Sager ved EU-domstolen

Få overblikket over både verserende og afgjorte sager på databeskyttelsesområdet.

Retssager ved EU-Domstolen

I de senere år har EU-Domstolen truffet en lang række afgørelser, der præciserer eller angiver en ny fortolkning databeskyttelsesreglerne. Det vil også være EU-Domstolen, der foretager den endelige fortolkning af databeskyttelsesforordningen og retshåndhævelsesdirektivet.

EU-Domstolen, der således er centralt placeret i persondataretten, består af én dommer for hver af EU's medlemsstater. De 28 dommere udnævnes efter fælles overenskomst af medlemsstaternes regeringer for en periode på 6 år med mulighed for genudnævnelse. Herudover består domstolens medlemmer af 9 særlige generaladvokater, som de enkelte medlemsstater udnævner efter en fast rotationsordning. Generaladvokaterne har til opgave helt upartisk og uafhængigt at komme med forslag til, hvordan EU-Domstolen skal afgøre en sag. Dommerne er ikke bundet af generaladvokatens forslag, men da generaladvokaten har samme baggrund og stilles over for samme juridiske opgave som dommerne, er generaladvokatens forslag som regel et kvalificeret bud på den endelige afgørelse i sagen. De fleste gange følger EU-Domstolen således generaladvokatens forslag.

EU-Domstolen dømmer i flere forskellige typer af sager. Hvis EU-Kommissionen f.eks. vurderer, at en medlemsstat bryder EU-retten, kan EU-Kommissionen indbringe staten for EU-Domstolen og starte en såkaldt traktatkrænkelsessag. En anden type sag er, når medlemsstaternes domstole indbringer såkaldte præjudicielle spørgsmål for EU-Domstolen, hvis de er i tvivl om, hvordan en EU-regel skal fortolkes i en konkret sammenhæng, eller hvorvidt den overhovedet er gyldig. Den nationale sag vil i så fald afvente, at EU-Domstolen kommer med sit svar. Nationale domstole er efterfølgende forpligtet til at tage højde for EU-Domstolens præjudicielle afgørelse i lignende sager. Herudover kan EU-Domstolen fastslå, at en EU-regel skal annulleres, hvis den er i strid med traktaten eller andre EU-regler. Denne type af sager kaldes annullationssøgsmål.

Datatilsynet vedligeholder løbende de to oversigter over henholdsvis verserende og afgjorte sager ved EU-Domstolen. Oversigterne indeholder en kort beskrivelse af, hvad de enkelte sager omhandler.

Oversigt

Verserende sager

Nedenfor finder du en oversigt over de sager, der på databeskyttelsesområdet verserer ved EU-Domstolen, samt en kort beskrivelse af hvad de enkelte sager handler om.

Oversigten er senest opdateret d. 15. juni 2022.

Oversigt

Afgjorte sager

Nedenfor finder du en oversigt over de sager, der på databeskyttelsesområdet er afgjort ved EU-Domstolen fra og med 2019, samt en kort beskrivelse af hvad de enkelte sager handler om.

Oversigten er senest opdateret d. 15. juni 2022.

Sagsøgere i hovedsagen:

Ligue des droits humains

Sagsøgte i hovedsagen:

Conseil des ministres

Faktum i hovedsagen:

Sagens faktum er endnu ikke offentliggjort.

De præjudicielle spørgsmål:

  • Skal artikel 23 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) 1 , sammenholdt med denne forordnings artikel 2, stk. 2, litra d), fortolkes således, at den finder anvendelse på en national lovgivning såsom lov af 25. december 2016 om behandling af passageroplysninger, som gennemfører Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet 2 samt Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer 3 og Europa-Parlamentets og Rådets direktiv 2010/65/EU af 20. oktober 2010 om meldeformaliteter for skibe, der ankommer til eller afgår fra havne i medlemsstaterne, og om ophævelse af direktiv 2002/6/EF 4 ?
  • Er bilag I til direktiv 2016/681 (EU) foreneligt med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som de deri opregnede oplysninger er meget omfattende – bl.a. hvad angår de oplysninger, som er omhandlet i punkt 18 i bilag I til direktiv 2016/681, og som er mere vidtrækkende end de oplysninger, der er omhandlet i artikel 3, stk. 2, i direktiv 2004/82 – og for så vidt som de samlet set kan afsløre følsomme oplysninger og dermed overskride grænserne for det »strengt nødvendige«?
  • Er punkt 12 og 18 i bilag I til direktiv (EU) 2016/681 forenelige med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som de deri omhandlede oplysninger henset til udtrykket »herunder« er angivet illustrativt og ikke udtømmende, hvilket indebærer, at kravet om, at regler, der gør indgreb i retten til respekt for privatlivet og i retten til beskyttelse af personoplysninger, skal være præcise og klare, ikke er opfyldt?
  • Er artikel 3, nr. 4), i direktiv (EU) 2016/681 og bilag I til dette direktiv forenelige med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som det system for generel indsamling, overførsel og behandling af passageroplysninger, der er indført ved disse bestemmelser, omfatter enhver person, der anvender det pågældende transportmiddel, uanset om der foreligger noget objektivt forhold, som gør det muligt at antage, at denne person kan frembyde en risiko for den offentlige sikkerhed?
  • Skal artikel 6 i direktiv (EU) 2016/681, sammenholdt med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, fortolkes således, at den er til hinder for en national lovgivning såsom den anfægtede lov, hvorefter et af formålene med behandlingen af PNR-oplysninger kan være efterretnings- og sikkerhedstjenesternes overvågning af de omfattede aktiviteter, og dette formål dermed indgår i forebyggelse, opdagelse, efterforskning og retsforfølgning af terrorhandlinger og grov kriminalitet?
  • Er artikel 6 i direktiv (EU) 2016/681 forenelig med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som den deri omhandlede forudgående vurdering ved korrelation med databaser og forud fastsatte kriterier finder systematisk og generel anvendelse på oplysninger om passagerer, uanset om der foreligger noget objektivt forhold, som gør det muligt at antage, at disse passagerer kan frembyde en risiko for den offentlige sikkerhed?
  • Kan begrebet »anden [kompetent] national myndighed« i artikel 12, stk. 3, i direktiv (EU) 2016/681 fortolkes således, at det omfatter den passageroplysningsenhed, som er oprettet ved lov af 25. december 2016, og som derfor kan give adgang til PNR-oplysninger efter en periode på seks måneder i forbindelse med ad hoc-efterforskninger?
  • Skal artikel 12 i direktiv (EU) 2016/681, sammenholdt med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, fortolkes således, at den er til hinder for en national lovgivning såsom den anfægtede lov, hvori der er fastsat en generel dataopbevaringsperiode på fem år, uden at der sondres mellem, hvorvidt den forudgående vurdering har vist, at de pågældende passagerer kan udgøre en risiko for den offentlige sikkerhed eller ej?

a) Er direktiv 2004/82/EF foreneligt med artikel 3, stk. 2, i traktaten om Den Europæiske Union og med artikel 45 i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som de deri fastsatte forpligtelser finder anvendelse på flyvninger inden for EU?

b) Skal direktiv 2004/82/EF, sammenholdt med artikel 3, stk. 2, i traktaten om Den Europæiske Union og med artikel 45 i Den Europæiske Unions charter om grundlæggende rettigheder, fortolkes således, at det er til hinder for en national lovgivning såsom den anfægtede lov, der med henblik på at bekæmpe ulovlig indvandring og at forbedre grænsekontrollen gør det muligt at indføre et system til indsamling og behandling af oplysninger om passagerer »på vej til, fra og gennem det nationale område«, hvilket indirekte kan føre til genindførelse af kontrollen ved de indre grænser?

  • Såfremt Cour constitutionnelle (forfatningsdomstol) på grundlag af besvarelserne af de foregående præjudicielle spørgsmål konkluderer, at den anfægtede lov, der bl.a. gennemfører direktiv (EU) 2016/681, er i strid med en eller flere af de forpligtelser, der følger af de i disse spørgsmål nævnte bestemmelser, kan Cour constitutionnelle (forfatningsdomstol) da midlertidigt opretholde virkningerne af lov af 25. december 2016 om behandling af passageroplysninger med henblik på at undgå retsusikkerhed og muliggøre, at oplysninger, der forinden er blevet indsamlet og lagret, stadig kan anvendes til de formål, der er omhandlet i loven?

Status:

Der er indkaldt til domsafsigelse den 21. juni 2022.

Den 25. november 2021 blev retsmødet for generaladvokatens fremsættelse af forslag til afgørelse fastsat til den 27. januar 2022 (findes endnu ikke på dansk).

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i hovedsagen:

OT

Sagsøgte i hovedsagen:

Vyriausioji tarnybinės etikos komisija (den centrale etiske kommission)

Faktum i hovedsagen:

Offentligt ansatte personers pligt til i henhold til national ret at angive private interesser. Offentliggørelsen af oplysninger vedrørende erklæringer på internettet. Eventuel tilsidesættelse af retten til respekt for privatlivet.

De præjudicielle spørgsmål:

  • Skal den betingelse, der er fastsat i forordningens artikel 6, stk. 1, litra e), hvorefter behandling skal være nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, henset til kravene i forordningens artikel 6, stk. 3, herunder kravet om, at medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges, og ligeledes henset til chartrets artikel 7 og 8, fortolkes således, at der i national ret ikke kan fastsættes krav om videregivelse af private interesser og disse erklæringers offentliggørelse på webstedet for den dataansvarlige, Vyriausioji tarnybinės etikos komisija (den øverste etiske kommission), hvorved alle personer med adgang til internettet gives adgang til disse oplysninger?
  • Skal forbuddet mod behandling af særlige kategorier af personoplysninger i forordningens artikel 9, stk. 1, under hensyntagen til de betingelser, der er fastsat i forordningens artikel 9, stk. 2, herunder betingelsen i denne bestemmelses litra g), om at behandling skal være nødvendig af hensyn til væsentlige samfundsinteresser på grundlag af EU-retten eller medlemsstaternes nationale ret og stå i rimeligt forhold til det mål, der forfølges, skal respektere det væsentligste indhold af retten til databeskyttelse og sikre passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser, ligeledes henset til chartrets artikel 7 og 8, fortolkes således, at der i national ret ikke kan fastsættes krav om videregivelse af oplysninger vedrørende erklæringer om private interesser, der kan videregive personoplysninger, herunder oplysninger, som giver mulighed for at fastslå en persons politiske holdninger, fagforeningsmæssige tilhørsforhold, seksuelle orientering og andre personlige oplysninger, og disse oplysningers offentliggørelse på webstedet for den dataansvarlige, Vyriausioji tarnybinės etikos komisija, hvorved alle personer med adgang til internettet gives adgang til disse oplysninger?

Udtalelse fra EU´s generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 9. december 2021. Generaladvokaten konkluderer i sin udtalelse følgende:

1)      Artikel 6 og 7 i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og artikel 5 og 6 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, i medfør af hvilken en del af de personoplysninger, der er indeholdt i den erklæring om interesser, som enhver direktør for en offentlig institution, der modtager offentlige midler, er forpligtet til at indgive, skal offentliggøres på webstedet for den statslige myndighed, der har til opgave at indsamle disse erklæringer og kontrollere indholdet heraf, når en sådan foranstaltning ikke er passende og nødvendig af hensyn til gennemførelsen af målene om at forebygge interessekonflikter og korruption i den offentlige sektor, at øge garantierne for offentlige beslutningstageres hæderlighed og upartiskhed og at styrke borgernes tillid til den offentlige myndighedsudøvelse.

2)      Artikel 8, stk. 1, i direktiv 95/46 og artikel 9, stk. 1, i forordning 2016/679, sammenholdt med chartrets artikel 7 og 8, skal fortolkes således, at offentliggørelsen af indholdet af erklæringer om interesser på webstedet for den offentlige myndighed, der har til opgave at indsamle erklæringerne og kontrollere indholdet heraf, og hvorved der indirekte kan blive videregivet følsomme oplysninger, såsom i de to første af ovennævnte bestemmelser omhandlede, udgør en behandling af særlige kategorier af personoplysninger.

Status:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

TU

RE

Sagsøgte i hovedsagen:

Google LLC

Faktum i hovedsagen:

Der er tale om en anmodning om fjernelse af bestemte links til en tredjeparts online-artikler, som gør det muligt at identificere sagsøgerne og delvist er illustreret med billeder af disse, og om undladelse af at vise disse billeder som såkaldte miniaturebilleder (»thumbnails«).

De præjudicielle spørgsmål:

  • Er det foreneligt med den registreredes ret til respekt for sit privatliv (artikel 7 i Den Europæiske Unions charter om grundlæggende rettigheder, EUT C 202 af 7.6.2016, s. 389) og til beskyttelse af personoplysninger, der vedrører den pågældende (chartrets artikel 8), hvis der ved den afvejning af modstridende rettigheder og interesser i medfør af chartrets artikel 7, 8, 11 og 16, som i henhold til artikel 17, stk. 3, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, EUT L 119 af 4.5.2016, s. 1) skal foretages i forbindelse med en prøvelse af vedkommendes anmodning til den dataansvarlige for en internetsøgetjeneste om fjernelse af links, i en situation, hvor det link, som anmodningen om fjernelse vedrører, leder til indhold, som indeholder erklæringer om fakta og værdidomme baseret på erklæringer om fakta, hvis sandhed bestrides af den registrerede, og hvor indholdets lovlighed afhænger af sandhedsværdien af de deri indeholdte erklæringer om fakta, også lægges afgørende vægt på, om den registrerede på rimelig måde – f.eks. ved et fogedforbud – kan opnå retsbeskyttelse over for indholdsudbyderen og dermed nå en i det mindste foreløbig afklaring af spørgsmålet om sandhedsværdien af det indhold, som den søgemaskineansvarlige formidler?
  • Skal der i tilfælde af en anmodning om fjernelse af links til den dataansvarlige for en internetsøgetjeneste, som ved en navnesøgning søger efter billeder af fysiske personer, som tredjeparter har lagt ud på internettet i sammenhæng med personens navn, og som viser de fundne billeder som miniaturebilleder (»thumbnails«) i sin resultatoversigt, i forbindelse med den afvejning af modstridende rettigheder og interesser i medfør af chartrets artikel 7, 8, 11 og 16, som skal foretages i henhold til artikel 12, litra b), og artikel 14, stk. 1, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesdirektivet, EFT L 281 af 23.11.1995, s. 31) / artikel 17, stk. 1, litra a), i den generelle forordning om databeskyttelse tages afgørende hensyn til konteksten for tredjepartens oprindelige offentliggørelse, også når der ved søgemaskinens visning af miniaturebilledet ganske vist linkes til tredjepartens webside, men denne ikke konkret nævnes, og internetsøgetjenesten ikke også viser den kontekst, der fremgår af websiden?

Udtalelse fra EU´s generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 7. april 2022. Generaladvokaten konkluderer i sin udtalelse følgende:

  • Artikel 17, stk. 3, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at der ved den afvejning af de i chartrets artikel 7, 8, 11 og 16 sikrede modstridende grundlæggende rettigheder, som skal foretages i forbindelse med en prøvelse af en anmodning til søgemaskineudbyderen om fjernelse baseret på, at oplysningerne i det indekserede indhold, angiveligt er urigtige, ikke kan lægges afgørende vægt på, om den registrerede på rimelig måde – f.eks. ved et fogedforbud – kan opnå retsbeskyttelse over for indholdsudbyderen. Inden for rammerne af en sådan anmodning påhviler det den registrerede at fremlægge en vis evidens for urigtigheden af det indhold, som anmodes fjernet, såfremt dette, henset til bl.a. arten af de pågældende oplysninger, ikke viser sig at være åbenlyst umuligt eller uforholdsmæssigt vanskeligt. Det påhviler søgemaskineudbyderen at fastlægge, om de behandlede oplysninger reelt er urigtige, på grundlag af de undersøgelser, som henhører under dennes konkrete muligheder, bl.a. ved om muligt at henvende sig til udgiveren af den indekserede webside. Såfremt det under de konkrete omstændigheder synes at være hensigtsmæssigt for at undgå en uoprettelig skade for den berørte person, kan søgemaskineudbyderen suspendere indekseringen midlertidigt eller angive i søgeresultaterne, at rigtigheden af visse af oplysningerne i det indhold, hvortil det omhandlede link henviser, er bestridt.
  • Artikel 12, litra b), og artikel 14, stk. 1, litra a), i direktiv 95/46 samt artikel 17, stk. 3, litra a), i forordning 2016/679 skal fortolkes således, at der ved den afvejning af de i chartrets artikel 7, 8, 11 og 16 sikrede modstridende grundlæggende rettigheder, som skal foretages i forbindelse med en prøvelse af en anmodning til en søgemaskineudbyder om fjernelse fra resultaterne af en billedsøgning på en fysisk persons navn af billeder af denne person, som vises i form af miniaturebilleder, ikke skal tages hensyn til konteksten for den offentliggørelse på internettet, hvor ovennævnte billeder oprindeligt er blevet vist.

Status:

Den 11. november 2021 indkaldte Domstolen til mundtlig forhandling den 24. januar 2022.

Den 7. april 2022 fremsatte generaladvokaten forslag til afgørelse, men dette foreligger endnu ikke på dansk.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Leistritz AG

Sagsøgte i hovedsagen:

LH

Faktum i hovedsagen:

Sagsøger var tidligere ansat som teamleder og udpeget som databeskyttelsesrådgiver hos sagsøgte, der er en privatretligt organiseret virksomhed. Sagen omhandler parternes uenighed om gyldigheden af en ordinær opsigelse af ansættelsesforholdet imellem dem.

De præjudicielle spørgsmål:

  • Skal artikel 38, stk. 3, andet punktum, i forordning (EU)2016/679 (generel forordning om databeskyttelse, herefter »forordning 2016/679«) fortolkes således, at denne bestemmelse er til hinder for en bestemmelse i national lovgivning, i den foreliggende sag § 38, stk. 1 og 2, sammenholdt med § 6, stk. 4,andet punktum, i Bundesdatenschutzgesetz (den tyske forbundslov om databeskyttelse, BDSG), hvorefter den dataansvarliges ordinære opsigelse af databeskyttelsesrådgiverens ansættelsesforhold, idet den dataansvarlige er dennes arbejdsgiver, er ulovlig, uafhængigt af, om opsigelsen skyldes udførelsen af dennes opgaver?

  • Såfremt det første spørgsmål besvares bekræftende: 2. Er artikel 38, stk. 3, andet punktum, i forordning 2016/679 også til hinder for en sådan bestemmelse i national lovgivning, såfremt udpegelsen af databeskyttelsesrådgiveren ikke er obligatorisk i henhold til artikel 37, stk. 1, i forordning 2016/679, men kun i henhold til medlemsstatens lovgivning?

  • Såfremt det første spørgsmål besvares bekræftende: 3. Hviler artikel 38, stk. 3, andet punktum, i forordning 2016/679 på et tilstrækkeligt bemyndigelsesgrundlag, navnlig for så vidt som denne bestemmelse omfatter databeskyttelsesrådgivere, der står i et ansættelsesforhold til den dataansvarlige?

Udtalelse fra EU´s generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 27. januar 2022. 

Henset til samtlige ovenstående betragtninger foreslår Generaladvokaten Domstolen at besvare de af Bundesarbeitsgericht (forbundsdomstol i arbejdsretlige sager, Tyskland) forelagte præjudicielle spørgsmål som følger:

Principalt:

  • Artikel 38, stk. 3, andet punktum, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne bestemmelse ikke er til hinder for en national ordning, som fastsætter, at en databeskyttelsesrådgivers arbejdsgiver kun kan opsige denne af en vægtig grund, selv når opsigelsen ikke er forbundet med databeskyttelsesrådgiverens udførelse af sine opgaver.

 Subsidiært, såfremt Domstolen besvarer det første spørgsmål bekræftende:

  • Artikel 38, stk. 3, andet punktum, i forordning 2016/679 finder anvendelse, uden at der skal sondres i forhold til, om databeskyttelsesrådgiveren er obligatorisk udpeget i henhold til EU-retten eller i henhold til national ret.
  •  Der er ved undersøgelsen af det tredje præjudicielle spørgsmål ikke blevet klarlagt noget forhold, som kan påvirke gyldigheden af artikel 38, stk. 3, andet punktum, i forordning 2016/679.

Status:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium

Faktum i Hovedsagen:

Tvisten mellem parterne drejer sig om, hvorvidt der ved indførelse af livestreamundervisning ved hjælp af videokonferencesystemer foruden forældrenes samtykke for deres børn eller myndige elevers samtykke også kræves samtykke fra den pågældende lærer, eller om den databehandling, der sker i denne forbindelse, er omfattet af § 23, stk. 1, første punktum, i Hessens lov om databeskyttelse og informationsfrihed (»HDSIG«), samt spørgsmålet om, hvorvidt der i henhold til de relevante regler for medarbejderrepræsentation i delstaten Hessen foreligger en medbestemmelsesret eller kun en ret til inddragelse.

HDSIG’s § 23 og § 86 i Hessens tjenestemandslov (»HBG«) er ifølge lovgivers vilje en mere specifik bestemmelse som omhandlet i artikel 88, stk. 1, i forordningen.

De præjudicielle spørgsmål:

  • Skal artikel 88, stk. 1 i forordningen, fortolkes således, at en bestemmelse for at være en mere specifik bestemmelse for at sikre beskyttelse af rettighederne og frihedsrettighederne i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold som omhandlet i artikel 88, stk. 1, i forordning skal opfylde de krav, der stilles til sådanne bestemmelser i henhold til artikel 88, stk. 2, i forordning?
  • Kan en national bestemmelse, som åbenbart ikke opfylder kravene i henhold til artikel 88, stk. 2 i forordning alligevel fortsat finde anvendelse?

