situationen att en privatperson lägger ut personuppgifter på en webbsida när detta sker som led i en verksamhet som enbart är ett uttryck för yttrandefriheten och helt saknar anknytning till någon yrkesmässig eller kommersiell verksamhet.

32
Enligt den nederländska regeringen omfattas en sådan behandling på automatisk väg av uppgifter som den som är i fråga i målet vid den nationella domstolen inte av något av de undantag som avses i artikel 3.2 i direktiv 95/46. Vad närmare bestämt gäller det undantag som föreskrivs i andra strecksatsen i denna punkt har den nederländska regeringen noterat att den som skapar en webbsida bringar de uppgifter som läggs ut där till en i princip obestämd grupp personers kännedom.

33
Kommissionen har gjort gällande att en sådan webbsida som den som är i fråga i målet vid den nationella domstolen inte kan anses falla utanför tillämpningsområdet för direktiv 95/46 enligt artikel 3.2 i detta direktiv. Den utgör i stället, med hänsyn till syftet med den webbsida som är i fråga i målet vid den nationella domstolen, konstnärligt eller litterärt skapande i den mening som avses i artikel 9 i det nämnda direktivet.

34
Enligt kommissionens uppfattning kan artikel 3.2 första strecksatsen i direktiv 95/46 tolkas på två olika sätt. Den ena tolkningen är att denna bestämmelses räckvidd begränsas till de områden som nämns som exempel, det vill säga sådan verksamhet som väsentligen omfattas av vad man brukar kalla den andra och den tredje pelaren. Den andra tolkningen är att utesluta utövning av all verksamhet som inte omfattas av gemenskapsrätten från tillämpningsområdet för direktiv 95/46.

35
Kommissionen har hävdat att gemenskapsrätten inte endast omfattar sådan ekonomisk verksamhet som är knuten till de fyra grundläggande friheterna. Den har hänvisat till den rättsliga grunden för direktiv 95/46, till dess målsättning, till artikel 6 EU, till Europeiska unionens stadga om de grundläggande rättigheterna, som proklamerades i Nice den 18 december 2000 (EGT C 364, s. 1) och till Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter, och dragit slutsatsen att detta direktiv syftar till att reglera det fria flödet av personuppgifter vid utövning inte bara av ekonomisk verksamhet, utan även av samhällelig verksamhet inom ramen för den inre marknadens genomförande och funktion.

36
Den har tillagt att det skulle kunna medföra allvarliga avgränsningsproblem att generellt utesluta de webbsidor som inte innehåller några kommersiella inslag eller innefattar något tillhandahållande av tjänster från tillämpningsområdet för direktiv 95/46. Ett stort antal webbsidor som innehåller personuppgifter vilka är avsedda att utpeka vissa personer för särskilda syften skulle då kunna bli uteslutna från direktivets tillämpningsområde.

Domstolens svar

37
I artikel 3.2 i direktiv 95/46 återfinns två undantag från direktivets tillämpningsområde.

38
Det första undantaget avser sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och under alla omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område.

39
Då Bodil Lindqvists, i målet vid den nationella domstolen, aktuella verksamhet inte väsentligen är ekonomisk, utan ideell och religiös, finns det anledning att pröva huruvida denna verksamhet utgör sådan behandling av personuppgifter ”som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten”, i den mening som avses i artikel 3.2 första strecksatsen i direktiv 95/46.

40
Domstolen har i fråga om direktiv 95/46, som har utfärdats med stöd av artikel 100a i fördraget, redan fastställt att det för användning av denna rättsliga grund inte krävs att det föreligger något faktiskt samband med den fria rörligheten mellan medlemsstaterna i varje situation som avses med den rättsakt som har en sådan grund (se dom av den 20 maj 2003 i de förenade målen C-465/00, C-138/01 och C-139/01, Österreichischer Rundfunk m.fl., REG 2003, s. I-0000, punkt 41, och där angiven rättspraxis).

41
Motsatt tolkning skulle innebära en risk för att gränserna för det nämnda direktivets tillämpningsområde skulle bli synnerligen osäkra och vaga, vilket skulle motverka direktivets huvudsakliga syfte, vilket är tillnärmning av bestämmelser i medlemsstaternas lagar och andra författningar i syfte att undanröja de hinder för att den inre marknaden skall fungera som följer just av att det föreligger skillnader mellan de olika nationella lagstiftningarna (domen i de ovan nämnda förenade målen Österreichischer Rundfunk m.fl., punkt 42).

42
Under dessa omständigheter skulle det inte vara lämpligt att tolka uttrycket ”verksamhet som inte omfattas av gemenskapsrätten” så, att det har en sådan räckvidd att det från fall till fall måste kontrolleras huruvida den specifika verksamhet som är i fråga direkt påverkar den fria rörligheten mellan medlemsstaterna.

43
Den verksamhet som nämns såsom exempel i artikel 3.2 första strecksatsen i direktiv 95/46 (det vill säga sådan verksamhet som avses i avdelningarna V och VI i fördraget om Europeiska unionen och behandlingar som rör allmän säkerhet, försvar, statens säkerhet och verksamhet på straffrättens område) avser i samtliga fall sådan verksamhet som endast kan bedrivas av staten eller statliga myndigheter och som inte kan bedrivas av enskilda personer.

44
Domstolen finner således att de verksamheter som nämns som exempel i artikel 3.2 första strecksatsen i direktiv 95/46 är avsedda att definiera räckvidden av det där föreskrivna undantaget, varför detta undantag endast är tillämpligt på sådan verksamhet som uttryckligen nämns där eller som kan placeras i samma kategori ( ejusdem generis ).

45
Ideell eller religiös verksamhet, som den som Bodil Lindqvist utövar, kan emellertid inte anses utgöra sådan verksamhet som nämns i artikel 3.2 första strecksatsen i direktiv 95/46 och omfattas således inte av detta undantag.

46
Vad gäller det undantag som föreskrivs i artikel 3.2 andra strecksatsen i direktiv 95/46 nämns i tolfte skälet i direktivet i fråga, vilket skäl avser detta undantag, korrespondens eller förande av adressregister såsom exempel på en fysisk persons behandling av uppgifter uteslutande för personliga ändamål eller för hemmabruk.

47
Detta undantag skall således tolkas så, att det endast avser sådan verksamhet som utgör en del av enskildas privat- eller familjeliv, vilket uppenbart inte är fallet i fråga om sådan behandling av personuppgifter som består i att de offentliggörs på Internet och därmed blir åtkomliga för ett obestämt antal personer.

48
Den tredje frågan skall således besvaras så, att sådan behandling av personuppgifter som den som nämns i svaret på den första frågan inte omfattas av något av de undantag som nämns i artikel 3.2 i direktiv 95/46.


Den fjärde frågan

49
Den hänskjutande domstolen har ställt den fjärde frågan för att få klarhet i huruvida en uppgift om att en person har skadat sin fot och är deltidssjukskriven utgör en personuppgift om hälsa, i den mening som avses i artikel 8.1 i direktiv 95/46.

50
Med hänsyn till syftet med detta direktiv skall uttrycket ”uppgifter som rör hälsa”, vilket används i artikel 8.1 i direktivet i fråga, ges en vid tolkning och anses omfatta uppgifter som rör alla aspekter av en persons hälsa, såväl fysiska som psykiska sådana.

51
Den fjärde frågan skall således besvaras så, att en uppgift om att en person har skadat sin fot och är deltidssjukskriven utgör en personuppgift om hälsa, i den mening som avses i artikel 8.1 i direktiv 95/46.


Den femte frågan

52
Den hänskjutande domstolen har ställt den femte frågan för att få klarhet i huruvida det föreligger en ”överföring av ... uppgifter till tredje land” i den mening som avses i artikel 25 i direktiv 95/46 när en person som befinner sig i en medlemsstat lägger ut personuppgifter på en webbsida som är lagrad hos en fysisk eller juridisk person som hyser den webbplats där webbsidan kan läsas (nedan kallad webbhotelleverantören) och som är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land. Den hänskjutande domstolen önskar vidare få klarhet i huruvida svaret på denna fråga blir detsamma när det framgår att ingen från tredje land rent faktiskt har tagit del av dessa uppgifter eller att servern där sidan är lagrad rent fysiskt befinner sig i ett tredje land.

Yttranden som har inkommit till domstolen

53
Kommissionen och den svenska regeringen anser att det utgör en överföring av uppgifter till tredje land i den mening som avses i direktiv 95/46 att med hjälp av dator lägga ut personuppgifter på en webbsida och därmed göra personuppgifterna åtkomliga för personer i tredje land. Svaret blir detsamma även om ingen från något tredje land rent faktiskt har tagit del av de nämnda uppgifterna eller om servern där uppgifterna har lagrats rent fysiskt befinner sig i ett tredje land.