Udtalelse fra EU´s generaladvokat:

Der foreligger endnu ikke nogen udtalelse fra EU's generaladvokat.

Status:

Der er blevet indkaldt til mundtlig forhandling den 30. juni 2022.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Digi Távközlési és Szolgáltató Kft.

Sagsøgte i hovedsagen:

Nemzeti Adatvédelmi és Információszabadság Hatóság

De præjudicielle spørgsmål:

  • Skal begrebet »formålsbegrænsning« som defineret i artikel 5, stk. 1, litra b), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (herefter »forordningen«) fortolkes således, at det er i overensstemmelse hermed, at den dataansvarlige parallelt i en anden database opbevarer personoplysninger, der i øvrigt er blevet indsamlet og opbevaret med et begrænset legitimt formål, eller er det begrænsede legitime formål med dataindsamlingen, for så vidt angår den parallelle database, ikke længere gyldigt?
  • Såfremt det første præjudicielle spørgsmål besvares således, at den parallelle opbevaring af oplysninger i sig selv er uforenelig med princippet om »formålsbegrænsning«, er det da foreneligt med princippet om »opbevaringsbegrænsning«, der er fastsat i forordningens artikel 5, stk. 1, litra e), at den dataansvarlige parallelt i en anden database opbevarer personoplysninger, der i øvrigt er blevet indsamlet og opbevaret med et begrænset legitimt formål?

Udtalelse fra EU´s generaladvokat:

Generaladvokaten har den 31. marts 2022 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

  • Artikel 5, stk. 1, litra b), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at det heri omhandlede princip ikke er til hinder for opbevaringen af personoplysninger, der er indsamlet og lagret lovligt, i en ekstra intern database, for så vidt som denne behandling har de samme formål som indsamlingen eller, i modsat fald, er forenelig med indsamlingens formål, hvilket det påhviler den dataansvarlige at godtgøre, herunder når den dataansvarlige foretager behandlingen for at overholde sin pligt til at sikre tilstrækkelig sikkerhed for personoplysningerne, som fastsat i den nævnte forordnings artikel 5, stk. 1, litra f).

    Når den nævnte behandling til et andet formål end det, som oplysningerne er indsamlet til, ikke er baseret på den registreredes samtykke eller EU-retten eller medlemsstaternes nationale ret som omhandlet i artikel 23, stk. 1, i forordning 2016/679, skal dens forenelighed fastslås på grundlag af navnlig de kriterier, der er fastsat i denne forordnings artikel 6, stk. 4.
  • Artikel 5, stk. 1, litra e), i forordning 2016/679 skal fortolkes således, at det heri omhandlede princip er til hinder for, at oplysninger, der er indsamlet og lagret lovligt, opbevares på en sådan måde, at det er muligt at identificere de registrerede, i en ekstra intern database, der har til formål at afhjælpe en teknisk fejl og sikre disse oplysninger midlertidigt, i et længere tidsrum end det, der er nødvendigt til opfyldelsen af dette formål, og dermed efter at denne forstyrrelse er blevet afhjulpet, herunder når det nævnte direkte og primære formål kan knyttes til det indirekte og sekundære mål om at gennemføre leveringen af den aftalte tjeneste.«

Status:

Den 9. december 2021 indkaldte retten til mundtlig forhandling den 17. januar 2022.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Appellant:

Proximus NV

Indstævnt:

Gegevensbeschermingsautoriteit

De præjudicielle spørgsmål:

  • Skal artikel 12, stk. 2, i e-databeskyttelsesdirektivet 2002/58/EF, sammenholdt med dette direktivs artikel 2, litra f), og med artikel 95 i den generelle forordning om databeskyttelse, fortolkes således, at det er tilladt for en national tilsynsmyndighed et kræve et »samtykke« fra abonnenten i den generelle forordnings forstand som grundlag for at kunne offentliggøre dennes personoplysninger i offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, såvel dem der offentliggøres af operatøren selv som dem, der offentliggøres af andre udbydere, når den nationale lovgivning på området ikke bestemmer andet?
  • Skal retten til sletning i henhold artikel 17 i den generelle forordning om databeskyttelse fortolkes således, at denne ret er til hinder for, at en national tilsynsmyndighed kvalificerer en anmodning fra en abonnent om at blive fjernet fra offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, som en anmodning om sletning som omhandlet i artikel 17 i den generelle forordning om databeskyttelse?
  • Skal artikel 24 og artikel 5, stk. 2, i den generelle forordning om databeskyttelse fortolkes således, at de er til hinder for, at en national tilsynsmyndighed af det der forankrede ansvarlighedsprincip udleder, at den dataansvarlige skal træffe passende tekniske og organisatoriske forholdsregler for at det meddeles andre dataansvarlige, det vil sige udbydere af offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, som har modtaget data fra denne dataansvarlige, at den pågældende i henhold til forordningens artikel 6, jf. artikel 7, har trukket sit samtykke tilbage?
  • Skal artikel 17, stk. 2, i den generelle forordning om databeskyttelse fortolkes således, at den er til hinder for, at en national tilsynsmyndighed pålægger en udbyder af offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, som anmodes om ikke længere at offentliggøre en persons data, at træffe alle rimelige foranstaltninger til, at søgemaskiner får kendskab til denne anmodning om sletning?

Udtalelse fra EU's generaladvokat:

Generaladvokaten har den 28. april 2022 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

  • I medfør af artikel 12, stk. 2, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), sammenholdt med artikel 2, litra f), deri, og artikel 95 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) er en abonnents »samtykke« som defineret i artikel 4, nr. 11), i den generelle forordning om databeskyttelse påkrævet for, at den pågældendes kontaktoplysninger kan medtages i telefonnummerfortegnelser, som en teleoperatør og/eller af andre udbydere af telefonnummerfortegnelser offentliggør.
  • En abonnents anmodning om at få sine oplysninger fjernet fra telefonnummerfortegnelser udgør en udøvelse af »retten til sletning«, der er fastsat i artikel 17 i den generelle forordning om databeskyttelse.
  • I medfør af artikel 5, stk. 2, og artikel 24 i den generelle forordning om databeskyttelse kan en national tilsynsmyndighed konkludere, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger til at underrette andre dataansvarlige, nemlig teleoperatøren og andre udbydere af telefonnummerfortegnelser, som har modtaget oplysninger fra den første dataansvarlige, om tilbagetrækningen af den registreredes samtykke i overensstemmelse med artikel 6 i den generelle forordning om databeskyttelse, sammenholdt med samme forordnings artikel 7.
  • Artikel 17, stk. 2, i den generelle forordning om databeskyttelse er ikke til hinder for, at en national tilsynsmyndighed pålægger en udbyder af telefonnummerfortegnelser at underrette søgemaskineudbydere om anmodninger om sletning, som den har modtaget.

Domsafsigelse:

Den 17. december 2021 indkaldte retten til mundtlig forhandling den 9. februar 2022.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside 

Sagsøger i hovedsagen:

BE

Sagsøgte i hovedsagen:

Nemzeti Adatvédelmi és Információszabadság Hatóság

De præjudicielle spørgsmål:

  • Skal artikel 77, stk. 1, og artikel 79, stk. 1, i [forordning 2016/679] fortolkes således, at den administrative klageadgang, der er fastlagt i artikel 77, udgør et instrument til udøvelse af offentlige rettigheder, mens den søgsmålsret, der er fastlagt i artikel 79, udgør et instrument til udøvelse af private rettigheder? Såfremt dette spørgsmål besvares bekræftende, følger det da deraf, at tilsynsmyndigheden, som det påhviler at påkende administrative klager, har den overordnede kompetence til at fastslå, at der foreligger en overtrædelse?
  • Såfremt den registrerede – som er af den opfattelse, at behandlingen af personoplysninger, som vedrører den pågældende, overtræder forordning 2016/679 – på samme tid udøver retten til at indgive en klage i henhold til denne forordnings artikel 77, stk. 1, og søgsmålsretten i henhold til samme forordnings artikel 79, stk. 1, kan det da fastslås, at en fortolkning, der er i overensstemmelse med artikel 47 i chartret om grundlæggende rettigheder, indebærer:
    1. at tilsynsmyndigheden og retten uafhængigt af hinanden er forpligtede til at undersøge, om der foreligger en overtrædelse, og at de derfor kan nå til uoverensstemmende resultater, eller
    2. at tilsynsmyndighedens afgørelse har forrang, for så vidt som den vedrører vurderingen af, om der er begået en overtrædelse, i betragtning af de kompetencer, der er omhandlet i artikel 51, stk. 1, i forordning 2016/679, og de beføjelser, der er tillagt ved samme forordnings artikel 58, stk. 2, litra b) og d)?
  • Skal tilsynsmyndighedens uafhængighed, som er sikret ved artikel 51, stk. 1, og artikel 52, stk. 1, i forordning 2016/679, fortolkes således, at den pågældende myndighed ved behandlingen og afgørelsen af den klageprocedure, der er fastlagt i artikel 77, er uafhængig af, hvad den kompetente ret fastslår ved endelig dom i henhold til artikel 79, således at den pågældende myndighed kan vedtage en uoverensstemmende afgørelse med hensyn til den samme hævdede overtrædelse?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Der er blevet indkaldt til mundtlig forhandling den 11. maj 2022.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

RW

Sagsøgte i hovedsagen:

Österreichische Post AG

De præjudicielle spørgsmål:

  • Skal artikel 15, stk. 1, litra c), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, EUT 2016, L 119 […], s. 1 […]) fortolkes således, at retten til adgang er begrænset til oplysninger om kategorier af modtagere, såfremt konkrete modtagere ved planlagte videregivelser endnu ikke ligger fast, men at denne ret nødvendigvis også omfatter modtagere af disse videregivelser, når der allerede er blevet videregivet oplysninger?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 9. juni 2022 afgivet en udtalelse i sagen, hvoraf følgende bl.a. fremgår:

  • Artikel 15, stk. 1, litra c), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den registreredes ret til indsigt i henhold til forordningen nødvendigvis omfatter en angivelse af de specifikke modtagere af den pågældendes personoplysninger, der videregives; hvis den registrerede anmoder herom. Denne ret til indsigt kan begrænses til blot at omfatte en angivelse af kategorier af modtagere, når det er materielt umuligt at identificere de specifikke modtagere af personoplysninger om den registrerede, der videregives, eller når den dataansvarlige godtgør, at den registreredes anmodninger er åbenbart grundløse eller overdrevne som omhandlet artikel 12, stk. 5, i forordning (EU) 2016/679.

Status:

I medfør af procesreglementets artikel 76 har Domstolen besluttet at træffe afgørelse uden domsforhandling d. 2. februar 2022.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

 

Sagsøger i hovedsagen:

VS

Sagsøgte i hovedsagen:

Inspektor v Inspektorata kam Visshia sadeben savet

De præjudicielle spørgsmål:

  • Skal artikel 1, stk. 1, i [direktiv 2016/680] fortolkes således, at begreberne »forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger« i forbindelse med angivelsen af formålet opregnes som aspekter af et generelt formål?
  • Finder bestemmelserne i [forordning 2016/679] anvendelse på Republikken Bulgariens anklagemyndighed, henset til det forhold, at oplysninger om en person, som anklagemyndigheden i sin egenskab af »dataansvarlig« som omhandlet i artikel 3, nr. 8), i [direktiv 2016/680] har indsamlet til en aktmappe om denne person med henblik på at undersøge, om der er grundlag for at antage, at der foreligger en strafbar handling, er blevet anvendt som en del af anklagemyndighedens retlige forsvar som part i en civil sag – idet det anføres, at denne aktmappe er blevet oprettet, eller idet dens indhold fremlægges?
    • Såfremt dette spørgsmål besvares bekræftende: Skal udtrykket »legitim interesse« i artikel 6, stk. 1, litra f), i [forordning 2016/679] fortolkes således, at det omfatter en fuldstændig eller delvis videregivelse af oplysninger om en person, som er blevet indsamlet af anklagemyndigheden til en aktmappe om denne person med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger, når denne videregivelse sker som led i den dataansvarliges forsvar som part i en civil sag, og er den registreredes samtykke udelukket?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 19. maj 2022 afgivet en udtalelse i sagen, hvoraf følgende fremgår:

  • Artikel 4, stk. 2, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA skal fortolkes således, at oplysninger, der er indsamlet i forbindelse med en straffesag fra en person i dennes egenskab af formodet offer for en strafbar handling, behandles til samme formål som det, hvortil de blev indsamlet, i det tilfælde, hvor den pågældende person efterfølgende sigtes i samme straffesag.
  • Artikel 9, stk. 1, i direktiv 2016/680 skal fortolkes således, at Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF finder anvendelse på anklagemyndighedens anvendelse af oplysninger, der er indhentet i straffesager, til brug for dens forsvar i civile sager.
  • Videregivelse af personoplysninger, der er indsamlet under en straffesag, og som forud for videregivelsen er blevet registreret, opbevaret og konsulteret med henblik på anklagemyndighedens forsvar i en civil sag, hvori denne myndighed er sagsøgt med krav om erstatning for dennes adfærd under udøvelsen af sine opgaver, udgør »behandling af personoplysninger« som omhandlet i artikel 4, stk. 1, i forordning 2016/679.
  • Lovligheden af en sådan behandling kan i princippet være baseret på artikel 6, stk. 1, litra e), i forordning 2016/679.

Status:

I medfør af procesreglementets artikel 76 har Domstolen den 19. januar 2022 besluttet at træffe afgørelse uden domsforhandling.

Der er den 25. marts 2022 sket forkyndelse af svar på spørgsmål, som domstolen har stillet i sagen.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

Facebook Inc.

Facebook Ireland Ltd.

Facebook Deutschland GmbH

Sagsøgte i hovedsagen:

Bundeskartellamt

De præjudicielle spørgsmål:

1.

a) Er artikel 51 ff. i forordning nr. 2016/679 til hinder for, at en national kartelmyndighed i en medlemsstat, såsom Bundeskartellamt, der ikke er tilsynsmyndighed som omhandlet artikel 51 ff. i forordning nr. 2016/679, og i hvilken medlemsstat en virksomhed med hjemsted uden for Den Europæiske Union har en etablering, der inden for markedsføring, kommunikation og PR bistår denne virksomheds hovedvirksomhed, som er beliggende i en anden medlemsstat og som har eneansvaret for behandlingen af personoplysninger på hele Den Europæiske Unions område, for det kartelretlige misbrugstilsyn fastslår, at hovedvirksomhedens kontraktbetingelser vedrørende behandling af oplysninger og gennemførelsen heraf udgør en tilsidesættelse af forordning nr. 2016/679, og vedtager en afgørelse om, at denne tilsidesættelse skal bringes til ophør?

b) Såfremt dette spørgsmål besvares bekræftende: Er artikel 4, stk. 3, TEU til hinder herfor, når den ledende tilsynsmyndighed i den medlemsstat, hvor hovedvirksomheden er beliggende, som [org. s. 3] omhandlet i artikel 56, stk. 1, i forordning nr. 2016/679 samtidig underkaster hovedvirksomhedens kontraktbetingelser vedrørende behandling af oplysninger en undersøgelsesprocedure?

Såfremt det første spørgsmål besvares bekræftende:

2.

a) Udgør det forhold, at en internetbruger enten kun besøger eller også indtaster informationer, f.eks. ved registrering eller bestillinger, på websteder eller apps, der vedrører kriterierne i artikel 9, stk. 1, i forordning nr. 2016/679, såsom dating-apps, partnerbørser for homoseksuelle, politiske partiers websteder eller sundhedswebsteder, og en anden virksomhed såsom Facebook Ireland gennem grænseflader på disse websteder eller i disse apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr indsamler oplysninger om brugerens besøg på disse websteder og apps og om de informationer, som brugeren har indtastet, sammenstiller disse oplysninger med oplysningerne om brugerens Facebook.com-konto og anvender dem, behandling af følsomme oplysninger i forordningens forstand for så vidt angår indsamlingen og/eller sammenstillingen og/eller anvendelsen?

b) Såfremt dette spørgsmål besvares bekræftende: Indebærer besøg på disse websteder og apps og/eller indtastning af informationer og/eller tryk på knapper på disse websteder eller apps (»sociale plugins« såsom »synes godt om«, »del« eller »Facebook login« eller »account kit«) fra en udbyder som Facebook Ireland, at brugeren i kraft af selve besøget og/eller indtastningen tydeligvis har offentliggjort oplysningerne som omhandlet i artikel 9, stk. 2, litra e), i forordning nr. 2016/679?

3.

Kan en virksomhed som Facebook Ireland, der driver et annoncefinansieret og digitalt socialt netværk og i sine tjenestevilkår tilbyder persontilpasset indhold og markedsføring, netværkssikkerhed, produktforbedring og en ensartet og velfungerende brug af alle koncernens produkter, påberåbe sig den begrundelse, at behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt som omhandlet i artikel 6, stk. 1, litra b), i forordning nr. 2016/679, eller er nødvendig for at forfølge en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning nr. 2016/679, når den med henblik på disse formål indsamler oplysninger fra andre af koncernens tjenester og [org. s. 4] fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstiller oplysningerne med brugerens Facebook.com-konto og anvender dem?

4.

Kan også

– det forhold, at brugerne er mindreårige, af hensyn til persontilpasningen af indhold og markedsføring, produktforbedring, netværkssikkerhed og ikkemarkedsføringsmæssig kommunikation med brugeren,

– levering af målinger, analyser og øvrige virksomhedsservices til markedsføringskunder, udviklere og øvrige partnere, således at disse kan evaluere og forbedre deres ydelser,

– levering af marketingkommunikation med brugeren, således at virksomheden kan forbedre sine produkter og gennemføre direct marketing,

– forskning og innovation til gavn for samfundet med henblik på at fremme niveauet for teknologiske fremskridt eller den videnskabelige forståelse vedrørende vigtige sociale emner og at øve positiv indflydelse på samfundet og verden,

– det forhold, at der gives oplysninger til retshåndhævende myndigheder og besvares juridiske anmodninger med henblik på at forhindre, opklare og retsforfølge strafbare handlinger, ulovlig brug, tilsidesættelser af tjenestevilkårene og politikkerne og andre former for skadelig adfærd, i en sådan

situation udgøre en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning nr. 2016/679, når virksomheden med henblik på disse formål indsamler oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstiller oplysningerne med brugerens Facebook.comkonto og anvender dem?

5.

Kan indsamling af oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstilling med brugerens Facebook.com-konto og anvendelse heraf eller anvendelse af oplysninger, der allerede [org. s. 5] i anden sammenhæng er blevet indsamlet og sammenstillet lovligt, i en sådan situation i specifikke tilfælde også være begrundet i henhold til artikel 6, stk. 1, litra c), d) og e), i forordning nr. 2016/679 med henblik på f.eks. at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger [litra c)], at bekæmpe skadelig adfærd og fremme sikkerheden [litra d)] eller af hensyn til forskning til gavn for samfundet og til fremme af beskyttelse, integritet og sikkerhed [litra e)]?

6.

Kan der gives et gyldigt og navnlig i henhold til artikel 4, nr. 11), i forordning nr. 2016/679 frivilligt samtykke som omhandlet i artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), i forordning nr. 2016/679 over for en markedsdominerende virksomhed som Facebook Ireland?

Såfremt det første spørgsmål besvares benægtende:

7.

a) Kan en national kartelmyndighed i en medlemsstat såsom Bundeskartellamt, som ikke er tilsynsmyndighed som omhandlet i artikel 51 ff. i forordning nr. 2016/679, og som vurderer, om en markedsdominerende virksomhed har tilsidesat det kartelretlige forbud mod misbrug, idet denne tilsidesættelse ikke består i, at virksomhedens betingelser for behandling af oplysninger og gennemførelsen heraf tilsidesætter forordning nr. 2016/679, f.eks. i forbindelse med afvejningen af interesser foretage konstateringer om, hvorvidt denne virksomheds betingelser vedrørende behandling af oplysninger og gennemførelsen heraf er i overensstemmelse med forordning nr. 2016/679

b) Såfremt dette spørgsmål besvares bekræftende: Gælder dette henset til artikel 4, stk. 3, TEU også, når den ledende tilsynsmyndighed som omhandlet i artikel 56, stk. 1, i forordning nr. 2016/679 samtidig underkaster denne virksomheds betingelser vedrørende behandling af oplysninger en undersøgelsesprocedure?

Såfremt det syvende spørgsmål besvares bekræftende, er det nødvendigt at besvare det tredje til femte spørgsmål med hensyn til oplysninger fra brugen af koncernens tjeneste Instagram.

Udtalelse fra EU´s generaladvokat:

Der foreligger endnu ikke nogen udtalelse fra EU's generaladvokat.

Status:

Der er blevet indkaldt til mundtlig forhandling den 10. maj 2022.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Norra Stockholm Bygg AB

Sagsøgte i hovedsagen:

Per Nycander AB

De præjudicielle spørgsmål:

  • Stiller databeskyttelsesforordningens 1 artikel 6, stk. 3 og 4, også krav til national processuel lovgivning om editionspligt?
  • Såfremt det første spørgsmål besvares bekræftende, indebærer databeskyttelsesforordningen da, at der ved bedømmelse af spørgsmålet, om der skal træffes bestemmelse om edition af et dokument, der indeholder personoplysninger, også skal tages hensyn til de registreredes interesser? Stiller EU-retten i dette tilfælde nogen krav til den måde, hvorpå denne bedømmelse nærmere skal foretages?