54
Den nederländska regeringen har erinrat om att begreppet överföring inte definieras i direktiv 95/46. Den anser dels att detta begrepp skall förstås så, att det avser en handling som innebär en avsiktlig överföring av personuppgifter från en medlemsstats territorium till ett tredje land, dels att ingen åtskillnad kan göras mellan de olika former i vilka uppgifterna görs åtkomliga för utomstående. Av detta har regeringen i fråga dragit slutsatsen att det inte kan anses utgöra en överföring till tredje land av personuppgifter i den mening som avses i artikel 25 i direktiv 95/46 att med hjälp av en dator lägga ut personuppgifter på en webbsida.

55
Förenade kungarikets regering har gjort gällande att artikel 25 i direktiv 95/46 avser överföring av uppgifter till tredje land och inte uppgifternas åtkomlighet från tredje land. Begreppet överföring förutsätter att en uppgift har överförts av en person som befinner sig på en bestämd plats till en person som befinner sig på en annan plats. Det är endast beträffande sådana överföringar som medlemsstaterna enligt artikel 25 i direktiv 95/46 är skyldiga att tillse att skyddsnivån för personuppgifter är adekvat i ett tredje land.

Domstolens svar

56
Varken i artikel 25 i direktiv 95/46 eller i någon annan bestämmelse i direktivet i fråga, särskilt inte i artikel 2 i detta, definieras begreppet överföring till tredje land.

57
För att avgöra huruvida det utgör en ”överföring” av personuppgifter till tredje land, i den mening som avses i artikel 25 i direktiv 95/46, att lägga ut personuppgifter på en webbsida redan av den anledningen att detta gör uppgifterna åtkomliga för personer som befinner sig i tredje land är det nödvändigt att beakta dels de sålunda vidtagna åtgärdernas tekniska natur, dels syftet med och systematiken i kapitel IV i det nämnda direktivet, där artikel 25 återfinns.

58
De uppgifter som finns på Internet kan nästan när som helst läsas av ett obestämt antal personer vilka befinner sig på en mängd olika ställen. Att dessa uppgifter är allmänt tillgängliga följer bland annat av det förhållandet att de tekniska hjälpmedel som används inom ramen för Internet är relativt enkla och blir billigare och billigare.

59
Förutsättningarna för att använda Internet, såsom de har kommit att gestalta sig för enskilda som Bodil Lindqvist under 1990-talet, innebär att den som upprättar en sida som skall läggas ut på Internet överför de uppgifter som denna sida består i till sin webbhotelleverantör. Denne förfogar över den IT-infrastruktur som krävs för lagring av dessa uppgifter och anslutning till Internet av den server som hyser webbplatsen. Detta möjliggör att dessa uppgifter senare kan överföras till alla som har kopplat upp sig på Internet och önskar att få del av dem. De datorer som utgör denna IT-infrastruktur kan ligga i ett eller flera andra länder än det där webbhotelleverantören är etablerad, och gör det till och med ofta, utan att denna leverantörs kunder känner till detta eller rimligen kan känna till det.

60
Av handlingarna i målet framgår att en Internetanvändare inte bara måste koppla upp sig på Internet för att få del av de uppgifter som fanns på de webbsidor där Bodil Lindqvist hade lagt ut uppgifter om sina arbetskamrater. För att kunna få del av dem måste han även personligen vidta de åtgärder som krävdes för att kunna läsa dessa sidor. Med andra ord innehöll Bodil Lindqvists webbsidor inte de tekniska mekanismer som skulle ha gjort det möjligt att automatiskt skicka dessa uppgifter till personer som inte avsiktligen hade försökt få tillgång till dessa sidor.

61
Härav följer att personuppgifter, som under sådana omständigheter som dem i målet vid den nationella domstolen kommer till en dator som tillhör en person som befinner sig i ett tredje land, från en person som har lagt upp dem på en webbplats, inte har överförts direkt mellan två personer, utan genom IT-infrastrukturen hos den webbhotelleverantör där sidan är lagrad.