Udtalelse fra EU´s generaladvokat:

Der foreligger endnu ikke nogen udtalelse fra EU's generaladvokat.

Status:

Der er blevet indkaldt til mundtlig forhandling den 27. juni 2022.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

UI

Sagsøgte i hovedsagen:

Österreichische Post AG

De præjudicielle spørgsmål:

Er det en forudsætning for at kunne tilkende erstatning i henhold til artikel 82 i forordning [EU] 2016/679, at det ud over at det fastslås, at bestemmelser i den generelle forordning om databeskyttelse er overtrådt, også konstateres, at sagsøgeren har lidt en skade, eller er selve overtrædelsen af bestemmelser i den generelle forordning om databeskyttelse nok til at kunne tilkende en erstatning?

Opstiller EU-retten for så vidt angår fastsættelse af erstatningen også andre bestemmelser end effektivitetsprincippet og ækvivalensprincippet?

Er det foreneligt med EU-retten at lægge til grund, at det er en forudsætning for at tilkende erstatning for immateriel skade, at en konsekvens eller følge af overtrædelsen i det mindste har en vis betydning, der går videre end den vrede, som overtrædelsen har udløst?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

 

Sagsøger i hovedsagen:

VB

Sagsøgte i hovedsagen:

Natsionalna agentsia za prihodite (det nationale agentur for indtægter)

De præjudicielle spørgsmål:

1.Skal artikel 24 og 32 i forordning (EU) nr. 2016/579 fortolkes således, at det forhold, at en uautoriseret videregivelse eller en uautoriseret adgang til personoplysninger som omhandlet i artikel 4, nr. 12), i forordning (EU) 2016/679 er blevet foretaget af personer, som ikke er ansatte i den dataansvarliges administration og ikke er undergivet dennes kontrol, er tilstrækkeligt til at lægge til grund, at de iværksatte tekniske og organisatoriske foranstaltninger ikke er passende?

2. Såfremt det første spørgsmål besvares benægtende, hvilken genstand og hvilket omfang skal rettens legalitetskontrol da have ved vurderingen af, om de tekniske og organisatoriske foranstaltninger, som den dataansvarlige har truffet som omhandlet i artikel 32 i forordning (EU) nr. 2016/679, er passende?

3. Såfremt det første spørgsmål besvares benægtende, skal ansvarlighedsprincippet som omhandlet i artikel 5, stk. 2, og artikel 24 i forordning (EU) nr. 2016/679, sammenholdt med 74. betragtning hertil, da fortolkes således, at bevisbyrden for, at de iværksatte tekniske og organisatoriske foranstaltninger som omhandlet i artikel 32 i forordning (EU) nr. 2016/679 er passende, påhviler den dataansvarlige i forbindelse med et søgsmål i henhold til forordningens artikel 82, stk. 1? Kan indhentningen af en sagkyndig udtalelse anses for et bevismiddel, der er nødvendigt for og tilstrækkeligt til at fastslå, om de tekniske og organisatoriske foranstaltninger, som den dataansvarlige har truffet, i en sag som den foreliggende var passende, hvis den uautoriserede adgang til og den uautoriserede videregivelse af personoplysninger skyldtes et »hackerangreb«?

4. Skal artikel 82, stk. 3, i forordning (EU) nr. 2016/679 fortolkes således, at den uautoriserede videregivelse af eller den uautoriserede adgang til personoplysninger som omhandlet i artikel 4, nr. 12), i forordning (EU) 2016/679 som i den foreliggende sag gennem et »hackerangreb« udført af personer, der ikke er ansatte i den dataansvarliges administration og ikke er undergivet dennes kontrol, udgør en omstændighed, som den dataansvarlige ikke er skyld i, og som kan begrunde en fritagelse for erstatningsansvar?

5. Skal artikel 82, stk. 1 og 2, i forordning (EU) nr. 2016/679, sammenholdt med 85. og 146. betragtning hertil, fortolkes således, at det i en sag som den foreliggende, hvor tilsidesættelsen af beskyttelsen af personoplysninger kommer til udtryk ved en uautoriseret adgang til og formidling af personoplysninger gennem et »hackerangreb«, kun er den berørte persons bekymringer, frygt og angst for et muligt fremtidigt misbrug af personoplysninger, der er omfattet af begrebet immateriel skade, som skal fortolkes bredt, og dermed berettiger til erstatning, hvis der ikke er blevet konstateret et sådant misbrug og/eller den berørte person ikke er blevet påført nogen yderligere skade?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Status:

Den 25. februar 2022 er der sket forkyndelse af skriftlige indlæg. 

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

Komisia za zashtita na lichnite danni og Tsentralna isbiratelna komisia

Sagsøgte i hovedsagen:

Koalitsia »Demokratichna Bulgaria – Оbedinenie« 

De præjudicielle spørgsmål:

1. Skal artikel 2, stk. 2, litra a), i den generelle forordning om databeskyttelse 1 fortolkes således, at den er til hinder for, at denne forordning anvendes på et tilsyneladende internt anliggende såsom gennemførelsen af valg til nationalforsamlingen, hvis genstanden for beskyttelsen er personoplysninger om personer – borgere i Den Europæiske Union – og behandlingen af oplysningerne ikke er begrænset til indsamling af oplysninger i forbindelse med den pågældende aktivitet?

2. Såfremt det første spørgsmål besvares bekræftende: Fritager afslutningen af gennemførelsen af valgene til nationalforsamlingen, som tilsyneladende ikke er omfattet af EU-rettens anvendelsesområde, de ansvarlige, registerførerne og de personer, der opbevarer personoplysninger, fra deres forpligtelser i henhold til forordningen, som er det eneste middel til beskyttelse af EU-borgernes personoplysninger på EU-niveau? Afhænger forordningens anvendelighed alene af den aktivitet, hvortil personoplysningerne er blevet tilvejebragt eller indsamlet, idet dette også fører til den konklusion, at den ikke finder anvendelse senere?

3. Såfremt det første spørgsmål besvares benægtende: Er artikel 6, stk. 1, litra e), i den generelle forordning om databeskyttelse og proportionalitetsprincippet, som er forankret i 4. og 129. betragtning til forordningen, til hinder for en national lovgivning om gennemførelsen af forordningen som den omhandlede, der på forhånd udelukker og begrænser muligheden for, at der foretages nogen form for videooptagelser ved registreringen af valgresultaterne i valglokalerne, ikke tillader nogen differentiering mellem og regulering af enkelte bestanddele af registreringsprocessen og udelukker muligheden for at opfylde forordningens formål – beskyttelsen af personers personoplysninger – med andre midler?

4. Alternativt og i forbindelse med EU-rettens anvendelsesområde – ved gennemførelsen af kommunalvalg og valg til Europa-Parlamentet: Er artikel 6, stk. 1, litra e), i den generelle forordning om databeskyttelse og proportionalitetsprincippet, som er forankret i 4. og 129. betragtning til forordningen, til hinder for en national lovgivning om gennemførelsen af forordningen som den omhandlede, der på forhånd udelukker og begrænser muligheden for, at der foretages nogen form for videooptagelser ved registreringen af valgresultaterne i valglokalerne, hverken foretager eller blot tillader nogen differentiering mellem og regulering af enkelte bestanddele af registreringsprocessen og udelukker muligheden for at opfylde forordningens formål – beskyttelsen af personers personoplysninger – med andre midler?

5. Er artikel 6, stk. 1, litra e), i den generelle forordning om databeskyttelse til hinder for, at aktiviteter vedrørende kontrol af den retmæssige gennemførelse af afholdte valg og registreringen af resultaterne heraf kvalificeres som udførelse af en opgave i samfundets interesse, der berettiger et specifikt indgreb, som er underlagt proportionalitetsprincippet, vedrørende personoplysningerne om de personer, der er tilstede i valglokalerne, såfremt disse personer udfører en officiel, offentlig og lovfastsat opgave?

6 Såfremt det femte spørgsmål besvares bekræftende: Er beskyttelsen af personoplysninger til hinder for indførelsen af et nationalt retligt forbud mod indsamling og behandling af personoplysninger, som begrænser muligheden for at foretage sideløbende aktiviteter vedrørende videooptagelse af materialer, objekter eller genstande, der ikke indeholder personoplysninger, hvis registreringsprocessen potentielt indebærer en mulighed for, at der også indsamles personoplysninger ved videooptagelsen af personer, der er tilstede i valglokalet og på det pågældende tidspunkt udfører en aktivitet i samfundets interesse? 

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Der er sket forkyndelse af skriftlige indlæg den 5. maj 2022.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

 Maximilian Schrems

Sagsøgte i hovedsagen:

Facebook Ireland Ltd

De præjudicielle spørgsmål:

1. Skal bestemmelserne i databeskyttelsesforordningens artikel 6, stk. 1, litra a) og b), fortolkes således, at lovligheden af kontraktbestemmelser i almindelige tjenestevilkår vedrørende platformskontrakter som de i sagen omhandlede (navnlig kontraktbestemmelser som: »I stedet for at betale […] ved at bruge de Facebook-produkter, der er dækket af disse vilkår, accepterer du, at vi kan vise dig annoncer […] Vi bruger dine personoplysninger […] til at vise dig annoncer, der er mere relevante for dig.«), som omfatter behandling af personoplysninger til indsamling og analyse af oplysninger med henblik på personaliseret reklame, skal vurderes på grundlag af kravene i databeskyttelsesforordningens artikel 6, stk. 1, litra a), sammenholdt med samme forordnings artikel 7, som ikke kan erstattes med henvisning til artikel 6, stk. 1, litra b)?

2. Skal databeskyttelsesforordningens artikel 5, stk. 1, litra c) (dataminimering), fortolkes således, at alle personoplysninger, som en platform som den i hovedsagen omhandlede har til rådighed (navnlig gennem den registrerede eller gennem tredjeparter på eller uden for platformen), uden begrænsninger med hensyn til tid eller oplysningernes art kan indsamles, analyseres og behandles med henblik på målrettet reklame?

3. Skal databeskyttelsesforordningens artikel 9, stk. 1, fortolkes således, at bestemmelsen finder anvendelse på behandlingen af oplysninger, som muliggør en målrettet filtrering af særlige kategorier af personoplysninger såsom politisk anskuelse eller seksuel orientering (f.eks. til reklameformål), selv om den dataansvarlige ikke sondrer mellem disse oplysninger?

4. Skal databeskyttelsesforordningens artikel 5, stk. 1, litra b), sammenholdt med artikel 9, stk. 2, litra e), fortolkes således, at en persons ytring om sin egen seksuelle orientering i forbindelse med en paneldiskussion tillader behandling af andre oplysninger om den seksuelle orientering med henblik på indsamling og analyse af oplysninger med henblik på personaliseret reklame?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Status:

Der er sket forkyndelse af skriftlige indlæg den 28. marts 2022.

Der er den 6. maj 2022 sket udsættelse af sagen indtil domsafsigelse er sket i sag C-252/21.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

X-FAB Dresden GmbH & Co. KG

Sagsøgte i hovedsagen:

FC

De præjudicielle spørgsmål:

1. Skal artikel 38, stk. 3, andet punktum, i [Europa-Parlamentets og Rådets

forordning] (EU) 2016/679 [af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne

oplysninger og om ophævelse af direktiv 95/46/EF] (generel forordning om

databeskyttelse herefter: »databeskyttelsesforordningen«) fortolkes således, at den

er til hinder for en bestemmelse i national lovgivning, som § 38, stk. 1 og 2,

sammenholdt med § 6, stk. 4, første punktum, i Bundesdatenschutzgesetz

(databeskyttelsesloven), der finder anvendelse i den foreliggende sag, i henhold til

hvilken afskedigelsen af databeskyttelsesrådgiveren, som foretages af den

dataansvarlige i dennes egenskab af arbejdsgiver for databeskyttelsesrådgiveren,

sker under henvisning til betingelserne i databeskyttelsesforordningen uafhængigt

af, om databeskyttelsesrådgiveren afskediges for at udføre sine opgaver?

 

Såfremt det første spørgsmål besvares bekræftende:

2. Er databeskyttelsesforordningens artikel 38, stk. 3, andet punktum, også til

hinder for en sådan bestemmelse i national lovgivning, hvis der ikke er pligt til at

udpege en databeskyttelsesrådgiver i henhold til databeskyttelsesforordningens

artikel 37, stk. 1, men alene i henhold til medlemsstatens nationale lovgivning?

 

Såfremt det første spørgsmål besvares bekræftende:

3. Er databeskyttelsesforordningens artikel 38, stk. 3, andet punktum, baseret

på et tilstrækkeligt retsgrundlag, navnlig hvis bestemmelsen omfatter

databeskyttelsesrådgivere, som indgår i et ansættelsesforhold med den

dataansvarlige?

 

Såfremt det første spørgsmål besvares benægtende:

4. Er der tale om en interessekonflikt som omhandlet i

databeskyttelsesforordningens artikel 38, stk. 6, andet punktum, hvis

databeskyttelsesrådgiveren samtidig varetager hvervet som formand for den

dataansvarliges samarbejdsudvalg? Forudsætter antagelsen af en sådan

interessekonflikt en særlig opgavefordeling i samarbejdsudvalget?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

TX

Sagsøgte i hovedsagen:

Bundesrepublik Deutschland

De præjudicielle spørgsmål:

1) Skal artikel 15, stk. 3 og 1, sammenholdt med artikel 14, i Europa-

Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om

beskyttelse af fysiske personer i forbindelse med kompetente

myndigheders behandling af personoplysninger med henblik på at

forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger

eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne

oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA

(EUT 2016 L, s. 119, herefter »direktiv 2016/680«), set i lyset af artikel

54 i direktiv 2016/680, fortolkes således, at denne bestemmelse tillader

en national ordning,

 

a) hvorefter det i tilfælde af et fælles ansvar for en

databehandling ikke er et krav, at der oplyses om det organ,

som er den egentlige dataansvarlige for de opbevarede

oplysninger, og

 b) som desuden tillader, at en ret ikke gives nogen materiel

begrundelse for afslaget på indsigt?

 

2) Såfremt spørgsmål 1a og 1b skal besvares bekræftende, er artikel 15,

stk. 3 og 1, i direktiv 2016/680 da forenelig med adgangen til effektive

retsmidler i henhold til chartrets artikel 47, selv om retten derved

berøves muligheden for

 

 a) i overensstemmelse med de nationale processuelle regler i en

procedure bestående af flere trin at adcitere den anden berørte og reelt dataansvarlige myndighed, som skal give sin tilslutning til, at der gives indsigt, og

 b) at foretage en materiel kontrol af, om betingelserne for at

give afslag på indsigt er opfyldt og er blevet anvendt korrekt

af den myndighed, der har givet afslag på indsigt?

 

3) Udgør afslaget på indsigt og dermed på et effektivt retsmiddel i henhold

til chartrets artikel 47 et ulovligt indgreb i erhvervsfriheden i henhold

til chartrets artikel 15, når de opbevarede oplysninger anvendes til at

udelukke en registreret fra en ønsket beskæftigelse på grund af en

formodet sikkerhedsrisiko[?]

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Status:

Den 4. marts 2022 er der sket forkyndelse af skriftlige indlæg.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

FT

Sagsøgte i hovedsagen:

Delstaten Hessen

De præjudicielle spørgsmål:

1) Skal artikel 77, stk. 1, sammenholdt med artikel 78, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, herefter »databeskyttelsesforordningen«) (EUT 2016, L 119, s. 1) forstås således, at tilsynsmyndighedens resultat, som denne meddeler den registrerede,

 a) har karakter af en afgørelse af et andragende? Dette med den konsekvens, at domstolsprøvelsen af en klageafgørelse truffet af en tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 78, stk. 1, principielt er begrænset til, om myndigheden har behandlet klagen, undersøgt klagens               genstand i rimeligt omfang og underrettet klageren om resultatet af undersøgelsen,

eller

 b) skal forstås som en realitetsafgørelse truffet af en myndighed? Dette med den konsekvens, at domstolsprøvelsen af en klageafgørelse truffet af en tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 78, stk. 1, fører til, at domstolen skal prøve realitetsafgørelsens fulde indhold, idet             tilsynsmyndigheden i det konkrete tilfælde – f.eks. hvis skønnet reduceres til nul – af domstolen også kan blive forpligtet til en konkret foranstaltning som omhandlet i databeskyttelsesforordningens artikel 58.

2) Er en opbevaring af oplysninger hos et privat kreditoplysningsbureau, hvor personoplysninger fra et offentligt register såsom »nationale databaser« som omhandlet i artikel 79, stk. 4 og 5, i Europa-Parlamentets og Rådets forordning (EU) 2015/848 af 20. maj 2015 om insolvensbehandling (EUT 2015, L 141, s. 19) opbevares uden konkret anledning med henblik på at kunne give oplysning i tilfælde af en forespørgsel, forenelig med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder af 12. december 2007 (herefter »chartret« – EUT 2007, C 303, s. 1)?

3) Er private databaser (navnlig et kreditoplysningsbureaus databaser), som oprettes sideløbende med de statslige databaser, og hvori oplysningerne fra de statslige databaser (i den foreliggende sag insolvensbekendtgørelser) opbevares i længere tid, end det er reguleret inden for den snævre ramme i henhold til forordning 2015/848 sammenholdt med national ret, principielt lovlige, eller følger det af retten til at blive glemt i henhold til databeskyttelsesforordningens artikel 17, stk. 1, litra d), at disse oplysninger skal slettes, når

a) der er fastsat en behandlingstid, som er identisk med det offentlige register,

eller

b) der er fastsat en opbevaringstid, som går ud over den opbevaringsfrist, der er fastsat for offentlige registre?

3) Såfremt databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), kommer i betragtning som eneste retsgrundlag for opbevaring af oplysninger hos private kreditoplysningsbureauer med hensyn til de oplysninger, der også opbevares i offentlige registre, foreligger der da allerede en legitim interesse for et kreditoplysningsbureau, hvis dette uden konkret anledning overtager oplysningerne fra det offentlige register, for at disse oplysninger kan stå til rådighed i tilfælde af en forespørgsel?

4. Må adfærdskodekser, som er godkendt af tilsynsmyndighederne i henhold til databeskyttelsesforordningens artikel 40 og indeholder frister for kontrol og sletning, som går ud over opbevaringsfristerne for offentlige registre, suspendere den afvejning, der skal finde sted i henhold til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f)?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

F.F.

Sagsøgte i hovedsagen:

Österreichische Datenschutzbehörde og CRIF GmbH

De præjudicielle spørgsmål:

1. Skal begrebet »kopi« i artikel 15, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 fortolkes således, at der derved forstås en fotokopi henholdsvis en telefax eller en elektronisk kopi af en (elektronisk) oplysning, eller omfatter begrebet også, i overensstemmelse med fortolkningen af begrebet i tyske, franske og engelske ordbøger en »Abschrift«, »double« (»duplicata«) eller »transcript«?

2. Skal databeskyttelsesforordningens artikel 15, stk. 3, første punktum, hvorefter »(d)en dataansvarlige udleverer en kopi af de personoplysninger, der behandles«, fortolkes således, at bestemmelsen indeholder en generel ret for en registreret til at få udleveret en kopi – også – af hele dokumenter, hvori den registreredes personoplysninger behandles henholdsvis til at få udleveret en kopi af et uddrag af en database i tilfælde af, at personoplysningerne behandles i en sådan, eller giver bestemmelsen – kun – den registrerede ret til en uændret reproduktion af de personoplysninger, hvortil der i henhold til databeskyttelsesforordningens artikel 15, stk. 1, skal gives adgang?

3. Såfremt det andet spørgsmål besvares således, at den registrerede kun har ret til en uændret reproduktion af de personoplysninger, hvortil der i henhold til databeskyttelsesforordningens artikel 15, stk. 1, skal gives adgang, skal databeskyttelsesforordningens artikel 15, stk. 3, første punktum, da fortolkes således, at det henset til de behandlede oplysningers art (f.eks. for så vidt angår diagnoser, undersøgelsesresultater eller vurderinger, som er nævnt i 63. betragtning, eller skriftligt materiale i forbindelse med en prøve som omhandlet i Den Europæiske Unions Domstols dom af 20.12.2017 , og kravet om gennemsigtighed i databeskyttelsesforordningens artikel 12, stk. 1, i konkrete tilfælde alligevel kan være nødvendigt også at udlevere tekstafsnit eller hele dokumenter til den registrerede?

4. Skal begrebet »oplysninger«, som i henhold til databeskyttelsesforordningens artikel 15, stk. 3, tredje punktum, skal »udleveres [til den registrerede] [...] i en almindeligt anvendt elektronisk form«, når denne indgiver anmodningen elektronisk, »og medmindre den registrerede anmoder om andet«, fortolkes således, at der derved alene forstås de i artikel 15, stk. 3, første punktum, nævnte »personoplysninger, der behandles«?

a. Såfremt det fjerde spørgsmål besvares benægtende: Skal begrebet »oplysninger«, som i henhold til databeskyttelsesforordningens artikel 15, stk. 3, tredje punktum, skal »udleveres (til den registrerede) (...) i en almindeligt anvendt elektronisk form«, når denne indgiver anmodningen elektronisk, »og medmindre den registrerede anmoder om andet«, fortolkes således, at der derved desuden også forstås informationen i henhold til databeskyttelsesforordningens artikel 15, stk. 1, litra a)-h)?

b. Såfremt det fjerde spørgsmål, litra a), også besvares benægtende: Skal begrebet »oplysninger«, som i henhold til databeskyttelsesforordningens artikel 15, stk. 3, tredje punktum, skal »udleveres (til den registrerede) (...) i en almindeligt anvendt elektronisk form«, når denne indgiver anmodningen elektronisk, »og medmindre den registrerede anmoder om andet«, fortolkes således, at der derved ud over de »personoplysninger, der behandles« og den i artikel 15, stk. 1, litra a)-h) nævnte information eksempelvis forstås tilhørende metadata?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

J.M.

Øvrige procesdeltagere:

Den stedfortrædende repræsentant for den nationale tilsynsmyndighed og Pankki S

De præjudicielle spørgsmål:

1. Skal den ret til indsigt, som tilkommer den registrerede i henhold til databeskyttelsesforordningens artikel 15, stk. 1, i forbindelse med »personoplysninger« som omhandlet i forordningens artikel 4, nr. 1), fortolkes således, at oplysninger, der er indsamlet af den dataansvarlige, og hvoraf det fremgår, hvem der har behandlet den registreredes personoplysninger hvornår og til hvilket formål, ikke udgør oplysninger, som den registrerede har ret til indsigt i, navnlig fordi der er tale om oplysninger om den dataansvarliges medarbejdere?

2. Såfremt det første spørgsmål besvares bekræftende, og den registrerede i medfør af databeskyttelsesforordningens artikel 15, stk. 1, ikke har ret til indsigt i de i dette spørgsmål nævnte oplysninger, fordi de ikke udgør »personoplysninger« om den registrerede som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), skal der i den foreliggende sag da også tages hensyn til de oplysninger, som den registrerede har ret til indsigt i henhold til artikel 15, stk. 1, litra [a) - h)]

a. Hvordan skal formålet med behandlingen som omhandlet i artikel 15, stk. 1, litra a), fortolkes med hensyn til omfanget af den registreredes ret til indsigt, dvs. kan formålet med behandlingen begrunde en ret til indsigt i brugerprotokoldataene, som den dataansvarlige har indsamlet, som f.eks.                      oplysninger om behandlerens personoplysninger, tidspunktet for og formålet med behandlingen af personoplysningerne?

b. Kan de personer, der har behandlet J.M.’s kundeoplysninger, i denne forbindelse under visse kriterier anses for modtagere af personoplysningerne som omhandlet i databeskyttelsesforordningens artikel 15, stk. 1, litra c), som den registrerede har ret til at få oplysning om?

3. Er det relevant for sagen, at der er tale om en bank, som udøver en reguleret aktivitet, eller at J.M. på samme tid både arbejdede for banken og var kunde i den?

4. Er det relevant for bedømmelsen af ovenstående spørgsmål, at J.M.’s oplysninger blev behandlet før databeskyttelsesforordningens ikrafttrædelse?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Der er den 17. maj 2022 sket forkyndelse af skriftlige indlæg.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

 

Sagsøger i hovedsagen:

OQ

Sagsøgte i hovedsagen:

Delstaten Hessen

De præjudicielle spørgsmål:

1. Skal artikel 22, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, EUT 2016, L 119, s. 1[, berigtiget i EUT 2018, L 127, s 2]) fortolkes således, at allerede en automatisk udarbejdelse af en sandsynlighedsværdi om en registrerets evne til at tilbagebetale et lån udgør en afgørelse, der alene er baseret på automatisk behandling, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende, hvis denne værdi, som er beregnet ved hjælp af personoplysninger om den pågældende, af den dataansvarlige videregives til en dataansvarlig tredjemand, og denne tredjemand anvender denne værdi som det afgørende grundlag for sin beslutning om at indgå, gennemføre eller afslutte et aftaleforhold med den pågældende?

2. Såfremt det første spørgsmål besvares benægtende: Skal artikel 6, stk. 1, og artikel 22 i forordning (EU) 2016/679 (generel forordning om databeskyttelse) fortolkes således, at de er til hinder for en national bestemmelse, hvorefter anvendelsen af en sandsynlighedsværdi – i det foreliggende tilfælde vedrørende en fysisk persons betalingsevne og betalingsvilje under inddragelse af oplysninger om fordringer – vedrørende en bestemt fremtidig adfærd for en fysisk person med henblik på beslutningen om at indgå, gennemføre eller afslutte et aftaleforhold med denne person (scoring) kun er lovlig, hvis visse yderligere betingelser, som er nærmere beskrevet i begrundelsen for forelæggelsen, er opfyldt?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Status:

Domstolens præsident har den 16. februar 2022 besluttet undtagelsesvist at acceptere den danske regerings for sent indkomne skriftlige indlæg.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

 

Sagsøger i hovedsagen:

ZQ

Sagsøgte i hovedsagen:

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts

De præjudicielle spørgsmål:

1. Skal artikel 9, stk. 2, litra h), i forordning (EU) 2016/679 (generel forordning om databeskyttelse, herefter »databeskyttelsesforordningen«) fortolkes således, at en sygekasses medicinske tjeneste ikke må behandle sin arbejdstagers helbredsoplysninger, som er en betingelse for vurderingen af den pågældende arbejdstagers erhvervsevne? 

2. Såfremt Domstolen besvarer det første spørgsmål benægtende med den konsekvens, at en undtagelse i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra h), fra det i databeskyttelsesforordningens artikel 9, stk. 1, fastsatte forbud mod behandling af helbredsoplysninger kommer i betragtning: Skal der i et tilfælde som det foreliggende ud over de i databeskyttelsesforordningens artikel 9, stk. 3, fastsatte bestemmelser også tages hensyn til andre databeskyttelsesretlige bestemmelser, og i givet fald hvilke? 

3. Såfremt Domstolen besvarer det første spørgsmål benægtende med den konsekvens, at en undtagelse i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra h), fra det i databeskyttelsesforordningens artikel 9, stk. 1, fastsatte forbud mod behandling af helbredsoplysninger kommer i betragtning: Afhænger lovligheden af behandlingen af helbredsoplysninger i et tilfælde som det foreliggende desuden af, at mindst en af betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, er opfyldt?

4. Har databeskyttelsesforordningens artikel 82, stk. 1, special- eller generalpræventiv karakter, og skal der tages hensyn til dette ved fastsættelsen af størrelsen af den immaterielle skade, som den dataansvarlige henholdsvis databehandleren pålægges at erstatte på grundlag af databeskyttelsesforordningens artikel 82, stk. 1?

5. Afhænger fastsættelsen af størrelsen af den immaterielle skade, der skal erstattes på grundlag af databeskyttelsesforordningens artikel 82, stk. 1, af graden af den dataansvarliges henholdsvis databehandlerens skyld? Må der navligt tages hensyn til en ikke foreliggende eller ringe skyld hos den dataansvarlige henholdsvis databehandleren til fordel for denne?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Der er den 18. maj 2022 sket forkyndelse af skriftlige indlæg.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

Sagsøgte i hovedsagen:

Valstybinė duomenų apsaugos inspekcija 

De præjudicielle spørgsmål:

1.Skal begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), fortolkes således, at en person, der har til hensigt igennem et offentligt udbud at erhverve et værktøj til dataindsamling (mobilapplikation), også skal anses som dataansvarlig, selv om en offentlig indkøbskontrakt ikke er blev indgået, og det skabte produkt (mobilapplikation), til købet af hvilket et offentligt udbud var blevet anvendt, ikke er blevet overdraget?

2. Skal begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), fortolkes således, at en ordregivende myndighed, som ikke har erhvervet ejendomsretten til det skabte it-produkt, og som ikke har taget det i besiddelse, men hvor den endelige version af den skabte applikation indeholder links eller forbindelser til denne offentlige enhed og/eller hvor fortrolighedserklæringen, som ikke var officielt godkendt eller anerkendt af den pågældende offentlige myndighed, angav denne offentlige enhed som dataansvarlig, også skal anses for at være dataansvarlig? 

3. Skal begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), fortolkes således, at en person, der ikke har foretaget nogen egentlig databehandling som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), og/eller ikke har givet en klar tilladelse/samtykke til udførelsen af sådanne behandlinger, også skal anses for at være dataansvarlig? Har det betydning for fortolkningen af begrebet »dataansvarlig«, at det it-produkt, som blev anvendt til behandlingen af personoplysninger, blev udviklet i overensstemmelse med den ordregivende myndigheds formulering af opgaven?

4. Såfremt en fastlæggelse af de faktiske databehandlingsaktiviteter er relevant for fortolkningen af begrebet »dataansvarlig«, skal definitionen af »behandling« af personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), da fortolkes således, at den også omfatter situationer, hvor kopier af personoplysninger undervejs i forløbet omkring erhvervelsen af en mobilapplikation er blevet anvendt til testning af IT-systemer?

5. Skal fælles dataansvar i henhold til databeskyttelsesforordningens artikel 4, nr. 7), og artikel 26, stk. 1, fortolkes således, at det alene omfatter bevidst koordinerede handlinger i forbindelse med fastlæggelsen af formålet med og hjælpemidlerne til behandlingen af personoplysninger, eller kan dette begreb også fortolkes således, at fælles dataansvar også omfatter situationer, hvor der ikke foreligger en klar »ordning« vedrørende formålet med og hjælpemidlerne til databehandling og/eller handlinger ikke er koordineret mellem parterne? Er omstændighederne vedrørende det stadie i udviklingen af hjælpemidlerne til behandlingen af personoplysninger (IT-applikation) hvor personoplysninger blev behandlet og formålet med udviklingen af applikationen af juridisk betydning for fortolkningen af begrebet fælles dataansvar? Skal en »ordning« mellem fælles dataansvarlige forstås som udelukkende værende en klar og defineret fastlæggelse af de vilkår, som regulerer det fælles dataansvar?

6. Skal bestemmelsen i databeskyttelsesforordningens artikel 83, stk. 1, hvorefter »administrative bøder skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning«, fortolkes således, at den også omfatter tilfælde, hvor den »dataansvarlige« pålægges ansvar, når udvikleren i forbindelse med udviklingen af et IT-produkt også behandler personoplysninger, og fører de uretmæssige behandlinger af personoplysninger foretaget af databehandleren altid automatisk til, at den dataansvarlige ifalder et juridisk ansvar? Skal denne bestemmelse fortolkes således, at den også omfatter tilfælde, hvor den dataansvarlige har et objektivt ansvar?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Der er den 16. maj 2022 sket forkyndelse af skriftlige indlæg.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

BL

Sagsøgte i hovedsagen:

Saturn Electro-Handelsgesellschaft mbH Hagen

De præjudicielle spørgsmål:

1. Er bestemmelsen om erstatningspligt i artikel 82 i den generelle forordning om databeskyttelse [(Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF, herefter »den generelle forordning om databeskyttelse«)] ugyldig, idet den ikke er tilstrækkelig bestemt for så vidt angår retsfølgerne ved immateriel skade?

2. Er det en forudsætning for at opnå ret til erstatning, at der ikke blot er sket en uberettiget videregivelse af de oplysninger, der skal beskyttes, til en uvedkommende tredjemand, men skadelidte også har påvist, at der er indtrådt en immateriel skade?  

3. Er det tilstrækkeligt til at konstatere, at der er sket en tilsidesættelse af den generelle forordning om databeskyttelse, at den pågældendes personoplysninger (navn, adresse, erhverv, indkomst, arbejdsgiver) ved en fejl fra medarbejdere i den handlende virksomhed fejlagtigt videregives til tredjemand i trykt form, på papir, nærmere bestemt på et papirdokument?

4. Er der tale om en ulovlig viderebehandling gennem hændelig videregivelse til (fremlæggelse for) en tredjemand, når virksomheden gennem sine medarbejdere ved en fejl har videregivet de oplysninger, der ellers lagres i virksomhedens edb-system, til en uvedkommende person (jf. artikel 2, stk. 1, artikel 5, stk. 1, litra f), artikel 6, stk. 1 og artikel 24 i den generelle forordning om databeskyttelse)?

5. Er der tale om en immateriel skade som omhandlet i artikel 82 i den generelle forordning om databeskyttelse, selv hvis den tredjemand, der har modtaget dokumentet med personoplysningerne, ikke havde fået kendskab til disse, inden papiret med oplysningerne blev leveret tilbage, eller er ubehaget for den, hvis personoplysninger ulovligt blev videregivet, nok til, at der opstår en immateriel skade som omhandlet i artikel 82 i den generelle forordning om databeskyttelse, idet enhver uberettiget videregivelse af personoplysninger medfører, at det ikke er muligt at udelukke, at oplysningerne alligevel spredes til et ukendt antal personer eller endog kan misbruges?

6. Hvor alvorlig er overtrædelsen, når den hændelige videregivelse til tredjemand kan forhindres gennem bedre kontrol med de assisterende medarbejdere i virksomheden og/eller bedre organisering af datasikkerheden, f.eks. idet vareudlevering og dokumentation for de indgåede aftaler, først og fremmest finansieringsaftalen, varetages hver for sig, idet der udstedes et særskilt udleveringspapir, eller udleveringsinformationen videregives virksomhedsinternt til medarbejderne i vareudleveringen – uden at inddrage kunden, der har fået udleveret papirdokumenterne, herunder det papir, der berettiger til at få udleveret varen [jf. artikel 32, stk. 1, litra b), og stk. 2, samt artikel 4, nr. 7), i den generelle forordning om databeskyttelse][?]

7. Skal der ved erstatning for immateriel skade forstås tilkendelse af en straf på samme måde som ved en konventionalbod?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Der er den 13. juni 2022 sket forkyndelse af skriftlige indlæg.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside 

Sagsøger i hovedsagen:

GP

Sagsøgte i hovedsagen:

Juris GmbH

De præjudicielle spørgsmål:

  1. Skal begrebet immateriel skade i databeskyttelsesforordningens artikel 82, stk. 1, samt 85. betragtning og tredje punktum i 146. betragtning til denne forordning fortolkes således, at det omfatter ethvert indgreb i den beskyttede retsstilling, uafhængigt af indgrebets yderligere konsekvenser og disses betydning?
  2. Fritages der for erstatningsansvaret i henhold til databeskyttelsesforordningens artikel 82, stk. 3, når lovovertrædelsen i det konkrete tilfælde skyldes en menneskelig fejl, der kan tilskrives en person, der udfører arbejde, som omhandlet i databeskyttelsesforordningens artikel 29?
  3. Er det ved udmåling af erstatningen for den immaterielle skade tilladt eller nødvendigt at lægge kriterierne i databeskyttelsesforordningens artikel 83 til grund, navnlig databeskyttelsesforordningens artikel 83, stk. 2 og 5?
  4. Skal erstatningen fastsættes for hver enkelt overtrædelse, eller sanktioneres flere overtrædelser – i hvert fald når de er ensartede – med en samlet erstatning, der ikke fastsættes ved at sammenlægge individuelle beløb, men beror på en helhedsvurdering?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Der er den 14. juni 2022 sket forkyndelse af skriftlige indlæg.

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

TR

Sagsøgte i hovedsagen:

Land Hessen

De præjudicielle spørgsmål:

  1. Skal artikel 57, stk. 1, litra a) og f), og artikel 58, stk. 2, litra a)-j), sammenholdt med artikel 77, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, EUT af 4.5.2016, L 119, s. 1, herefter »databeskyttelsesforordningen«) fortolkes således, at tilsynsmyndigheden altid er forpligtet til at gribe ind i henhold til databeskyttelsesforordningens artikel 58, stk. 2, hvis den konstaterer en databehandling, hvorved en registreret persons rettigheder er blevet krænket?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

HTB Neunte Immobilien Portfolio geschlossene Investment UG & Co. KG

Sagsøgte i hovedsagen:

Müller Rechtsanwaltsgesellschaft mbH

De præjudicielle spørgsmål:

1.a: Følger det af fortolkningen af databeskyttelsesforordningens artikel 6, stk. 1, litra b) og f), at deltagelse i et investeringsselskab som investor, som ikke hæfter personligt og kun i begrænset omfang, og som ikke deltager i selskabets ledelse, er tilstrækkelig til at lægge til grund, at der foreligger en »legitim interesse« i at få oplysning om alle investorer, som investerer indirekte via en formueforvalter, disses kontaktoplysninger og disses deltagelse i investeringsselskabet og til at udlede en tilsvarende kontraktlig forpligtelse af selskabets vedtægter,

1.b: eller er den legitime interesse under sådanne betingelser begrænset til at få oplysning fra selskabet om de indirekte investorer, som ikke hæfter i ringe omfang, men som ejer en mindsteandel, som i det mindste lader en indflydelse på selskabets skæbne komme i betragtning?

2.a: Er det, for i forbindelse med en sådan ubegrænset ret (1a) ikke at overskride den iboende grænse i form af retsmisbrug eller for at dispensere fra begrænsningen i form af en begrænset ret til oplysning (1b), tilstrækkeligt, at der foreligger et ønske om at optage kontakt med henblik på at lære de pågældende at kende, udveksle synspunkter eller indlede forhandlinger om køb af selskabsandele,

2.b: eller kan en interesse i oplysning først komme i betragtning som relevant, hvis en videregivelse kræves med den udtrykkelige hensigt at optage kontakt med andre investorer for at anmode disse om koordinering på grund af konkret nævnte anledninger, som kræver stillingtagen i forbindelse med investorernes beslutninger?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

UF

Sagsøgte i hovedsagen:

Delstaten Hessen

De præjudicielle spørgsmål:

1. Skal artikel 77, stk. 1, sammenholdt med artikel 78, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, herefter »databeskyttelsesforordningen«) (EUT 2016, L 119, s. 1) forstås således, at tilsynsmyndighedens resultat, som denne meddeler den registrerede,

a. har karakter af en afgørelse af et andragende? Dette med den konsekvens, at domstolsprøvelsen af en klageafgørelse truffet af en tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 78, stk. 1, principielt er begrænset til, om myndigheden har behandlet klagen, undersøgt klagens genstand i rimeligt omfang og underrettet klageren om resultatet af undersøgelsen, eller

b. skal forstås som en realitetsafgørelse truffet af en myndighed? Dette med den konsekvens, at domstolsprøvelsen af en klageafgørelse truffet af en tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 78, stk. 1, fører til, at domstolen skal prøve realitetsafgørelsens fulde indhold, idet tilsynsmyndigheden i det konkrete tilfælde – f.eks. hvis skønnet reduceres til nul – af domstolen også kan blive forpligtet til en konkret foranstaltning som omhandlet i databeskyttelsesforordningens artikel 58.

2. Er en opbevaring af oplysninger hos et privat kreditoplysningsbureau, hvor personoplysninger fra et offentligt register såsom »nationale databaser« som omhandlet i artikel 79, stk. 4 og 5, i Europa-Parlamentets og Rådets forordning (EU) 2015/848 af 20. maj 2015 om insolvensbehandling (EUT 2015, L 141, s. 19) opbevares uden konkret anledning med henblik på at kunne give oplysning i tilfælde af en forespørgsel, forenelig med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder af 12. december 2007 (herefter »chartret« – EUT 2007, C 303, s. 1)?

3a. Er private databaser (navnlig et kreditoplysningsbureaus databaser), som oprettes sideløbende med de statslige databaser, og hvori oplysningerne fra de statslige databaser (i den foreliggende sag insolvensbekendtgørelser) opbevares i længere tid, end det er reguleret inden for den snævre ramme i henhold til forordning 2015/848 sammenholdt med national ret, principielt lovlige?

3b. Såfremt det tredje spørgsmål besvares bekræftende: Følger det af retten til at blive glemt i henhold til databeskyttelsesforordningens artikel 17, stk. 1, litra d), at disse oplysninger skal slettes, når den fastsatte behandlingstid for det offentlige register er udløbet?

4. Såfremt databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), kommer i betragtning som eneste retsgrundlag for opbevaring af oplysninger hos private kreditoplysningsbureauer med hensyn til de oplysninger, der også opbevares i offentlige registre, foreligger der da allerede en legitim interesse for et kreditoplysningsbureau, hvis dette uden konkret anledning overtager oplysningerne fra det offentlige register, for at disse oplysninger kan stå til rådighed i tilfælde af en forespørgsel?

5. Må adfærdskodekser, som er godkendt af tilsynsmyndighederne i henhold til databeskyttelsesforordningens artikel 40 og indeholder frister for kontrol og sletning, som går ud over opbevaringsfristerne for offentlige registre, suspendere den afvejning, der skal finde sted i henhold til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f)?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

UZ

Sagsøgte i hovedsagen:

Forbundsrepublikken Tyskland

Faktum i hovedsagen:

Sagsøgeren har klaget over et afslag fra Bundesamt für Migration und Flüchtlinge (forbundskontoret for migration og flygtninge) og har nedlagt påstand om tildeling af flytningestatus i henhold til § 3 i Asylgesetz (AsylG) (asylloven). Sagsøgtes afgørelse er baseret på de elektroniske sagsakter i den såkaldte Bundesamtakte MARIS (forbundskontorets sagsakter i det elektroniske dokumentstyringssystem Migrations- Asyl, Reintegrations-. Integrations-System, forkortet MARIS), som ligeledes som led i en fælles procedure i henhold til artikel 26 fremsendes til retten via Elektronisches Gericht- und Verwaltungspostfach (retternes og forvaltningens elektroniske postkassesystem (herefter »EGVP«). For så vidt angår spørgsmålene vedrørende den fuldstændige fremsendelse af sagsakterne henvises til de spørgsmål, der allerede er forelagt Domstolen (sag C-564/21).