62
Det är mot denna bakgrund som domstolen skall pröva huruvida gemenskapslagstiftaren hade avsikten att beträffande tillämpningen av kapitel IV i direktiv 95/46 låta begreppet ”[ö]verföring av ...uppgifter till tredje land”, i den mening som avses i artikel 25 i detta direktiv, omfatta sådana åtgärder som dem som Bodil Lindqvist har vidtagit. Det bör understrykas att den hänskjutande domstolens femte fråga endast avser dessa åtgärder, och inte de åtgärder som vidtas av webbhotelleverantören.

63
Genom kapitel IV i direktiv 95/46, vari artikel 25 ingår, införs en särreglering, som innehåller särskilda bestämmelser vilka syftar till att säkerställa att medlemsstaterna har kontroll över överföringen av personuppgifter till tredje land. Genom detta kapitel införs ett system som utgör ett komplement till det allmänna system som införts genom kapitel II i det nämnda direktivet, vilket kapitel avser frågan när personuppgifter får behandlas.

64
Syftet med kapitel IV anges i femtiosjätte till sextionde skälen i direktiv 95/46, vari bland annat anges att det skydd som genom detta direktiv tillförsäkras personer inom gemenskapen visserligen inte hindrar att personuppgifter överförs till sådana tredje länder som garanterar en adekvat skyddsnivå, men att skyddsnivåns adekvans skall bedömas med hänsyn till alla de omständigheter som har samband med en överföring eller en grupp av överföringar. Om ett tredje land inte garanterar en adekvat skyddsnivå skall överföring av personuppgifter till det landet förbjudas.

65
I artikel 25 i direktiv 95/46 uppställs en rad skyldigheter för medlemsstaterna och kommissionen vilka syftar till kontroll av överföringen av personuppgifter till tredje länder med beaktande av den skyddsnivå som sådana uppgifter ges i vart och ett av dessa länder.

66
I artikel 25.4 i direktiv 95/46 föreskrivs närmare bestämt att medlemsstaterna, när kommissionen finner att ett tredje land inte erbjuder en adekvat skyddsnivå, skall vidta de åtgärder som är nödvändiga för att hindra all överföring av personuppgifter till ifrågavarande tredje land.

67
Kapitel IV i direktiv 95/46 innehåller inga bestämmelser om Internetanvändning. I detta kapitel anges inte vilka kriterierna är för att avgöra huruvida man vid bedömningen av de åtgärder som vidtas av en mellanhand som tillhandahåller webbhotelltjänster skall grunda sig på den plats där webbhotelleverantören är etablerad, den ort där företaget har sitt säte eller den ort där de datorer befinner sig vilka utgör leverantörens IT-infrastruktur.

68
Med hänsyn dels till det stadium på vilket Internets utveckling befann sig när direktiv 95/46 utarbetades, dels till att det i kapitel IV i direktivet inte återfinns några kriterier som är tillämpliga på Internetanvändning, kan det inte presumeras att gemenskapslagstiftaren hade för avsikt att med tanke på framtiden låta utläggning av uppgifter på en webbsida av en person i Bodil Lindqvists situation omfattas av begreppet ”överföring av … uppgifter till tredje land”, även om dessa uppgifter härigenom blir åtkomliga för de personer i tredje land som har tekniska möjligheter att få tillgång till sidan.

69
Om artikel 25 i direktiv 95/46 tolkades på så sätt att det förelåg en ”överföring av ...uppgifter till tredje land” varje gång personuppgifter lades ut på en webbsida skulle denna överföring med nödvändighet vara en överföring till alla tredje länder där det fanns de tekniska medel som krävs för att få tillgång till Internet. Särregleringen i kapitel IV i det nämnda direktivet skulle då med nödvändighet, vad gäller åtgärder som vidtas på Internet, bli en generellt tillämplig ordning. Om kommissionen med tillämpning av artikel 25.4 i direktiv 95/46 konstaterade att det fanns ett enda tredje land som inte säkerställde en adekvat skyddsnivå skulle medlemsstaterna nämligen enligt en sådan tolkning vara skyldiga att hindra att personuppgifter över huvud taget lades ut på Internet.

70
Vid sådant förhållande skall artikel 25 i direktiv 95/46 tolkas så, att sådana åtgärder som dem som Bodil Lindqvist har vidtagit inte i sig utgör en ”överföring av ...uppgifter till tredje land”. Det är således inte nödvändigt att utreda huruvida en person från ett tredje land har haft tillgång till den berörda webbsidan eller huruvida webbhotelleverantörens server rent fysiskt befinner sig i ett tredje land.