Der hersker tvivl om, hvorvidt der hos sagsøgte overhovedet eller i fuldstændig form foreligger en fortegnelse over behandlingsaktiviteterne som omhandlet i artikel 30 i forordning 2016/679 (generel forordning om databeskyttelse, herefter: »databeskyttelsesforordningen«) for så vidt angår de såkaldte elektroniske MARIS-sagsakter. Der foreligger heller ingen ordning eller lovbestemmelse som omhandlet i databeskyttelsesforordningens artikel 26 for så vidt angår proceduren for elektronisk fremsendelse af sagsakter og fastsættelse af ansvaret i denne procedure. Den forelæggende ret har under retssagen udbedt sig disse dokumenter. Sagsøgte har dog nægtet at fremlægge dokumenterne, bl.a. med den begrundelse, at der for så vidt angår EGVP ikke foreligger nogen ordning i henhold til databeskyttelsesforordningens artikel 26.

De præjudicielle spørgsmål:

  1. Medfører en dataansvarliges manglende eller undladte eller ufuldstændige udvisning af ansvarlighed i henhold til artikel 5 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, databeskyttelsesforordningen), f.eks. ved en manglende eller ufuldstændig fortegnelse over behandlingsaktiviteterne i henhold til databeskyttelsesforordningens artikel 30 eller en manglende ordning om en fælles procedure i henhold til databeskyttelsesforordningens artikel 26, at behandlingen af oplysninger er ulovlig som omhandlet i databeskyttelsesforordningens artikel 17, stk. 1, litra d), og artikel 18, stk. 1, litra b), således at den registrerede har ret til at få slettet eller begrænset oplysningerne?
  2. Såfremt det første spørgsmål besvares bekræftende: Medfører eksistensen af en ret til sletning eller begrænsning, at de behandlede oplysninger ikke skal tages i betragtning under en retssag? Gælder dette i hvert fald i tilfælde, hvor den registrerede rejser indsigelse mod udnyttelse under en retssag?
  3. Såfremt det første spørgsmål besvares benægtende: Medfører en dataansvarligs overtrædelse af databeskyttelsesforordningens artikel 5, 30 eller 26, at en national ret med hensyn til spørgsmålet om retslig udnyttelse af behandlingen af oplysninger kun må tage oplysningerne i betragtning, såfremt den registrerede udtrykkeligt giver samtykke til udnyttelsen?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

AB

Sagsøgte i hovedsagen:

Land Hessen

Procesdeltager:

SCHUFA Holding AG

Faktum i hovedsagen:

Sagens faktum er endnu ikke offentliggjort.

De præjudicielle spørgsmål:

  • Skal artikel 77, stk. 1, sammenholdt med artikel 78, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (generel forordning om databeskyttelse, herefter »databeskyttelsesforordningen«) forstås således, at tilsynsmyndighedens resultat, som denne meddeler den registrerede,
    • har karakter af en afgørelse af et andragende? Dette med den konsekvens, at domstolsprøvelsen af en klageafgørelse truffet af en tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 78, stk. 1, principielt er begrænset til, om myndigheden har behandlet klagen, undersøgt klagens genstand i rimeligt omfang og underrettet klageren om resultatet af undersøgelsen, eller
    • skal forstås som en realitetsafgørelse truffet af en myndighed? Dette med den konsekvens, at domstolsprøvelsen af en klageafgørelse truffet af en tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 78, stk. 1, fører til, at domstolen skal prøve realitetsafgørelsens fulde indhold, idet tilsynsmyndigheden i det konkrete tilfælde – f.eks. hvis skønnet reduceres til nul – af domstolen også kan blive forpligtet til en konkret foranstaltning som omhandlet i databeskyttelsesforordningens artikel 58.
  • Er en opbevaring af oplysninger hos et privat kreditoplysningsbureau, hvor personoplysninger fra et offentligt register såsom »nationale databaser« som omhandlet i artikel 79, stk. 4 og 5, i Europa-Parlamentets og Rådets forordning (EU) 2015/848 1 opbevares uden konkret anledning med henblik på at kunne give oplysning i tilfælde af en forespørgsel, forenelig med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder af 12. december 2007?
  • Er private databaser (navnlig et kreditoplysningsbureaus databaser), som oprettes sideløbende med de statslige databaser, og hvori oplysningerne fra de statslige databaser (i den foreliggende sag insolvensbekendtgørelser) opbevares i længere tid, end det er reguleret inden for den snævre ramme i henhold til forordning 2015/848 sammenholdt med national ret, principielt lovlige?
    • Såfremt det tredje spørgsmål besvares bekræftende: Følger det af retten til at blive glemt i henhold til databeskyttelsesforordningens artikel 17, stk. 1, litra d), at disse oplysninger skal slettes, når den fastsatte behandlingstid for det offentlige register er udløbet?
  • Såfremt databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), kommer i betragtning som eneste retsgrundlag for opbevaring af oplysninger hos private kreditoplysningsbureauer med hensyn til de oplysninger, der også opbevares i offentlige registre, foreligger der da allerede en legitim interesse for et kreditoplysningsbureau, hvis dette uden konkret anledning overtager oplysningerne fra det offentlige register, for at disse oplysninger kan stå til rådighed i tilfælde af en forespørgsel?
  • Må adfærdskodekser, som er godkendt af tilsynsmyndighederne i henhold til databeskyttelsesforordningens artikel 40 og indeholder frister for kontrol og sletning, som går ud over opbevaringsfristerne for offentlige registre, suspendere den afvejning, der skal finde sted i henhold til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f)?

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

RL

Sagsøgte i hovedsagen:

Landeshauptstadt Wiesbaden

Faktum i hovedsagen:

Sagsøgeren anmodede den 30. november 2021 om udstedelse af et nyt identitetskort uden fingeraftryk, da chippen i sagsøgerens gamle identitetskort var defekt. Genudstedelse blev afvist, eftersom optagelse af fingeraftryk var obligatorisk siden den 2. august 2021. Sagsøgeren havde endvidere ikke krav på udstedelse af et nyt identitetskort, da sagsøgeren allerede var i besiddelse af et gyldigt opholdsdokument. Et identitetskort var også gyldigt med en defekt chip.

De præjudicielle spørgsmål:

Er forpligtelsen til optagelse og lagring af fingeraftryk på identitetskort i henholdt til artikel 3, stk. 5, i Europaparlamentets og Rådets forordning (EU) 2019/1157 af 20. juni 2019 om styrkelse af sikkerheden af unionsborgeres identitetskort og af opholdsdokumenter, der udstedes til unionsborgere og deres familiemedlemmer, som udøver deres ret til fri bevægelighed (EUT L 188 af 12.07.2019, s. 67), i strid med trinhøjere EU-ret, navnlig med

  1. artikel 77, stk. 3, i Traktaten om Den Europæiske Unions Funktionsmåde,
  2. artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder,
  3. artikel 45, stk. 10, i generel forordning om databeskyttelse,

og er forpligtelsen derfor af en af de pågældende grunde ugyldig?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU’s generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

NG

Sagsøgte i hovedsagen:

Direktor na Glavna direktsia ”Natsionalna politsia” pri MVR – Sofia

De præjudicielle spørgsmål:

  • Er artikel 5, sammenholdt med artikel 13, stk. 2, litra b), og stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA til hinder for nationale lovgivningsmæssige foranstaltninger, som medfører en i praksis ubegrænset ret for de kompetente myndigheder til at behandle personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og/eller en afskaffelse af den registreredes ret til begrænsning af behandling, sletning eller tilintetgørelse af den pågældendes oplysninger?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU’s generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

JU

Sagsøgte i hovedsagen:

Scalable Capital GmbH

Faktum i hovedsagerne:

C-182/22: Sagsøgeren åbnede en konto i en tradingapp, som den sagsøgte havde ansvaret for, og indbetalte det nødvendige mindstebeløb på flere tusinde euro. Værdipapirdepotet blev forvaltet af en »robo advisor«, således at den gennemførte trading ikke viste en profil af sagsøgerens risikovillighed. Der var dog gemt nogle personoplysninger, som var nødvendige for at identificere sagsøgeren, navnlig navn, fødselsdato, adresse og e-mail-adresse, som kun blev benyttet til særligt beskyttede interesser. Der var også gemt en digitalt lagret kopi af identifikationsbeviset. Det er uomtvistet, at disse oplysninger og oplysningerne om selve depotet blev tilgået af ukendte gerningsmænd. Sagsøgeren blev afhørt personligt og udspurgt om sin oplevelse. Retten lægger i det mindste til grund, at de »mistede« oplysninger har en mere end ubetydelig følsomhed, og at en ret til erstatning i henhold til databeskyttelsesforordningens artikel 82 principielt kommer i betragtning.

C-189/22: Det drejer sig om den samme datahændelse, hvor sagsøgerens personlige oplysninger, navnlig navn, fødselsdato, adresse, e-mailadresse, kopi af identitetsbeviset og oplysninger om depotet også i dette tilfælde blev tilgået ulovligt. Sagsøgeren er endnu ikke blevet afhørt, og der foreligger derfor ikke konstateringer om dennes personlige oplevelse. Retten lægger også i denne sag til grund, at de »mistede« oplysninger har en mere end ubetydelig følsomhed, og at en ret til erstatning i henhold til databeskyttelsesforordningens artikel 82 principielt kommer i betragtning.

De præjudicielle spørgsmål:

1. Skal artikel 82 i databeskyttelsesforordningen fortolkes således, at retten til erstatning ikke i forbindelse med fastsættelsen af erstatningens størrelse kan tillægges karakter af sanktion, navnlig ingen generel eller speciel afskrækkende funktion, men at retten til erstatning kun har funktion af kompensation og evt. godtgørelse?

2.a. Skal det ved fastsættelsen af retten til erstatning for immateriel skade lægges til grund, at retten til erstatning også har en individuel godtgørelsesfunktion – i den foreliggende sag forstået som den krænkedes private interesse i at se den forvoldende adfærd retsforfulgt, eller har retten til erstatning kun en kompenserende funktion – i den foreliggende sag forstået som den funktion at kompensere for den forvoldte skade?

2.b.1. Såfremt det skal lægges til grund, at retten til erstatning for immateriel skade har såvel kompensations- som godtgørelsesfunktion: Skal det ved fastlæggelsen af erstatningens størrelse lægges til grund, at kompensationsfunktionen har en strukturel forrang frem for godtgørelsesfunktionen eller i det mindste en forrang i form af et hovedregelundtagelsesforhold? Fører dette til, at en godtgørelsesfunktion kun kommer i betragtning i forbindelse med forsætlige eller groft uagtsomme krænkelser?

2.b.2. Såfremt retten til erstatning for immateriel skade ikke kan tillægges godtgørelsesfunktion: Er det ved fastsættelsen af erstatningens størrelse kun forsætlige eller groft uagtsomme krænkelser af databeskyttelsesforordningen, der som bedømmelse af bidrag til den forvoldte skade tillægges ekstra vægt?

3. Skal der for forståelsen af retten til erstatning for immateriel skade og udmålingen af denne lægges et strukturelt rangforhold eller i det mindste et hovedregel-undtagelsesforhold til grund, hvor den oplevelse af gene, der skyldes en krænkelse af databeskyttelsesreglerne, har mindre vægt end den gene- og smerteoplevelse, der er knyttet til en fysisk skade?

4. Kan en national domstol, såfremt det lægges til grund, at der foreligger en skade, under hensyn til manglende grovhed frit tilkende en materielt ubetydelig erstatning for skaden, som dermed evt. af den krænkede eller generelt kun opleves som symbolsk?

5. Skal det lægges til grund for forståelsen af retten til erstatning for immateriel skade og bedømmelsen af dens følger, at der først foreligger identitetstyveri som omhandlet i 75. betragtning til databeskyttelsesforordningen, hvis en kriminel gerningsmand faktisk har påtaget sig den registreredes identitet, altså i en eller anden form har udgivet sig for den registrerede, eller udgør allerede den omstændighed, at kriminelle gerningsmænd råder over data, som gør det muligt at identificere den registrerede, et sådant identitetstyveri?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU’s generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status:

Domstolens præsident har besluttet at forene sagerne C-182/22 og C-189/22 med henblik på den skriftlige forhandling, den mundtlige forhandling og dommen.

Link til C-182/22 på EU-Domstolens hjemmeside

Link til C-189/22 på EU-Domstolens hjemmeside

Appellant i hovedsagen:

E.N.

Procesdeltagere i hovedsagen:

Nationale Anti-Doping Agentur Austria GmbH (NADA), Österreichischer Leichtathletikverband (ÖLV) og Word Anti-Doping Agency (WADA).

De præjudicielle spørgsmål:

  1. Er oplysningen om, at en bestemt person har overtrådt visse antidopingregler og som følge af denne overtrædelse er udelukket fra at deltage i (nationale og internationale) konkurrencer, en »helbredsoplysning« som omhandlet i artikel 9 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (herefter »den generelle forordning om databeskyttelse«)?
  2. Er den generelle forordning om databeskyttelse – navnlig henset til artikel 6, stk. 3, andet afsnit, heri til hinder for en national lovgivning, ifølge hvilken navnene på de personer, der er berørt af USK’s afgørelse, varigheden af udelukkelsen og grundene hertil offentliggøres, uden at det er muligt at udlede helbredsoplysninger om den registrerede? Spiller det i den forbindelse en rolle, at der i henhold til den nationale ordning kun kan ses bort fra offentliggørelse af disse oplysninger over for offentligheden, såfremt den registrerede er en motionsidrætsudøver, en mindreårig person eller en person, der ved meddelelse af oplysninger eller andre informationer i væsentligt omfang har bidraget til at afsløre potentielle overtrædelser af antidopingregler?
  3. Kræver den generelle forordning om databeskyttelse – navnlig henset til principperne i artikel 5, stk. 1, litra a) og litra c), heri – før offentliggørelsen under alle omstændigheder, at der foretages en interesseafvejning for så vidt angår på den ene side den registreredes personlige interesser, der berøres af en offentliggørelse, og på den anden side offentlighedens interesse i at få oplysninger om en idrætsudøvers overtrædelse af antidopingregler?
  4. Er oplysningen om, at en bestemt person har overtrådt visse antidopingregler og som følge af denne overtrædelse er udelukket fra at deltage i (nationale og internationale) konkurrencer, en behandling af personoplysninger vedrørende straffedomme og lovovertrædelser som omhandlet i artikel 10 i den generelle forordning om databeskyttelse?
  5. Såfremt det fjerde spørgsmål besvares bekræftende: Er USK, der er oprettet i henhold til § 8 i ADBG 2021, en offentlig myndighed som omhandlet i artikel 10 i den generelle forordning om databeskyttelse?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

CK

Sagsøgte i hovedsagen:

Magistrat der Stadt Wien

 

De præjudicielle spørgsmål:

1. Hvilke materielle krav skal en fremlagt oplysning opfylde for at anses for tilstrækkelig »meningsfuld« som omhandlet i artikel 15, stk. 1, litra h), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)?

Skal den dataansvarlige – om nødvendigt med den indskrænkning, at eksisterende forretningshemmeligheder beskyttes – når der er tale om en profilering, i forbindelse med oplysning om »logikken heri« principielt også videregive de oplysninger, der er væsentlige for at kunne forstå resultatet af den automatiske individuelle afgørelse, herunder navnlig 1) de personoplysninger om den registrerede, der har været genstand for behandlingen, 2) de dele af algoritmen bag profileringen, der er nødvendige for at kunne forstå afgørelsen og 3) de oplysninger, der er relevante for at kunne forstå sammenhængen mellem de behandlede data og evalueringen af dem?

Skal den, der har ret til indsigt som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, når der er tale om profilering, og selv i tilfælde af, at der fremsættes indsigelse om en forretningshemmelighed, under alle omstændigheder modtage følgende oplysninger om den konkrete behandling af vedkommendes personoplysninger, således at denne sættes i stand til at beskytte sine rettigheder i henhold til artikel 22, stk. 3, i den generelle forordning om databeskyttelse:

  1. alle de oplysninger, der gør det muligt at efterprøve, at den generelle forordning om databeskyttelse er overholdt, herved navnlig oplysninger om den måde, den registreredes personoplysninger er behandlet på, idet oplysningerne om nødvendigt må være pseudoanonymiserede,
  2. de data, der er anvendt til profileringen, idet disse stilles til rådighed,
  3. de parametre og inputvariabler, der er benyttet til at foretage vurderingen,
  4. disse parametre og inputvariablers indflydelse på den beregnede vurdering,
  5. information om, hvorledes nævnte parametre og inputvariabler er tilvejebragt,
  6. forklaring om, hvorfor den, der har ret til indsigt som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, blev henført til et bestemt vurderingsresultat, og redegørelse for hvilket udsagn, der blev forbundet med dette resultat,
  7. liste over profilkategorierne og oplysning om hvilket vurderingsudsagn, der er forbundet med hver enkelt profilkategori?

2. Er indsigtsretten som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse knyttet til retten til at fremkomme med sine synspunkter som omhandlet i artikel 22, stk. 3, i den generelle forordning om databeskyttelse og bestride en automatisk afgørelse som omhandlet i artikel 22 i den generelle forordning om databeskyttelse, for så vidt som omfanget af de oplysninger, der skal meddeles efter anmodning om indsigt i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, kun er tilstrækkelig »meningsfuldt«, hvis den, der anmoder om indsigt, og er registreret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse sættes i stand til faktisk at gøre brug af retten til at fremkomme med sine synspunkter som omhandlet i artikel 22, stk. 3, i den generelle forordning om databeskyttelse og bestride en automatisk afgørelse som omhandlet i artikel 22 i den generelle forordning om databeskyttelse, på grundig og formålstjenlig vis?

3a. Skal artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse fortolkes således, at der kun er tale om »meningsfulde oplysninger«, såfremt oplysningerne er så vidtgående, at den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, har mulighed for at fastslå, om de meddelte oplysninger er i overensstemmelse med fakta, altså om de faktisk også har ligget til grund for den automatiske individuelle afgørelse?

3b. Såfremt dette spørgsmål skal besvares bekræftende: Hvilken fremgangsmåde skal anvendes, hvis det kun er muligt at efterprøve, om en oplysning fra en dataansvarlig er korrekt, ved at den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, modtager personoplysninger om tredjemænd, der ligeledes er beskyttet i henhold til den generelle forordning om databeskyttelse (black-box)?

Kan dette spændingsfelt mellem indsigtsretten i henhold til artikel 15, stk. 1, i den generelle forordning om databeskyttelse og tredjemands databeskyttelsesret fjernes ved, at de personoplysninger om tredjemænd, der ligeledes var genstand for samme profilering, og som er nødvendige for at kunne foretage korrekthedskontrollen, udelukkende videregives til den relevante myndighed eller domstol, der derefter selvstændigt skal efterprøve, om de meddelte personoplysninger om de pågældende tredjemænd er i overensstemmelse med fakta?

3c. Såfremt dette spørgsmål skal besvares bekræftende: Hvilke rettigheder skal under alle omstændigheder indrømmes den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, såfremt der er pligt til at sikre beskyttelse af andres rettigheder som omhandlet i artikel 15, stk. 4, i den generelle forordning om databeskyttelse, når der indrettes en blackbox som nævnt i spørgsmål 3b)?

Skal de oplysninger om andre, der i så fald skal meddeles den, der har indsigtsret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, for at gøre det muligt at kontrollere, at den dataansvarliges afgørelse er korrekt, som omhandlet i artikel 15, stk. 1, i den generelle forordning om databeskyttelse, videregives i pseudoanonymiseret form?

4a. Hvilken fremgangsmåde skal anvendes, såfremt de oplysninger, der skal videregives i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, ligeledes opfylder betingelserne for en forretningshemmelighed som omhandlet i artikel 2, nr. 1), i direktiv (EU) 2016/943 af 8. juni 2016 om beskyttelse af fortrolig knowhow og fortrolige forretningsoplysninger (forretningshemmeligheder) mod ulovlig erhvervelse, brug og videregivelse, L157/1? Kan spændingsfeltet mellem den indsigtsret, der garanteres i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, og retten til hemmeligholdelse af en forretningshemmelighed, der beskyttes i direktiv (EU) 2016/943, fjernes ved at de oplysninger, der skal kvalificeres som forretningshemmelighed i henhold til direktiv (EU) 2016/943, udelukkende videregives til den relevante myndighed eller domstol, der derefter selvstændigt skal efterprøve, om der foreligger en forretningshemmelighed som omhandlet i artikel 2, nr. 1), i direktiv (EU) 2016/943, og om oplysningerne fra den dataansvarlige som omhandlet i artikel 15, stk. 1, i den generelle forordning om databeskyttelse er i overensstemmelse med fakta?

4b. Såfremt dette spørgsmål skal besvares bekræftende: Hvilke rettigheder skal der under alle omstændigheder indrømmes den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, såfremt der er pligt til at sikre beskyttelse af andres rettigheder som omhandlet i artikel 15, stk. 4, i den generelle forordning om databeskyttelse, når der indrettes en blackbox som nævnt i spørgsmål 4a)?