71
Den femte frågan skall således besvaras så, att det inte föreligger någon ”överföring av ... uppgifter till tredje land” i den mening som avses i artikel 25 i direktiv 95/46 när en person som befinner sig i en medlemsstat lägger ut personuppgifter på en webbsida som är lagrad hos hans webbhotelleverantör, som är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land.


Den sjätte frågan

72
Den hänskjutande domstolen har ställt den sjätte frågan för att få klarhet i huruvida bestämmelserna i direktiv 95/46, i ett fall som det som är aktuellt i det mål som är anhängigt vid den, kan anses medföra en begränsning som står i strid med den allmänna principen om yttrandefrihet eller med andra fri- och rättigheter som gäller inom Europeiska unionen och som har en motsvarighet i bland annat den rättighet som föreskrivs i artikel 10 i Europakonventionen.

Yttranden som har inkommit till domstolen

73
Bodil Lindqvist har hänvisat bland annat till dom av den 6 mars 2001 i mål C‑274/99 P, Connolly mot kommissionen (REG 2001, s. I-1611), och gjort gällande att direktiv 95/46 och PUL strider mot den i gemenskapsrätten erkända allmänna principen om yttrandefrihet, i den del det i dem föreskrivs krav på föregående samtycke och på förhandsanmälan till en tillsynsmyndighet och en princip om förbud mot behandling av känsliga personuppgifter. Närmare bestämt har hon hävdat att definitionen av ”behandling av personuppgifter som helt eller delvis företas på automatisk väg” inte uppfyller förutsebarhetskriteriet eller precisionskriteriet.

74
Därutöver kan enligt Bodil Lindqvists mening själva omnämnandet av en fysisk person och dennes namn, telefonnummer och arbetsförhållanden samt lämnandet av sådana uppgifter som rör vederbörandes hälsa och fritidsintressen, som är allmänt tillgängliga, allmänt kända eller triviala inte anses utgöra en substantiell kränkning av rätten till skydd för privatlivet. Hon anser att de krav som uppställs i direktiv 95/46 i vart fall inte står i proportion till det eftersträvade syftet att skydda annans goda namn och rykte och privatliv.

75
Den svenska regeringen anser att det är tillåtet enligt direktiv 95/46 att göra en avvägning mellan de ifrågavarande intressena genom vilken yttrandefriheten och skyddet av privatlivet kan upprätthållas. Den har tillagt att bedömningen av om den inskränkning i yttrandefriheten som tillämpningen av bestämmelserna om skyddet för annans rättigheter kan innebära står i proportion till detta skydd endast kan göras av den nationella domstolen med beaktande av omständigheterna i det enskilda fallet.

76
Den nederländska regeringen har erinrat om att såväl yttrandefriheten som rätten till respekt för privatlivet ingår bland de allmänna rättsprinciper som domstolen skall tillse efterlevnaden av och att det inte i Europakonventionen görs någon rangordning mellan de olika grundläggande rättigheterna. Regeringen i fråga anser följaktligen att den nationella domstolen måste bemöda sig om att sammanjämka de olika aktuella grundläggande rättigheterna med varandra med beaktande av omständigheterna i det enskilda fallet.

77
Förenade kungarikets regering har noterat att dess förslag till svar på den femte frågan, för vilket domstolen har redogjort i punkt 55 i förevarande dom, till fullo är förenligt med de grundläggande rättigheterna och gör det möjligt att förhindra att yttrandefriheten åsidosätts på ett sätt som strider mot proportionalitetsprincipen. Regeringen i fråga har tillagt att det är svårt att motivera en tolkning som skulle innebära att offentliggörande av personuppgifter i en viss form, det vill säga på en webbsida, blir föremål för mycket strängare restriktioner än dem som gäller för offentliggörande som sker i annan form, exempelvis på papper.

78
Kommissionen har även hävdat att direktiv 95/46 inte medför någon inskränkning som strider mot den allmänna principen om yttrandefrihet eller mot andra rättigheter och friheter som är tillämpliga inom Europeiska unionen och som bland annat motsvarar den rättighet som föreskrivs i artikel 10 Europakonventionen.