Skal den, der har indsigtsret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, (også) i et sådant tilfælde, hvor der ikke skal videregives de samme oplysninger til henholdsvis myndigheden/domstolen og den, der har indsigtsret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, når der er tale om profilering, under alle omstændigheder modtage følgende oplysninger om den konkrete behandling af sine personoplysninger, således at vedkommende kan beskytte sine rettigheder i henhold til artikel 22, stk. 3, i den generelle forordning om databeskyttelse fuldt ud:

  1. alle de oplysninger, der gør det muligt at efterprøve, at den generelle forordning om databeskyttelse er overholdt, herved navnlig oplysninger om den måde, den registreredes personoplysninger er behandlet på, idet oplysningerne om nødvendigt må være pseudoanonymiserede,
  2. de data, der er anvendt til profileringen, idet disse stilles til rådighed,
  3. de parametre og inputvariabler, der er benyttet til at foretage vurderingen,
  4. disse parametre og inputvariablers indflydelse på den beregnede vurdering,
  5. oplysninger om, hvorledes nævnte parametre og inputvariabler er tilvejebragt,
  6. forklaring om, hvorfor den, der har ret til indsigt som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, blev henført til et bestemt vurderingsresultat, og redegørelse for hvilket udsagn, der blev forbundet med dette resultat,
  7. liste over profilkategorierne og oplysning om hvilket vurderingsudsagn, der er forbundet med hver enkelt profilkategori?

5. Begrænses omfanget af de oplysninger, der skal meddeles i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, på en eller anden måde af artikel 15, stk. 4, i den generelle forordning om databeskyttelse?

Hvorledes begrænses indsigtsretten i bekræftende fald af artikel 15, stk. 4, i den generelle forordning om databeskyttelse, og hvordan skal omfanget af en sådan begrænsning fastslås konkret?

6. Er bestemmelsen i § 4, stk. 6, i Datenschutzgesetz (den østrigske databeskyttelseslov), hvorefter »den indsigtsret, som den registrerede i henhold til artikel 15 i den generelle forordning om databeskyttelse med forbehold af andre lovbegrænsninger har over for en dataansvarlig, som regel ikke (består), hvis videregivelse af de pågældende oplysninger ville udgøre en trussel mod en forretningshemmelighed hos den dataansvarlige eller andre« forenelig med betingelserne i artikel 15, stk. 1, sammenholdt med artikel 22, stk. 3, i den generelle forordning om databeskyttelse? Hvornår er betingelserne i givet fald opfyldt?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU’s generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Maximillan Schrems

Sagsøgte i hovedsagen:

Facebook Ireland Limited

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af High Court (Irland). Efter at EU-Domstolen i den første Schrems dom erklærede Safe Harbor-afgørelsen ugyldig, har Schrems indbragt spørgsmålet om gyldigheden af EU-Kommissionens afgørelse om standardkontraktbestemmelser for det irske datatilsyn og domstolene i Irland.

De præjudicielle spørgsmål:

  • Er der tale om en krænkelse af en privatpersons rettigheder ved videregivelsen af oplysninger fra EU til et tredjeland i henhold til afgørelsen om standardkontraktbestemmelser?
  • Ved afgørelsen af, om der er tale om en krænkelse af en privatpersons rettigheder ved videregivelsen af oplysninger til et tredjeland, hvor oplysninger kan undergå yderligere behandling af hensyn til den nationale sikkerhed, skal beskyttelsesniveauet i tredjelandet bedømmes ud fra Den Europæiske Unions Charter om grundlæggende rettigheder, TEU, TEUF, databeskyttelsesdirektivet, EMRK (eller andre EU-retlige bestemmelser) eller medlemsstaters nationale ret?
  • Henset til EU-Domstolens vurdering af beskyttelsesniveauet i Safe Harbor, krænker det da privatpersoners rettigheder, hvis personoplysninger videregives fra EU til USA i henhold til afgørelsen om standardkontraktbestemmelser?
  • Overholder beskyttelsesniveauet i USA kerneindholdet af en privatpersons ret til effektive retsmidler, der garanteres ved Chartrets artikel 47?
  • Hvilket beskyttelsesniveau kræves der for personoplysninger, som videregives til et tredjeland i medfør af standardkontraktbestemmelser vedtaget i forbindelse med afgørelsen om standardkontraktbestemmelser?
  • Hvilke forhold skal tages i betragtning ved bedømmelsen af, om beskyttelsesniveauet for oplysninger, der videregives til et tredjeland i henhold til afgørelsen om standardkontraktbestemmelser, opfylder kravene i direktivet og Chartret?
  • Er det forhold, at afgørelsen om standardkontraktbestemmelser finder anvendelse mellem dataeksportøren og dataimportøren og ikke er bindende for et tredjelands nationale myndigheder, til hinder for, at bestemmelserne yder de tilstrækkelige garantier som forudsat i databeskyttelsesdirektivet?
  • Hvis en dataimportør i et tredjeland er underlagt overvågningslovgivning, som efter databeskyttelsesmyndighedens opfattelse er i strid med bestemmelserne i bilaget til afgørelsen om standardkontraktbestemmelser, direktivets artikel 25 og 26 og/eller Chartret, skal databeskyttelsesmyndigheden da anvende sine håndhævelsesbeføjelser i henhold til direktivets artikel 28, stk. 3, til at suspendere datastrømme, eller er udøvelsen af disse beføjelser begrænset til undtagelsestilfælde, eller kan en databeskyttelsesmyndighed anvende sin skønsbeføjelse til at undlade at suspendere datastrømme?
  • Med henblik på anvendelsen af databeskyttelsesdirektivets artikel 25, stk. 6, finder Privacy Shield så generel anvendelse, og binder databeskyttelsesmyndigheder og medlemsstaternes retsinstanser, således at USA sikrer et tilstrækkeligt beskyttelsesniveau gennem landets nationale ret eller de internationale forpligtelser, USA har påtaget sig?
  • Overtræder afgørelsen om standardkontraktbestemmelser Chartrets artikel 7, 8 og/eller 47?

 

Udtalelse fra EU's generaladvokat

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 19. december 2019. Generaladvokaten konkluderer i sin udtalelse følgende:

"Analysis of the questions for a preliminary ruling has disclosed nothing to affect the validity of Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council, as amended by Commission Implementing Decision (EU) 2016/2297 of 16 December 2016".

Domsafsigelse

EU-domstolen har den 16. juli 2020 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 2, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en overførsel af personoplysninger, som foretages til forretningsmæssige formål af en erhvervsdrivende, der er etableret i en medlemsstat, til en anden erhvervsdrivende, der er etableret i et tredjeland, er omfattet af denne forordnings anvendelsesområde, uanset at disse oplysninger under eller efter overførslen kan blive behandlet af det pågældende tredjelands myndigheder af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed.

  • Artikel 46, stk. 1, og artikel 46, stk. 2, litra c), i forordning 2016/679 skal fortolkes således, at de fornødne garantier, de rettigheder, som kan håndhæves, og de effektive retsmidler, som kræves ved disse bestemmelser, skal sikre, at der for de rettigheder, som tilkommer personer, hvis oplysninger overføres til et tredjeland på grundlag af standardbestemmelser om databeskyttelse, gælder et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der er sikret i Den Europæiske Union ved denne forordning, sammenholdt med Den Europæiske Unions charter om grundlæggende rettigheder. Med henblik herpå skal der ved vurderingen af det beskyttelsesniveau, som er sikret i forbindelse med en sådan overførsel, navnlig tages hensyn til både de kontraktvilkår, som er aftalt mellem den dataansvarlige eller dennes databehandler, der er etableret i Den Europæiske Union, og modtageren af overførslen, der er etableret i det pågældende tredjeland, og – for så vidt angår en eventuel adgang for dette tredjelands offentlige myndigheder til de således overførte personoplysninger – til de relevante forhold i dettes retssystem, herunder navnlig de elementer, som er opregnet i den nævnte forordnings artikel 45, stk. 2.

  • Artikel 58, stk. 2, litra f) og j), i forordning 2016/679 skal fortolkes således, at medmindre der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, som er gyldigt vedtaget af Europa-Kommissionen, har den kompetente tilsynsmyndighed pligt til at suspendere eller forbyde en overførsel af oplysninger til et tredjeland på grundlag af standardbestemmelser om databeskyttelse vedtaget af Kommissionen, såfremt denne tilsynsmyndighed i lyset af samtlige de omstændigheder, der kendetegner denne overførsel, finder, at disse standardbestemmelser ikke er overholdt eller ikke kan overholdes i dette tredjeland, og at det ikke er muligt ved andre midler at sikre den beskyttelse af de overførte oplysninger, som kræves efter EU-retten, herunder navnlig denne forordnings artikel 45 og 46 og chartret om grundlæggende rettigheder, hvis den dataansvarlige eller dennes databehandler, som er etableret i Unionen, ikke selv har suspenderet overførslen eller bragt den til ophør.

  • Undersøgelsen af Kommissionens afgørelse 2010/87/EU af 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF, som ændret ved Kommissionens gennemførelsesafgørelse (EU) 2016/2297 af 16. december 2016, i lyset af artikel 7, 8 og 47 i chartret om grundlæggende rettigheder har intet frembragt, der kan påvirke gyldigheden af denne afgørelse.

  • Kommissionens gennemførelsesafgørelse (EU) 2016/1250 af 12. juli 2016 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU’s og USA’s værn om privatlivets fred, er ugyldig.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

VQ

Sagsøgte:

Land Hessen

Sagsøgernes påstand:

Efter at VQ havde indgivet et andragende til udvalget for andragender ved Land Hessens parlament, anmodede han på grundlag af artikel 15 i forordning 2016/679 dette udvalg om indsigt i personoplysninger, som vedrørte ham, og som udvalget havde registreret i forbindelse med behandlingen af hans andragende. Formanden for Land Hessens parlament besluttede at afslå denne anmodning med den begrundelse, at proceduren for andragender udgør en parlamentarisk opgave, og at det nævnte parlament ikke henhører under anvendelsesområdet for forordning 2016/679. VQ anlagde den 22. marts 2013 sag ved Verwaltungsgericht Wiesbaden (forvaltningsret i Wiesbaden, Tyskland) til prøvelse af denne afgørelse fra formanden for Land Hessens parlament om afslag på hans anmodning. Den tyske forvaltningsret ønskede bl.a. i sagen at få oplyst, om udvalget for andragender ved Land Hessens parlament kunne kvalificeres som en »offentlig myndighed« som omhandlet i artikel 4, nr. 7), i forordning 2016/679, og i det foreliggende tilfælde kan anses for at være »dataansvarlig« for VQ’s personoplysninger. I dette tilfælde vil sidstnævnte kunne påberåbe sig en ret til indsigt i henhold til den nævnte forordnings artikel 15.

Den tyske forvaltningsret, Verwaltungsgericht Wiesbaden, besluttede at udsætte sagen og forlægge Domstolen følgende præjudicielle spørgsmål: 

  • Finder databeskyttelsesforordningens artikel 15 anvendelse på et udvalg under et parlament i en delstat i en medlemsstat, der er ansvarlig for behandlingen af [andragender] fra borgere, her udvalget for andragender ved Hessicher Landtag, og skal dette udvalg i så henseende behandles som en offentlig myndighed som omhandlet i forordningens artikel 4, nr. 7?
  • Er den forelæggende ret en uafhængig og upartisk ret som omhandlet i artikel 267 TEUF, sammenholdt med chartrets artikel 47, stk. 2?

Domsafsigelse

EU-domstolen har den 9. juli 2020 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

  •  Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at for så vidt som et udvalg for andragender ved parlamentet i en delstat i en medlemsstat alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, skal dette udvalg kvalificeres som »dataansvarlig« som omhandlet i denne bestemmelse, således at den behandling af personoplysninger, der foretages af et sådant udvalg, henhører under denne forordnings anvendelsesområde, navnlig denne forordnings artikel 15.

Link til sagen på EU-Domstolens hjemmeside.

Sagsøgere:

Verbraucherzentrale NRW eV

Sagsøgte:

Fashion ID GmbH & Co.KG

Sagsøgernes påstand:

Fashion ID er en onlinedetailhandler, der sælger modeartikler. Selskabet integrerede et plug-in på sin hjemmeside: Facebook's "synes godt om"-knap. Når en bruger havner på Fashion ID's hjemmeside, overføres denne brugers IP-adresse og browserstring som følge heraf til Facebook. Denne overførsel sker automatisk, når Fashion ID's hjemmeside er indlæst, uafhængigt af om brugeren har klikket på ”synes godt om”-knappen, og uanset om brugeren har en Facebook-konto.

Den tyske forbrugerbeskyttelsesorganisation, Verbraucherzentrale NRW e.V, anlagde sag mod Fashion ID med påstand om, at dette plug-in udgør et brud på reglerne i databeskyttelsesdirektivet.

Væsentligste argumenter:

  • Giver databeskyttelsesdirektivet mulighed for, at national lovgivning indrømmer en forbrugerorganisation søgsmålsret til at indbringe en sag som den omhandlede?
  • Er Fashion ID dataansvarlig for den databehandling, der finder sted, når behandlingen sker automatisk og uden Fashion ID's indflydelse?
  • Er afvejningen af en ”legitim interesse”, jf. databeskyttelsesdirektivet art. 7, litra f, henvendt til interessen i at integrere eksternt indhold eller tredjemands interesse?
  • Over for hvem skal samtykket erklæres?
  • Gælder oplysningspligten også operatøren af en hjemmeside, som har integreret en tredjemans indhold og dermed etablerer årsagen til tredjemandens behandling af personoplysninger?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 19. december 2018 afgivet en udtagelelse i sagen, hvoraf følgende bl.a. fremgår:

  • Databeskyttelsesdirektivet er ikke til hinder for en national bestemmelse, som giver almennyttige organisationer beføjelse til at anlægge sag med det formål at sikre forbrugernes interesser.
  • En person, der har integreret en tredjepartsplug-in på sin hjemmeside, som forårsager indsamling og videresendelse af brugerens personoplysninger, skal anses som værende delt dataansvarlig sammen med tredjeparten.
  • Imidlertid er Fashion ID's (fælles) ansvar begrænset til de operationer, hvor virksomheden effektivt er medbestemmende i forhold til hjælpemidlerne og formålet med behandlingen af personoplysningerne.

Domsafsigelse:

EU-domstolen har den 29. juli 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

  • Direktiv 95/46 er ikke til hinder for en national lovgivning, der giver forbrugerbeskyttelsesorganisationer mulighed for at anlægge sag mod den person, der formodes at have begået en krænkelse.
  • Operatøren for et websted (Fashion ID), som har integreret et socialt modul på deres websted, kan anses for at være den dataansvarlige. Dette ansvar begrænses imidlertid til den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilken eller hvilke denne operatør rent faktisk fastlægger til hvilket formål og på hvilken måde dette må finde sted, dvs. den i hovedsagen omhandlede indsamling og videregivelse ved transmission af personoplysninger.
  • Det er nødvendigt at både operatøren og udbyderen af modulet, hver især forfølger en legitim interesse som omhandlet i databeskyttelsesdirektivets art. 7, litra f, for at disse operationer kan retfærdiggøres i forhold til dem.
  • Samtykke skal indhentes af operatøren alene for den operation, der omfatter behandling af personoplysninger, for hvilke denne operatør fastlægger til hvilket formål og på hvilken måde dette må finde sted. I disse situationer påhviler oplysningspligten ligeledes operatøren.

 

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

G.C., A.F., B.H., E.D. (fire franske statsborgere)

Sagsøgte:

Det franske datatilsyn (Commission nationale de l’informatique et des libertés (CNIL))

Sagsøgernes påstand:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Conseil d’État (øverste domstol i forvaltningsretlige sager) (Frankrig). De fire franske statsborgere har anlagt sag mod det franske datatilsyn, efter at tilsynsmyndigheden – ud fra en afvejning af hensynene til de fire franske statsborgere og hensynet til offentlighedens interesse – har afvist at give dem medhold i, at links på Google til artikler om dem skal slettes. De fire franske statsborgere mener, at retten til at blive glemt er en universel ret til at få link fjernet, hvorfor der ikke skal foretages en videre afvejning af offentlighedens interesse. Sagen drejer sig om en person, der har været talsmand for Scientology, en person der er idømt en længere fængselsstraf for sek-suel omgang med børn, en person der slap med et tiltalefrafald i en sag om ulovlig finansiering af et politisk parti og en politiker, som gerne vil have fjernet en satirisk video.

Væsentligste argumenter:

  • Finder reglerne om behandling af følsomme personoplysninger, jf. databeskyttelses-direktivets artikel 8, stk. 1 og 5, anvendelse på søgemaskineudbydere?
  • Hvis ja, skal bestemmelserne fortolkes således, at søgemaskineudbydere er forpligtet til konsekvent at efterkomme anmodninger om at fjerne links til websider, der behandler sådanne oplysninger?
  • Kan en søgemaskineudbyder foretage en afvejning af artikel 8, stk. 2, hensyn?
  • Kan en søgemaskineudbyder nægte sletning, jf. artikel 9?
  • Hvis nej, hvilke specifikke krav i databeskyttelsesdirektivet skal en søgemaskineudbyder opfylde?

Uanset hvorledes de første spørgsmål skal besvares:

  • Når den anmodende person godtgør, at disse oplysninger er blevet ufuldstændige eller ukorrekte, eller at de ikke længere er ajourførte, skal en søgemaskineudbyder efterkomme anmodningen om at fjerne det omhandlede link?
  • Og mere specifikt, når den anmodende person godtgør, at oplysningerne vedrørende en afsluttet retslig procedure, der ikke længere afspejler vedkommendes reelle aktuelle situationen, har en søgemaskineudbyder pligt til at fjerne links til websider, der indeholder sådanne oplysninger?
  • Er oplysninger om, at en person er blevet gjort til genstand for en undersøgelse, eller dømt i en retssag omfattet af direktivets artikel 8, stk. 5? Er en webside, når den indeholder oplysninger om domme og retslige procedurer, som vedrører en fysisk person, generelt omfattet af denne bestemmelsers anvendelsesområde?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 10. januar 2019 afgivet en udtalelse i sagen, hvoraf følgende bl.a. fremgår:

  • Artikel 8, stk. 1 og 5 finder som udgangspunkt anvendelse på søgemaskineudbydere.
  • I medfør af artikel 8, stk. 1 og 5, i direktivet har en søgemaskineudbyder pligt til konsekvent at efterkomme anmodninger om fjernelse af links til websider, der behandler følsomme oplysninger som omhandlet i denne bestemmelse, med forbehold af de i direktivet fastsatte undtagelser, f.eks. de undtagelser, der er omfattet af dette direktivets artikel 8, stk. 2, litra a og e.
  • Hvis oplysningerne er omfattet af direktivets artikel 9, bliver søgemaskineudbyderen nødt til at foretage en afvejning mellem på den ene side retten til respekt for privatlivet og retten til databeskyttelse og på den anden side offentlighedens ret til at få adgang til de pågældende oplysninger samt retten til ytringsfrihed for afsenderen af oplysningerne.

Domsafsigelse:

EU-domstolen har den 24. september 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

  1. Bestemmelserne i artikel 8, stk. 1 og 5, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at det forbud eller de restriktioner for behandling af særlige kategorier af personoplysninger, der er omfattet af disse bestemmelser, ligeledes finder anvendelse med forbehold af de i dette direktiv fastsatte undtagelser på en søgemaskineudbyder inden for rammerne af dennes ansvar, kompetencer og muligheder som registeransvarlig for den behandling, der foretages ved denne søgemaskines aktivitet, i forbindelse med en efterprøvelse, som udbyderen foretager under de kompetente nationale myndigheders kontrol på grundlag af en anmodning fremsat af den registrerede.
  2. Bestemmelserne i artikel 8, stk. 1 og 5, i direktiv 95/46 skal fortolkes således, at en søgemaskineudbyder i henhold til disse bestemmelser med forbehold af de i direktivet fastsatte undtagelser i princippet er forpligtet til at efterkomme anmodninger om fjernelse af links til websider, hvor der forekommer personoplysninger, som henhører under de særlige kategorier i disse bestemmelser.
    Artikel 8, stk. 2, litra e), i direktiv 95/46 skal fortolkes således, at en sådan udbyder i medfør af denne bestemmelse kan afvise at efterkomme en anmodning om fjernelse, hvis udbyderen konstaterer, at de pågældende links fører til indhold, som omfatter personoplysninger, der henhører under de særlige kategorier i artikel 8, stk. 1, men hvis behandling er omfattet af en af undtagelserne i artikel 8, stk. 2, litra e), forudsat at denne behandling opfylder alle de øvrige lovlighedsbetingelser, der er fastsat i dette direktiv, og medmindre den registrerede i medfør af nævnte direktivs artikel 14, stk. 1, litra a), ikke har ret til at modsætte sig nævnte behandling af vægtige legitime grunde, der vedrører den pågældendes særlige situation.
    Bestemmelserne i direktiv 95/46 skal fortolkes således, at søgemaskineudbyderen, når denne forelægges en anmodning om fjernelse af et link til en webside, hvor personoplysninger, som henhører under de særlige kategorier i direktivets artikel 8, stk. 1 eller 5, offentliggøres, på grundlag af alle relevante forhold i den pågældende sag og under hensyntagen til, hvor alvorligt indgrebet er i den registreredes grundlæggende rettigheder til privatlivets fred og beskyttelsen af personoplysninger som knæsat i artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, ud fra de vigtige samfundsmæssige interesser i direktivets artikel 8, stk. 4, og under overholdelse af de heri fastsatte betingelser, skal prøve, om medtagelsen af dette link på resultatlisten, som vises efter en søgning på den registreredes navn, er strengt nødvendig for at beskytte den i chartrets artikel 11 knæsatte informationsfrihed for de internetbrugere, som potentielt kunne være interesserede i at få adgang til denne webside ved en sådan søgning.
  3. Bestemmelserne i direktiv 95/46 skal fortolkes således
    • at oplysninger om retslige procedurer, som en fysisk person har været genstand for, og i givet fald oplysninger om den domfældelse, der fulgte heraf, for det første udgør oplysninger vedrørende »lovovertrædelser« og »straffedomme« som omhandlet i direktivets artikel 8,    stk. 5, og
    • at søgemaskineudbyderen for det andet er forpligtet til at efterkomme en anmodning om fjernelse af links til websider, hvor sådanne oplysninger forekommer, når disse oplysninger vedrører et tidligere trin i den pågældende retslige procedure og – henset til denne procedures forløb – ikke længere afspejler den aktuelle situation, for så vidt som det i forbindelse med prøvelsen af de vigtige samfundsmæssige interesser i direktivets artikel 8, stk. 4, konstateres, at den registreredes grundlæggende rettigheder, der er sikret ved artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, henset til samtlige omstændigheder i det konkrete tilfælde, går forud for de potentielt interesserede internetbrugeres grundlæggende rettigheder, som er beskyttet i chartrets artikel 11

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Google Inc

Sagsøgte i hovedsagen:

Det franske datatilsyn (Commission nationale de l’informatique et des libertés (CNIL))

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Conseil d’État (øverste domstol i forvaltningsretlige sager) (Frankrig). EU-Domstolen fastslog i Google Spain-afgørelsen fra maj 2014 en ”ret til at blive glemt”, idet en person på visse betingelser har ret til at få søgemaskineudbyderen til at fjerne links. I den foreliggende sag anmodes EU-Domstolen om at præcisere den territoriale rækkevidde af fjernelse af links og fastslå, om forpligtelsen til at slette links kræver en fjernelse på nationalt, europæisk eller globalt plan

De præjudicielle spørgsmål:

  • Skal ”retten til at blive glemt” som beskrevet i Google Spain afgørelsen, fortolkes således at links skal fjernes fra alle søgemaskiners domæner, også uden for det territoriale anvendelsesområde af direktivet, eller skal der i stedet anvendes geoblokering, eller er det kun fra søgeresultaterne i det land, hvor klageren bor, resultaterne skal fjernes, alternativt fra alle søgeresultaterne i søgemaskinens EU-domæner?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 10. januar 2019 afgivet en udtalelse i sagen, hvoraf følgende bl.a. fremgår:

  • Der kan ikke af direktivet udledes krav om den territoriale rækkevidde af retten til at blive glemt. Søgemaskineudbydere har derfor ikke, når denne efterkommer en anmodning om at få fjernet links, pligt til at foretage fjernelse af links på globalt plan.
  • Generaladvokaten understreger dog samtidig, at når der først er truffet en afgørelse om sletning i EU, så skal søgemaskineudbyderen sikre komplet og effektiv sletning inden for EU, herunder ved hjælp af geoblokering af IP-adresser der ser ud til at komme fra EU uafhængigt af domænet søgningen kommer fra.

Domsafsigelse:

EU-domstolen har den 24. september 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 12, litra b), og artikel 14, stk. 1, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og artikel 17, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en søgemaskineudbyder, når denne efterkommer en anmodning om at få fjernet links i henhold til disse bestemmelser, er forpligtet til at foretage denne fjernelse på de udgaver af søgemaskinen, som svarer til alle medlemsstaterne, og dette om nødvendigt i kombination med foranstaltninger, som under overholdelse af alle retlige krav gør det muligt effektivt at forhindre eller i den mindste i høj grad at afholde de internetbrugere, der foretager en søgning på den registreredes navn fra en af medlemsstaterne, fra – ud fra de resultater, der vises efter denne søgning – at få adgang til de links, som er genstand for denne anmodning, men søgemaskineudbyderen er ikke forpligtet til at foretage denne fjernelse på alle udgaver af udbyderens søgemaskine.

 

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Planet49 GmBH

Sagsøgte i hovedsagen:

Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.(Tyskland)

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Bundesgerichtshof (for-bundsdomstolen) (Tyskland). Sagen omhandler et onlinelotteri, som var organiseret af virksomheden Planet49. For at kunne deltage i lotteriet skulle brugeren sætte kryds i den første boks af to bokse på virksomhedens hjemmeside. Ved afkrydsningen gav brugeren samtykke og bekræftede sin deltagelse i lotteriet. Det fremgik også klart, at brugeren, med sit kryds, gav en række firmaer lov til at kontakte brugeren. Den anden boks var derimod allerede afkrydset på forhånd. Dette kryds gav tilladelse til, at virksomheden kunne installere cookies på brugerens browser. For at kunne deltage i lotteriet var det dog ikke et krav, at denne boks var krydset af.

De præjudicielle spørgsmål:

  • Er der tale om et gyldigt samtykke, når lagringen af oplysninger eller adgang til oplysninger, som allerede er lagret på brugerens enhed, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke?
  • Gør det en forskel om de oplysninger, der lagres eller hentes, er personoplysninger? 
  • Foreligger der under de omstændigheder samtykke efter reglerne i databeskyttelses-forordningen?
  • Hvilke oplysninger skal tjenesteudbyderen give brugeren i forbindelse med de klare og fyldestgørende oplysninger, der skal gives i henhold til e-databeskyttelsesdirektivet? Omfatter disse også cookiernes funktionsvarighed og spørgsmålet om, hvorvidt tredjemand får adgang til cookierne?

Retsmøde:

Der har den 9. juli 2019 været afholdt retsmøde i sagen, hvor bl.a. formanden fra Det Europæiske Databeskyttelsesråd på opfordring fra EU-Domstolen afgav et mundtligt indlæg i sagen.

Udtalelse fra EU's generaladvokat

EU’s generaladvokat har den 21. marts 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at der efter hans opfattelse ikke er tale om gyldigt samtykke (efter databeskyttelses-direktivet eller e-databeskyttelsesdirektivet), når lagringen af oplysninger eller adgangen til op-lysninger, der allerede er lagret på brugerens enhed, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke, og hvor samtykket ikke gives særskilt, men på samme tid som bekræftelsen på deltagelse i en konkurrence på internettet. Det gør ingen forskel, om de oplysninger, der lagres eller hentes, er personoplysninger.

 

Domsafsigelse:

EU-Domstolen har den 1. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

  1. Artikel 2, litra f), og artikel 5, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med artikel 2, litra h), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og med artikel 4, nr. 11), og artikel 6, stk. 1, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46 (generel forordning om databeskyttelse), skal fortolkes således, at det samtykke, der er omhandlet i disse bestemmelser, ikke er gyldigt afgivet, når lagring af oplysninger eller adgang til oplysninger, som allerede er lagret på brugeren af et internetwebsteds terminaludstyr, via cookies tillades ved hjælp af et forudafkrydset felt, som denne bruger skal vælge fra for at nægte at give sit samtykke.
  2. Artikel 2, litra f), og artikel 5, stk. 3, i direktiv 2002/58, som ændret ved direktiv 2009/136, sammenholdt med artikel 2, litra h), i direktiv 95/46, og med artikel 4, nr. 11), samt artikel 6, stk. 1, litra a), i forordning 2016/679, skal ikke fortolkes forskelligt, alt efter om de lagrede eller konsulterede oplysninger i brugeren af et internetwebsteds terminaludstyr udgør personoplysninger som omhandlet i direktiv 95/46 og forordning 2016/679 eller ej.
  3. Artikel 5, stk. 3, i direktiv 2002/58, som ændret ved direktiv 2009/136, skal fortolkes således, at de oplysninger, som tjenesteudbyderen skal give brugeren af et internetwebsted, omfatter oplysninger om cookiernes funktionsvarighed og oplysninger om, hvorvidt tredjemand har mulighed for at få adgang til disse cookies eller ej.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i de forende hovedsager:

Dr. Eva Glawischning-Piesczek

Sagsøgte i de forenede hovedsager:

Facebook Ireland Limited

Faktum i de forenede hovedsager:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Oberster Gerichtshof (Østrig) i en sag, hvor en østrigsk politiker ved navn Dr. Eva Glawischning-Piesczek i 2016 fandt et opslag med billede af hende på Facebook med diverse hadefulde kommentarer. Da Facebook ikke ville slette billedet, anlagde Dr. Eva Glawischning-Piescze en sag ved de østrigske domstole, som fandt, at Facebook var forpligtet til at slette billedet og identiske billeder i fremtiden. Det følger i den forbindelse af e-handelsdirektivet4 artikel 14, stk. 1, litra b, at ”host providers” (i dette tilfælde Facebook) skal tage skridt til at fjerne ulovlig information fra det øjeblik de får kendskab til ulovligheden. Ifølge direktivets artikel 15 har ”host providers” dog ingen generel overvågningsforpligtelse og kan ikke pålægges en sådan forpligtelse.

De præjudicielle spørgsmål:

• Er e-handelsdirektivets artikel 15 generelt til hinder for, at en ”host provider” ikke kun skal fjerne anmeldt ulovlig information, men også anden identisk information på et nationalt eller globalt plan?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 4. juni 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at e-handelsdirektivets artikel 15 efter hans opfattelse ikke er til hinder for, at en ”host provider”, som Facebook, bliver pålagt en pligt til at søge efter information, som er identisk med den anmeldte ulovlige information, og fjerne denne. Dette samme gælder for global sletning.

Domsafsigelse:

EU-Domstolen har den 3. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår

Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked (»Direktivet om elektronisk handel«), navnlig dets artikel 15, stk. 1, skal fortolkes således, at det ikke er til hinder for, at en ret i en medlemsstat kan:

  • pålægge en hosting-udbyder at fjerne information, som den pågældende oplagrer, og som er identisk med information, der tidligere er erklæret ulovlig, eller at hindre adgangen til den, uanset hvem der anmoder om at få den oplagret
  • pålægge en hosting-udbyder at fjerne information, som den pågældende oplagrer, og som har samme betydning som information, der tidligere er erklæret ulovlig, eller at hindre adgangen til den, forudsat at den overvågning og undersøgelse, som kræves ifølge dette påbud, er begrænset til information, der formidler et budskab, hvis indhold i det væsentlige er det samme som det, der førte til ulovlighedskonstateringen, og som indeholder de oplysninger, som er angivet i påbuddet, og forudsat at forskellen i formuleringen af det indhold, som anses for at have samme betydning som det indhold, der tidligere er erklæret ulovlig, ikke forpligter den pågældende hosting-udbyder til at foretage en selvstændig vurdering af nævnte indhold, og
  • pålægge en hosting-udbyder at fjerne information, som er genstand for et påbud, eller hindre adgangen til den i hele verden inden for rammerne af den relevante folkeret.

 

Link til dommen på EU-Domstolens hjemmeside.

 

Sagsøgere i hovedsagen:

A, B og P (tre tyrkiske statsborgere)

Sagsøgte i hovedsagen:

Staatssecretaris van Justitie en Veiligheid (Holland)

Faktum i hovedsagen:

Sagen vedrører lovligheden af, at tyrkiske statsborgere i forbindelse med udstedelse af visum til indrejse i Holland blev mødt med krav om, at de skulle afgive digital ansigtsoptagelse og fingeraftryk. Formålet med at optage og opbevare de biometriske data er, at disse efterfølgende kan anvendes til at fastslå, registrere og efterprøve udlændinges identitet og således forhindre og bekæmpe identitets- og dokumentsvig. Sagsøgers påstand er, at dette krav er i strid med afgørelsen fra Associeringsrådet, der blev oprettet ved aftalen om oprettelse af en associering mellem Det Europæiske Økonomiske Fællesskab og Tyrkiet fra 1963 (Ankara-aftalen).

De præjudicielle spørgsmål:

  • Er Ankara-aftalen til hinder for en national ordning om almindelig behandling og op-bevaring af biometriske data om tredjelandsstatsborgere, herunder tyrkiske statsborgere, når den nationale ordning ikke går videre end nødvendigt for at gennemføre det ifølge direktivet tilstræbte lovlige formål om at forhindre og bekæmpe identitets- og dokumentsvig?
  • Har det nogen betydning, at varigheden af opbevaringen af de biometriske data er knyttet til varigheden af tredjelandsstatsborgeres lovlige og/eller ulovlige ophold?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 2. maj 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at Ankara-aftalen efter hans opfattelse skal fortolkes således, at den ikke er til hinder for en ordning, hvorefter det kræves, at ansigtsbillede og fingeraftryk fra tyrkiske arbejdstagere, lagres og behandles i et udlændingeregister, som værtsstatens myndigheder kan konsultere med henblik på forebyggelse og bekæmpelse af identitets- og dokumentsvig.

Domsafsigelse:

EU-Domstolen har den 3. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 13 i afgørelse nr. 1/80 af 19. september 1980 om udvikling af associeringen, vedtaget af associeringsrådet, der blev oprettet ved aftalen om oprettelse af en associering mellem Det Europæiske Økonomiske Fællesskab og Tyrkiet, som blev undertegnet den 12. september 1963 i Ankara dels af Republikken Tyrkiet, dels af EØF’s medlemsstater og Fællesskabet, og som blev indgået, godkendt og bekræftet på Fællesskabets vegne ved Rådets afgørelse 64/732/EØF af 23. december 1963, skal fortolkes således, at en national ordning som den i hovedsagen omhandlede, der gør udstedelse af en midlertidig opholdstilladelse til tredjelandsstatsborgere, herunder tyrkiske statsborgere, betinget af, at deres biometriske data optages, registreres og opbevares i et centralregister, udgør en »ny begrænsning« i den forstand, hvori dette begreb anvendes i denne bestemmelse. En sådan begrænsning er imidlertid begrundet i formålet om at forebygge og bekæmpe identitets- og dokumentsvig.

 

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere:

TK

Sagsøgte:

Asociaţia de Proprietari bloc M5A Scara-A

Faktum i hovedsagen:

Byretten i Bukarest (Rumænien) har i en sag om videoovervågning af fællesarealer i en bolig-blok og gyldigheden af rumænsk lovgivning forelagt EU-Domstolen fire præjudicielle spørgs-mål. I den konkrete sag havde boligforeningen installeret et videoovervågningssystem i bolig-blokken. I den forbindelse gav bl.a. sagsøgeren samtykke til installation af videoovervågnings-systemet. Sagsøgeren trak efterfølgende sit samtykke til installation af overvågningssystemet tilbage. Sagsøgte nægtede dog at afinstallere videooptagelsessystemet.

De præjudicielle spørgsmål:

  • Skal Den Europæiske Unions Charter om grundlæggende rettigheder artikel 8 og 52 i samt databeskyttelsesdirektivets artikel 7, litra f, fortolkes således, at de er til hinder for en national ordning som den i hovedsagen omhandlede, hvorefter videoovervågning uden den registreredes samtykke kan anvendes dels for at tilvejebringe sikkerhed for og beskyttelse af personer, genstande og værdier, dels for at forfølge legitime interesser?
  • Skal Chartrets artikel 8 og 52 i fortolkes således, at den begrænsning i udøvelsen af rettigheder og friheder, som følger af videoovervågning, er i overensstemmelse med proportionalitetsprincippet, opfylder nødvendighedskravet og forfølger almene hensyn eller svarer til behovet for at beskytte andres rettigheder og friheder, såfremt operatøren kan træffe andre foranstaltninger for at beskytte den omhandlede legitime interesse?
  • Skal databeskyttelsesdirektivets artikel 7, litra f, fortolkes således, at den dataansvar-liges ”legitime interesse” skal være dokumenteret, eksisterende og effektiv på tidspunktet for behandlingen?
  • Skal databeskyttelsesdirektivets artikel 6, stk. l, litra e, fortolkes således, at en bestemt form for behandling (videoovervågning) er uforholdsmæssig eller uhensigtsmæssig, hvis operatøren kan træffe

Udtalelse fra EU's generaladvokat:

Domstolen har efter at have hørt generaladvokaten besluttet, at sagen skal pådømmes uden forslag til afgørelse

Domsafsigelse:

EU-Domstolen har den 11. december 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 6, stk. 1, litra c), og artikel 7, litra f), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, sammenholdt med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at de ikke er til hinder for nationale bestemmelser, som tillader indførelse af et videoovervågningssystem som det i hovedsagen omhandlede, der er installeret i fællesarealerne i en beboelsesejendom, for at forfølge legitime interesser bestående i at tilvejebringe sikkerhed for og beskyttelse af personer og ejendom, uden de registreredes samtykke, hvis behandlingen af personoplysninger ved hjælp af det pågældende videoovervågningssystem opfylder betingelserne i nævnte direktivs artikel 7, litra f), hvilket det påhviler den forelæggende ret at efterprøve.

 

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøger i hovedsagen:

VQ.

Sagsøgte i hovedsagen:

Land Hessen.

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Verwaltungsgericht Wiesbaden (Tyskland) i en sag vedrørende omfanget af indsigtsretten efter databeskyttelsesforordningen.

De præjudicielle spørgsmål:

  • Finder databeskyttelsesforordningens artikel 15, den registreredes indsigtsret, anvendelse på et udvalg under et parlament i en delstat i en medlemsstat, der er ansvarlig for behandlingen af henvendelser fra borgere, og skal dette udvalg i sådan henseende behandles som en offentlig myndighed som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7?
  • Er den forelæggende ret en uafhængig og upartisk ret som omhandlet i artikel 267 TEUF sammenholdt med Den Europæiske Unions Charter om grundlæggende rettigheder artikel 47, stk. 2?

Udtalelse fra EU's generaladvokat:

Der foreligger ikke nogen udtalelse fra EU's generaladvokat.

Domsafsigelse:

EU-domstolen har den 9. juli 2020 afsagt dom i sagen, hvoraf følgende fremgår:

”Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at for så vidt som et udvalg for andragender ved parlamentet i en delstat i en medlemsstat alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, skal dette udvalg kvalificeres som »dataansvarlig« som omhandlet i denne bestemmelse, således at den behandling af personoplysninger, der foretages af et sådant udvalg, henhører under denne forordnings anvendelsesområde, navnlig denne forordnings artikel 15.”

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Privacy International

Sagsøgte i hovedsagen:

Secretary of State for Foreign and Commonwealth Affairs, Secretary of State for the Home Department, Government Communications Headquarters, Security Service Srl og Secret Intelligence Service (UK)

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Investigatory Powers Tribunal — London (UK). Sagsøgte mener, at massindsamling af data er afgørende for beskyttelsen af den national sikkerhed, herunder som led i bekæmpelse af terrorisme, kontraspionage og bekæmpelse af spredningen af atomvåben. Som følge af Tele2/Sverige og Watson afgørelsen er udbyderen af elektroniske kommunikationsnetværk ikke efterfølgende forpligtet til at lagre kommunikationsdata (efter det tidsrum, der stilles krav om i forbindelse med deres almindelige virksomhed), men de opbevares alene af de offentlige myndigheder (sikkerheds- og efterretningsagenturerne). Sagsøgte mener derved, at de overholder kravene i EMRK og Den Europæiske Unions Charter om grundlæggende rettigheder.

De præjudicielle spørgsmål:

  • Er en myndigheds afgørelse, om at en udbyder af et elektronisk kommunikationsnetværk skal udlevere massekommunikationsdata til en medlemsstats sikkerheds- og efterretningsagenturer, omfattet af EU-retten og e-databeskyttelsesdirektivet?
  • Hvis første spørgsmål besvares bekræftende: Finder Tele2/Sverige og Watson-kravene, eller eventuelle andre krav ud over kravene i EMRK, anvendelse på en sådan afgørelse? Hvis det er tilfældet, hvordan og i hvilket omfang finder de pågældende krav anvendelse, idet der tages højde for, at det er tvingende nødvendigt, at sikkerheds- og efterretningsagenturerne kan indsamle massekommunikationsdata og bruge automatiserede behandlingsteknikker for at beskytte den nationale sikkerhed, og for, i hvor høj grad denne mulighed, såfremt den i øvrigt er i overensstemmelse med EMRK, risikerer at blive begrænset i et kritisk omfang ved indførelsen af sådanne krav?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 15. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"Artikel 4 TEU og artikel 1, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) skal fortolkes således, at de er til hinder for en national lovgivning, der pålægger en udbyder af elektroniske kommunikationsnet en pligt til at udlevere "bulk-kommunikationsdata" til en medlemsstats sikkerheds- og efterrefatningsagenturer, som indebærer en forudgående generel og udifferentieret indsamling".

Subsidiært:

"En medlemsstats sikkerheds- og efterretningsagenturers adgang til de data, som udbydere af elektronisk kommunikationsnet overfører, skal opfylde de betingelser, der er fastsat i dom af 21. december 2016, Tele2 Sverige og Watson (C-203/15 og C-698/15, EU:C:2016:970)".

Domsafsigelse:

EU-domstolen har den 6. oktober 2020 afsagt dom i sagen, hvoraf følgende fremgår:

  • "Having regard to the foregoing considerations, the answer to the first question is that Article 1(3), Article 3 and Article 15(1) of Directive 2002/58, read in the light of Article 4(2) TEU, must be interpreted as meaning that national legislation enabling a State authority to require providers of electronic communications services to forward traffic data and location data to the security and intelligence agencies for the purpose of safeguarding national security falls within the scope of that directive."
  • "The answer to the second question is that Article 15(1) of Directive 2002/58, read in the light of Article 4(2) TEU and Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as precluding national legislation enabling a State authority to require providers of electronic communications services to carry out the general and indiscriminate transmission of traffic data and location data to the security and intelligence agencies for the purpose of safeguarding national security."

 

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i de forende hovedsager:

La Quadrature du Net, French Data Network.

Sagsøgte i de forenede hovedsager:

Den franske regering.