Domstolens svar

79
Av skäl 7 i direktiv 95/46 följer att skillnaderna mellan de nationella lagar och andra författningar som är tillämpliga på behandling av personuppgifter kan inverka allvarligt på upprättandet av den inre marknaden och det sätt på vilket denna fungerar. Enligt skäl 3 i samma direktiv skall ändamålet för harmoniseringen av dessa nationella bestämmelser inte bara vara ett fritt flöde av dessa uppgifter mellan medlemsstaterna, utan även att skydda personers grundläggande rättigheter. Dessa målsättningar kan givetvis komma i konflikt med varandra.

80
Å ena sidan kommer den ekonomiska och sociala integration som är en följd av upprättandet av den inre marknaden och hur denna fungerar med nödvändighet att leda till en betydande ökning av flödet av personuppgifter mellan samtliga aktörer på de ekonomiska och samhälleliga områdena i medlemsstaterna, oavsett om det är fråga om företag eller medlemsstaternas myndigheter. De nämnda aktörerna behöver i viss mån ha tillgång till personuppgifter för att genomföra sina transaktioner eller för att utföra sina arbetsuppgifter inom det område utan inre gränser som den inre marknaden innebär.

81
Å andra sidan begär de personer som berörs av behandlingen av personuppgifter med rätta att dessa uppgifter skall skyddas effektivt.

82
De mekanismer som gör det möjligt att göra en avvägning mellan dessa olika rättigheter och intressen återfinns för det första i direktiv 95/46 självt, då det i direktivet föreskrivs regler som avgör i vilka situationer och i vilken utsträckning det är tillåtet att behandla personuppgifter och vilket skydd som skall föreskrivas, och har för det andra uppkommit genom att medlemsstaterna har antagit nationella bestämmelser varigenom detta direktiv har införlivats och genom de nationella myndigheternas eventuella tillämpning av dessa regler.

83
Vad beträffar direktiv 95/46 är bestämmelserna i detsamma med nödvändighet relativt allmänna, med hänsyn till att de skall tillämpas på ett stort antal mycket olikartade situationer. I motsats till vad Bodil Lindqvist har anfört är det således med rätta som detta direktiv innehåller regler som karaktäriseras av en viss flexibilitet och som det i direktivet i fråga i många fall överlåts till medlemsstaterna att fastställa detaljerna eller att välja bland olika alternativ.

84
Det är riktigt att medlemsstaterna i många avseenden har ett handlingsutrymme vid införlivandet av direktiv 95/46. Det finns dock ingenting som innebär att regleringen i detta direktiv kan anses brista i förutsebarhet eller att bestämmelserna som sådana kan anses strida mot de allmänna gemenskapsrättsliga principerna, och då bland annat de grundläggande rättigheter som skyddas genom gemenskapens rättsordning.

85
Det är således snarare på det stadium när de bestämmelser genom vilka  direktiv 95/46 har införlivats tillämpas i enskilda fall på det nationella planet som man måste nå fram till en korrekt jämvikt mellan de rättigheter och intressen som är i fråga.

86
I detta sammanhang har de grundläggande rättigheterna en särskild betydelse, såsom visas av målet vid den nationella domstolen, där det sammanfattningsvis måste göras en avvägning mellan å ena sidan Bodil Lindqvists yttrandefrihet i sitt arbete som handledare för konfirmander samt friheten att utöva verksamhet som bidrar till det religiösa livet, och å andra sidan skyddet av privatlivet för de personer om vilka Bodil Lindqvist har lagt ut uppgifter på sin webbplats.

87
Följaktligen ankommer det på myndigheterna och domstolarna i medlemsstaten inte bara att tolka sin nationella rätt på ett sätt som står i överensstämmelse med direktiv 95/46, utan även att se till att de inte grundar sig på en tolkning av detta direktiv som skulle stå i strid med de grundläggande rättigheter som skyddas genom gemenskapens rättsordning eller med andra allmänna gemenskapsrättsliga principer, såsom proportionalitetsprincipen.

88
Visserligen kräver skyddet för privatlivet att effektiva sanktionsåtgärder vidtas gentemot personer som behandlar personuppgifter på ett sätt som inte överensstämmer med direktiv 95/46, men sådana sanktionsåtgärder måste alltid stå i överensstämmelse med proportionalitetsprincipen. Detta gäller i än högre grad eftersom tillämpningsområdet för direktiv 95/46 är mycket vidsträckt och skyldigheterna för personer som behandlar personuppgifter är många och betydande.

89
I enlighet med proportionalitetsprincipen ankommer det på den hänskjutande domstolen att beakta alla omständigheterna i det mål som är anhängigt vid den, bland annat under hur lång tid överträdelsen av de regler genom vilka direktiv 95/46 har genomförts har pågått samt hur viktigt det är för de berörda att de uppgifter som har spritts skyddas.

90
Den sjätte frågan skall således besvaras så, att bestämmelserna i direktiv 95/46 inte i sig utgör en begränsning som står i strid med den allmänna principen om yttrandefrihet eller andra fri- och rättigheter som gäller inom Europeiska unionen och som har en motsvarighet i bland annat artikel 10 Europakonventionen. Det ankommer på de nationella myndigheter och domstolar som skall tillämpa de nationella bestämmelser genom vilka direktiv 95/46 har införlivats att se till att det uppnås en korrekt jämvikt mellan de rättigheter och intressen som är i fråga, inklusive de grundläggande rättigheter som skyddas genom gemenskapens rättsordning.


Den sjunde frågan

91
Den hänskjutande domstolen har ställt den sjunde frågan för att få klarhet i huruvida medlemsstaterna får föreskriva ett mer långtgående skydd för personuppgifter eller ett mer vidsträckt tillämpningsområde än vad som följer av direktiv 95/46.

Yttranden som har inkommit till domstolen

92
Den svenska regeringen har hävdat att det i direktiv 95/46 inte endast föreskrivs minimikrav på skydd av personuppgifter. Inom ramen för införlivande av detta direktiv är medlemsstaterna skyldiga att uppnå den skyddsnivå som föreskrivs i direktivet och får inte föreskriva ett mer långtgående eller ett svagare skydd. Det handlingsutrymme som medlemsstaterna vid det nämnda införlivandet har för att i sin nationella rätt ange de allmänna villkoren för att få behandla personuppgifter skall dock beaktas.

93
Den nederländska regeringen har gjort gällande att direktiv 95/46 inte utgör hinder för att medlemsstaterna föreskriver ett mer långtgående skydd på vissa områden. Exempelvis följer det av artiklarna 10, 11.1, 14 första stycket a, 17.3, 18.5 och 19.1 i det nämnda direktivet att medlemsstaterna kan föreskriva ett mer långtgående skydd. Därutöver är medlemsstaterna fria att tillämpa principerna i direktiv 95/46 även på verksamhet som inte ingår i direktivets tillämpningsområde.

94
Kommissionen har gjort gällande att direktiv 95/46 har artikel 100a i fördraget som grund och att en medlemsstat, som önskar bibehålla eller införa lagstiftning som avviker från ett sådant harmoniseringsdirektiv, är skyldig att i enlighet med artikel 95.4 EG eller artikel 95.5 EG anmäla detta till kommissionen. Kommissionen har följaktligen hävdat att en medlemsstat inte kan föreskriva ett mer långtgående skydd för personuppgifter eller ett mer vidsträckt tillämpningsområde än vad som följer av det nämnda direktivet.

Domstolens svar

95
Såsom följer av bland annat skäl 8 i direktiv 95/46 syftar direktivet i fråga till att göra skyddsnivån när det gäller personers fri- och rättigheter med avseende på behandlingen av personuppgifter likvärdig i alla medlemsstater. I skäl 10 tilläggs att tillnärmningen av de nationella lagstiftningar som är tillämpliga på området inte får medföra någon inskränkning i det skydd de ger, utan i stället skall syfta till att garantera en hög skyddsnivå inom gemenskapen.

96
Harmoniseringen av de nämnda nationella lagstiftningarna inskränker sig således inte till en minimiharmonisering, utan leder till en i princip fullständig harmonisering. Det är i detta perspektiv som man skall se direktiv 95/46, som syftar till att säkerställa det fria flödet av personuppgifter och att samtidigt garantera en hög skyddsnivå för rättigheter och intressen för de personer som dessa uppgifter avser.

97
Det är riktigt att medlemsstaterna i direktiv 95/46 tillerkänns ett handlingsutrymme på vissa områden och att de, enligt direktivet, får bibehålla eller införa särregleringar för specifika situationer. Ett stort antal av bestämmelserna i direktivet vittnar om detta. Sådana möjligheter skall dock utnyttjas på det sätt som föreskrivs i direktiv 95/46 och i enlighet med syftet med detta direktiv, nämligen att upprätthålla en jämvikt mellan det fria flödet av personuppgifter och skyddet för privatlivet.

98
Däremot finns det ingenting som hindrar att en medlemsstat utökar räckvidden av den nationella lagstiftning varigenom bestämmelserna i direktiv 95/46 har införlivats till att omfatta områden som inte ingår i direktivets tillämpningsområde, såvida ingen annan gemenskapsrättslig bestämmelse utgör hinder för detta.

99
Mot bakgrund av ovanstående skall den sjunde frågan besvaras så, att de åtgärder som medlemsstaterna vidtar för att säkerställa skyddet av personuppgifter skall stå i överensstämmelse med såväl bestämmelserna i direktiv 95/46 som med dess målsättning att upprätthålla en jämvikt mellan det fria flödet av personuppgifter och skyddet för privatlivet. Däremot är det ingenting som hindrar att en medlemsstat utökar räckvidden av den nationella lagstiftning varigenom bestämmelserna i direktiv 95/46 har införlivats till att omfatta områden som inte ingår i direktivets tillämpningsområde, såvida ingen annan gemenskapsrättslig bestämmelse utgör hinder för detta.


Rättegångskostnader

100
De kostnader som har förorsakats den svenska och den nederländska regeringen, Förenade kungarikets regering samt kommissionen och Eftas övervakningsmyndighet, vilka har inkommit med yttranden till domstolen, är inte ersättningsgilla. Eftersom förfarandet i förhållande till parterna i målet vid den nationella domstolen utgör ett led i beredningen av samma mål, ankommer det på den nationella domstolen att besluta om rättegångskostnaderna.

På dessa grunder beslutar

DOMSTOLEN

– angående de frågor som genom beslut av den 23 februari 2001 har ställts av Göta hovrätt – följande dom:

1)
Omnämnandet av olika personer – vilka identifieras med namn eller på annat sätt, till exempel med telefonnummer eller med uppgifter om arbetsförhållanden och fritidsintressen – på en webbsida utgör en ”behandling av personuppgifter som helt eller delvis företas på automatisk väg”, i den mening som avses i artikel 3.1 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

2)
Sådan behandling av personuppgifter omfattas inte av något av de undantag som nämns i artikel 3.2 i direktiv 95/46.

3)
En uppgift om att en person har skadat sin fot och är deltidssjukskriven utgör en personuppgift om hälsa, i den mening som avses i artikel 8.1 i direktiv 95/46.

4)
Det föreligger inte någon ”överföring av ... uppgifter till tredje land” i den mening som avses i artikel 25 i direktiv 95/46 när en person som befinner sig i en medlemsstat lägger ut personuppgifter på en webbsida som är lagrad hos en fysisk eller juridisk person som hyser den webbplats där sidan kan läsas och som är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land.

5)
Bestämmelserna i direktiv 95/46 utgör inte i sig en begränsning som står i strid med den allmänna principen om yttrandefrihet eller andra fri- och rättigheter som gäller inom Europeiska unionen och som har en motsvarighet i bland annat artikel 10 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, som undertecknades i Rom den 4 november 1950. Det ankommer på de nationella myndigheter och domstolar som skall tillämpa de nationella bestämmelser genom vilka direktiv 95/46 har införlivats att se till att det uppnås en korrekt jämvikt mellan de rättigheter och intressen som är i fråga, inklusive de grundläggande rättigheter som skyddas genom gemenskapens rättsordning.

6)
De åtgärder som medlemsstaterna vidtar för att säkerställa skyddet av personuppgifter skall stå i överensstämmelse med såväl bestämmelserna i direktiv 95/46 som med dess målsättning att upprätthålla en balans mellan det fria flödet av personuppgifter och skyddet för privatlivet. Däremot hindrar ingenting att en medlemsstat utökar räckvidden av den nationella lagstiftning varigenom bestämmelserna i direktiv 95/46 har införlivats till att omfatta områden som inte ingår i direktivets tillämpningsområde, såvida ingen annan gemenskapsrättslig bestämmelse utgör hinder för detta.

Jann

Timmermans

Gulmann

Cunha Rodrigues

Rosas

Edward

Puissochet

Macken

von Bahr

Avkunnad vid offentligt sammanträde i Luxemburg den 6 november 2003.

R. Grass

V. Skouris

Justitiesekreterare

Ordförande

1
Rättegångsspråk: svenska.