Faktum i de forenede hovedsager:

I EU-Domstolens dom af 21. december 2016 i de forenede sager, Tele2/Sverige og Watson, C-203/15 og C-698/15, blev det b.la. fastslået, at de nationale regler om logning var i strid med e-databeskyttelsesdirektivet sammenholdt med Den Europæiske Unions Charter om grund-læggende rettigheder, idet de medførte en generel og udifferentieret lagring af trafikdata og lokaliseringsdata. Siden Tele2/Sverige og Watson dommen har flere medlemsstater valgt ikke at ophæve deres nationale lovgivning vedrørende lagring af trafikdata og lokaliseringsdata, men i stedet forholdt sig afventende. På baggrund af dette skal den franske Conseil D'État nu foretage afgørelse i to sager, omhandlende gyldigheden af fransk lovgivning og fortolkningen af e-databeskyttelsesdirektivet. Conseil d'État i Frankrig har i den forbindelse forelagt EU-Domstolen fem præjudicielle spørgsmål – hvoraf to er enslydende – om bl.a. fortolkningen af e-databeskyttelsesdirektivet.

De præjudicielle spørgsmål:

  • Skal en forpligtelse til generel og udifferentieret lagring, som pålægges udbyderne på grundlag af e-databeskyttelsesdirektivets artikel 15, stk. 1, i en situation, der er præget af alvorlige og vedvarende trusler mod den nationale sikkerhed og navnlig af risikoen for terror, anses for et berettiget indgreb i retten til den personlige sikkerhed, jf. EU Chartrets art. 6, og hensynet til den nationale sikkerhed, som medlemsstaterne er eneansvarlige for i medfør af artikel 4 i traktaten om Den Europæiske Union?
  • Skal e-databeskyttelsesdirektivet sammenholdt med EU Chartret fortolkes således, at det tillader lovgivningsmæssige foranstaltninger, såsom foranstaltninger med henblik på indsamling af trafik- og lokaliseringsdata i realtid, hvilket påvirker rettigheder og forpligtelser for udbydere af en elektronisk kommunikationstjeneste, men dog ikke pålægger dem en specifik forpligtelse til lagring af deres data?
  • Skal e-databeskyttelsesdirektivet sammenholdt med EU Chartret fortolkes således, at det gør retmæssigheden af procedurer til indsamling af data betinget af opfyldelsen af krav om underretning af de berørte personer, når en sådan underretning ikke længere kan skade de kompetente myndigheders efterforskning, eller kan sådanne procedurer kun anses for at være retmæssige når samtlige øvrige eksisterende proceduremæssige garantier finder anvendelse, idet disse sikrer, at adgangen til retsmidler er effektiv?
  • Skal bestemmelserne i e-databeskyttelsesdirektivet sammenholdt med artikel 6, 7, 8, 11 og artikel 52, stk. 1, i EU Chartret fortolkes således, at de tillader en stat at indføre en national lovgivning, der pålægger personer, hvis virksomhed består i at tilbyde adgang til offentlige onlinekommunikationstjenester, og fysiske eller juridiske personer, der, selv vederlagsfrit, med henblik på tilrådighedsstillelse for offentligheden via offentlige onlinekommunikationstjenester varetager oplagring af signaler, skrift, billeder, lyd eller meddelelser af enhver art, der leveres af modtagere af disse tjenester, at lagre data, som vil kunne gøre det muligt at identificere enhver, der har bidraget til at skabe indholdet eller en del af indholdet af de tjenester, som de leverer, for at den retslige myndighed i påkommende tilfælde kan kræve videregivelse heraf med henblik på at sikre overholdelsen af reglerne om civil- eller strafferetligt ansvar?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 15. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om privatliv og elektronisk kommunikation), sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at:

1) Bestemmelsen er til hinder for en national lovgivning, som i en situation, der er præget af alvorlige og vedvarende trusler mod den nationale sikkerhed og navnlig af risikoen for terror, forpligter operatørerne og udbyderne af elektroniske kommunikationstjenester til at foretage en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter, samt af de data, der gør det muligt at identificere skaberne af det indhold, der leveres af udbyderne af disse tjenester.

2) Bestemmelsen er til hinder for en national lovgivning, som ikke fastsætter en pligt til at underrette de berørte personer om de kompetente myndigheders behandling af deres personoplysninger, medmindre en sådan underretning er til fare for de pågældende myndigheders efterforskning.

3) Bestemmelsen er ikke til hinder for en national lovgivning, hvorefter det er tilladt at indsamle specifikke personers trafik- og lokaliseringsdata i realtid, for så vidt som disse handlinger udføres i overensstemmelse med de fastsatte procedurer for adgang til lovligt lagrede personoplysninger og med samme garantier."

Domsafsigelse:

EU-domstolen har den 6. oktober 2020 afsagt dom i sagerne, hvoraf følgende fremgår:

Ad spørgsmål 1 i sag C-511/18 og C‑512/18 og spørgsmål 1 og 2 C‑520/18:

  • Article 15(1) of Directive 2002/58, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as precluding legislative measures which, for the purposes laid down in Article 15(1), provide, as a preventive measure, for the general and indiscriminate retention of traffic and location data. By contrast, Article 15(1), read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, does not preclude legislative measures that:
    • allow, for the purposes of safeguarding national security, recourse to an instruction requiring providers of electronic communications services to retain, generally and indiscriminately, traffic and location data in situations where the Member State concerned is confronted with a serious threat to national security that is shown to be genuine and present or foreseeable, where the decision imposing such an instruction is subject to effective review, either by a court or by an independent administrative body whose decision is binding, the aim of that review being to verify that one of those situations exists and that the conditions and safeguards which must be laid down are observed, and where that instruction may be given only for a period that is limited in time to what is strictly necessary, but which may be extended if that threat persists;
    • provide, for the purposes of safeguarding national security, combating serious crime and preventing serious threats to public security, for the targeted retention of traffic and location data which is limited, on the basis of objective and non-discriminatory factors, according to the categories of persons concerned or using a geographical criterion, for a period that is limited in time to what is strictly necessary, but which may be extended;
    • provide, for the purposes of safeguarding national security, combating serious crime and preventing serious threats to public security, for the general and indiscriminate retention of IP addresses assigned to the source of an Internet connection for a period that is limited in time to what is strictly necessary;
    • provide, for the purposes of safeguarding national security, combating crime and safeguarding public security, for the general and indiscriminate retention of data relating to the civil identity of users of electronic communications systems;
    • allow, for the purposes of combating serious crime and, a fortiori, safeguarding national security, recourse to an instruction requiring providers of electronic communications services, by means of a decision of the competent authority that is subject to effective judicial review, to undertake, for a specified period of time, the expedited retention of traffic and location data in the possession of those service providers,
  • Provided that those measures ensure, by means of clear and precise rules, that the retention of data at issue is subject to compliance with the applicable substantive and procedural conditions and that the persons concerned have effective safeguards against the risks of abuse.

Ad spørgsmål 2 og 3 i sag C‑511/18:

  • Article 15(1) of Directive 2002/58, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as not precluding national rules which requires providers of electronic communications services to have recourse, first, to the automated analysis and real-time collection, inter alia, of traffic and location data and, second, to the real-time collection of technical data concerning the location of the terminal equipment used, where:
    • recourse to automated analysis is limited to situations in which a Member State is facing a serious threat to national security which is shown to be genuine and present or foreseeable, and where recourse to such analysis may be the subject of an effective review, either by a court or by an independent administrative body whose decision is binding, the aim of that review being to verify that a situation justifying that measure exists and that the conditions and safeguards that must be laid down are observed; and where
    • recourse to the real-time collection of traffic and location data is limited to persons in respect of whom there is a valid reason to suspect that they are involved in one way or another in terrorist activities and is subject to a prior review carried out either by a court or by an independent administrative body whose decision is binding in order to ensure that such real-time collection is authorised only within the limits of what is strictly necessary. In cases of duly justified urgency, the review must take place within a short time.

Ad spørgsmål 2 i sag C‑512/18:

  • Directive 2000/31 must be interpreted as not being applicable in the field of the protection of the confidentiality of communications and of natural persons as regards the processing of personal data in the context of information society services, such protection being governed by Directive 2002/58 or by Regulation 2016/679, as appropriate. Article 23(1) of Regulation 2016/679, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as precluding national legislation which requires that providers of access to online public communication services and hosting service providers retain, generally and indiscriminately, inter alia, personal data relating to those services.

Link til C-511/18 og C-512/18 på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Orange România S.A.

Sagsøgte i hovedsagen:

Det rumænske datatilsyn (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal)

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Tribunalul București (Rumænien). Sagen omhandler fortolkning af databeskyttelsesdirektivets regler om samtykke.

De præjudicielle spørgsmål:

  • Hvilke betingelser skal være opfyldt for, at en viljetilkendegivelse kan opfattes som en specifik og informeret viljetilkendegivelse som omhandlet i databeskyttelsesdirektivets artikel 2, litra h?
  • Hvilke betingelser skal være opfyldt for, at en viljetilkendegivelse kan opfattes som en frivillig viljetilkendegivelse som omhandlet i direktivets artikel 2, litra h?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 4. marts 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

”En registreret, som har til hensigt at indgå et aftaleforhold om leveringen af telekommunikationstjenester med en virksomhed, giver ikke sit »samtykke«, dvs. tilkendegiver ikke en »specifik og informeret« samt »frivillig« vilje som omhandlet i artikel 2, litra h), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og i artikel 4, nr. 11), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) til denne virksomhed, når den registrerede med håndskrift, på hvad der ellers er en standardaftale, skal anføre, at denne nægter at samtykke til fotokopieringen og opbevaringen af sine ID-dokumenter.”

Domsafsigelse

EU-domstolen har d. 11 november truffet afgørelse i sagen. Domstolen valgte i sin afgørelse at fremsætte både sin fortolkning af databeskyttelsesdirektivets artikel 2. litra h) som de præjudicielle spørgsmål oprindeligt omhandlede, samt sin fortolkning af databeskyttelsesforordningens artikel 4, stk. 11 og artikel 6, stk. 1, litra a) omhandlede den nu gældende databeskyttelsesforordnings definitionen af det databeskyttelsesretlige samtykke. 

Af Domstolens afgørelse fremgår følgende:

Artikel 2, litra h), og artikel 7, litra a), i databeskyttelsesdirektivet samt artikel 4, nr. 11), og artikel 6, stk. 1, litra a), databeskyttelsesforordningen  skal fortolkes således, at det påhviler den dataansvarlige at påvise, at den registrerede ved en aktiv adfærd har tilkendegivet sit samtykke til behandling af sine personoplysninger, og at den registrerede forud herfor har modtaget oplysninger om alle omstændigheder i forbindelse med behandlingen i en letforståelig og lettilgængelig form og i et klart og enkelt sprog, som sætter vedkommende i stand til uden besvær at bestemme konsekvenserne af dette samtykke, således at det sikres, at samtykket gives med fuldt kendskab til følgerne.

En aftale om levering af telekommunikationstjenester, der indeholder et vilkår om, at den registrerede er blevet informeret om og har givet samtykke til indsamling og opbevaring af en genpart af vedkommendes identitetsbevis med henblik på identifikation af den pågældende, kan ikke bevise, at den registrerede har givet et gyldigt samtykke til denne indsamling og opbevaring som omhandlet i disse bestemmelser, hvis

  • feltet vedrørende dette vilkår er blevet afkrydset af den dataansvarlige inden underskrivelsen af aftalen, eller
  • aftalevilkårene kan vildlede den registrerede med hensyn til muligheden for at indgå den pågældende aftale, selv om vedkommende nægter at give samtykke til behandlingen af sine oplysninger, eller
  • den dataansvarlige uretmæssigt påvirker det frie valg med hensyn til at modsætte sig denne indsamling og opbevaring ved at kræve, at den registrerede ved nægtelse af samtykke skal udfylde en supplerende formular om nægtelse.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

D.-H.T., som kurator for J & S Service UG (haftungsbeschränkt).

Sagsøgte i hovedsagen:

Land Nordrhein-Westfalen.

Faktum i hovedsagen:

Sagsøger er kurator. Han har anmodet om skattemæssige oplysninger vedrørende debitor, et kapitalselskab (Unternehmergesellschaft), fra det kompetente skattekontor med henblik på at kunne undersøge fremsatte krav om omstødelse ved insolvens.

Skattekontoret afslog imidlertid kurators anmodning, fremsat i henhold til Informationsfreiheitsgesetz (lov om informationsfrihed) i delstaten Nordrhein-Westfalen, om indsigt i oplysninger vedrørende trusler om tvangsfuldbyrdelsesforanstaltninger og om påbud om opfyldelse, modtagne betalinger og om tidspunktet, hvor det blev kendt, at debitor var insolvent, og endelig om udlevering af kontoudtog for alle forskellige typer af skattekonti i beskatningsperioden marts 2014 til juni 2015.

De præjudicielle spørgsmål:

  • Tjener artikel 23, stk. 1, litra j), i forordning (EU) 2016/679 ligeledes til beskyttelsen af skattemyndighedernes interesser?
  • Omfatter udtrykket »håndhævelse af civilretlige krav« i bekræftende fald også skattemyndighedernes forsvar mod civilretlige krav, og skal de pågældende krav i givet fald allerede være gjort gældende?
  • Giver bestemmelsen i artikel 23, stk. 1, litra e), i forordning (EU) 2016/679 om beskyttelse af en medlemsstats væsentlige finansielle interesser, herunder skatteanliggender, mulighed for at begrænse indsigtsretten i henhold til artikel 15 i forordning (EU) 2016/679 med henblik på at afværge civilretlige krav om omstødelse ved insolvens mod skattemyndighederne?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 3. september 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

”Jeg foreslår, at Domstolen fastslår, at den savner kompetence til at besvare de præjudicielle spørgsmål fra Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland).”

Domsafsigelse:

EU-domstolen har den 10. december 2020 afsagt dom i sagen, hvoraf følgende fremgår:

Domstolen har ikke kompetence til at besvare de spørgsmål, der er forelagt af Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland) ved afgørelse af 4. juli 2019.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere:

H.K.

Sagsøgte:

Anklagemyndigheden i Estland

Faktum i hovedsagen:

H.K er estisk statsborger, som blev dømt efter estisk straffelov i en sag, hvor retten i første instans støttede domfældelsen, foruden andre beviser, på protokoller, der var blevet udfærdigt på grundlag af data, som var blevet udleveret af en telekommunikationsvirksomhed i forbindelse med efterforskningen.

De præjudicielle spørgsmål:

  • Skal artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002, sammenholdt med artikel 7, 8, 11 og 52, stk. 1, i Den Europæiske Unions Charter om grundlæggende rettigheder fortolkes således, at statslige myndigheders adgang i en straffesag til data, som gør det muligt at fastslå udgangs- og destinationssted, dato, klokkeslæt og varighed, kommunikationstjenestens art, det anvendte terminaludstyr og stedet for anvendelsen af mobilt terminaludstyr for så vidt angår en sigtets telefon- eller mobiltelefonkommunikation, udgør et så alvorligt indgreb i de grundlæggende rettigheder, der er fastsat i de nævnte artikler i chartret, at denne adgang i forbindelse med forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager skal begrænses til bekæmpelse af grov kriminalitet, uanset hvilken periode de lagrede data, som de statslige myndigheder har adgang til, vedrører?

  • Skal artikel 15, stk. 1, i direktiv 2002/58/EF med udgangspunkt i proportionalitetsprincippet, som kommer til udtryk i Den Europæiske Unions Domstols dom af 2. oktober 2018 (C-207/16, præmis 55-57), fortolkes således, at når mængden af de i det første spørgsmål nævnte data, som de statslige myndigheder har adgang til, ikke er stor (hverken med hensyn til dataenes art eller tidsmæssige udstrækning), kan det dertil knyttede indgreb i de grundlæggende rettigheder være begrundet i formålet forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager generelt, og at de strafbare handlinger, som skal bekæmpes med indgrebet, skal være så meget desto grovere, jo større den mængde data er, som de statslige myndigheder har adgang til?

  • Betyder det i Domstolens dom af 21. december 2016 i de forenede sager C-203/15 og C-698/15, domskonklusionens punkt 2, nævnte krav om, at de kompetente statslige myndigheders adgang skal være underlagt en forudgående kontrol foretaget af en domstol eller af en uafhængig administrativ myndighed, at artikel 15, stk. 1, i direktiv 2002/58/EF skal [org. s. 2] fortolkes således, at anklagemyndigheden, som leder efterforskningen, og som i denne forbindelse ifølge loven er forpligtet til at handle uafhængigt og kun er bundet af loven og under efterforskningen opklarer såvel omstændigheder, der belaster den tiltalte, som omstændigheder, der er diskulperende for den pågældende, men senere i retssagen repræsenterer den offentlige anklage, kan anses for en uafhængig administrativ myndighed?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 21. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"1) Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at de kriterier, der giver mulighed for at bedømme alvoren af det indgreb i de grundlæggende rettigheder, som udgøres af de kompetente nationale myndigheders adgang til personoplysninger, som udbyderne af elektroniske kommunikationstjenester i henhold til en national lovgivning har pligt til at opbevare, omfatter de pågældende kategorier af data samt varigheden af den periode, for hvilken der er anmodet om denne adgang. Det tilkommer den forelæggende ret på grundlag af indgrebets alvor at vurdere, om den pågældende adgang var strengt nødvendig for at nå målet om at sikre forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager.

2) Artikel 15, stk. 1, i direktiv 2002/58, som ændret ved direktiv 2009/136, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i chartret om grundliggende rettigheder, skal fortolkes således, at kravet om, at de kompetente nationale myndigheders adgang til de lagrede data skal være underlagt en forudgående kontrol foretaget af en domstol eller af en uafhængig administrativ myndighed, ikke er opfyldt, når en national lovgivning bestemmer, at en sådan kontrol udføres af den offentlige anklager, der har til opgave at lede efterforskningen og samtidig kan udøve den offentlige påtalekompetence for retten."

Domsafsigelse

EU-domstolen har den 2. marts afsagt dom i sagen, hvoraf følgene fremgår:

Det første og det andet spørgsmål, som Domstolen behandlede samlet, besvares med, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, der giver offentlige myndigheder adgang til en samling af trafikdata eller lokaliseringsdata, som kan tilvejebringe oplysninger om den kommunikation, som en bruger har foretaget ved hjælp af et elektronisk kommunikationsmiddel, eller om placeringen af det terminaludstyr, som den pågældende gør brug af, og som kan gøre det muligt at drage præcise slutninger om den pågældendes privatliv, med henblik på at foretage forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager, uden at denne adgang er begrænset til de procedurer, der har til formål at bekæmpe grov kriminalitet eller at forebygge alvorlige trusler mod den offentlige sikkerhed, og uafhængigt af varigheden af den periode, for hvilken der er anmodet af adgang til de nævnte data, og mængden eller arten af de data, der er tilgængelige i en sådan periode.

Det tredje spørgsmål besvares med, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, der tillægger anklagemyndigheden, der har til opgave at lede den strafferetlige efterforskning og i givet fald at udøve den offentlige påtalekompetence i en senere retssag, beføjelse til at give en offentlig myndighed adgang til trafikdata og lokaliseringsdata i forbindelse med den strafferetlige efterforskning.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Ordre des barreaux francophones et germanophone, Académie Fiscale ASBL, UA, Liga voor Mensenrechten ASBL, Ligue des Droits de l’Homme ASBL, VZ, WY og XX.

Sagsøgte i hovedsagen:

Den belgiske regering.

Faktum i hovedsagen:

Samme problemstilling som i de forenede sager C-511/18 og C-512/18. Den belgiske forfatningsdomstol har forelagt EU-Domstolen tre præjudicielle spørgsmål ved-rørende de EU-retlige rammer for nationale bestemmelser, der forpligter teleudbydere mv. at lagre trafik- og lokaliseringsdata.

De præjudicielle spørgsmål:

  • Skal e-databeskyttelsesdirektivets artikel 15, stk. 1, sammenholdt med Den Europæiske Unions Charter om grundlæggende rettigheder artikel 6, 7, 8 og artikel 52, stk. 1, fortolkes således, at bestemmelsen er til hinder for national lovgivning, der fastsætter en generel pligt for operatører og udbydere af elektroniske kommunikationstjenester til at lagre trafik- og lokaliseringsdata, der genereres og behandles af dem inden for rammerne af udbuddet af disse tjenester, som ikke kun har efterforskning, afsløring og retsforfølgning af grov kriminalitet som formål, men ligeledes sikring af den nationale sikkerhed, forsvar af territoriet, den offentlige sikkerhed, efterforskning, afsløring og retsforfølgning af andre grunde end grov kriminalitet eller forebyggelse af ulovlig brug af elektroniske kommunikationssystemer eller gennemførelse af et andet formål i henhold til artikel 23, stk. 1, i databeskyttelsesforordningen, og som endvidere er undergivet præcise garantier i denne lovgivning vedrørende lagring af data og adgangen dertil?
  • Skal e-databeskyttelsesdirektivets artikel 15, stk. 1, sammenholdt med Chartrets artikel 4,7, 8, 11 og artikel 52, stk. 1, fortolkes således, at bestemmelsen er til hinder for en national lovgivning, der fastsætter en generel pligt for operatører og udbydere af elektroniske kommunikationstjenester til at lagre trafik- og lokaliseringsdata, der genereres og behandles af dem inden for rammerne af udbuddet af disse tjenester, såfremt denne lovgivning bl.a. har til formål at opfylde de positive forpligtelser, der påhviler myndigheden i henhold til Chartrets artikel 4 og 8, der består i at fastsætte en retlig ramme, der muliggør en effektiv strafferetlig efterforskning af og en effektiv retshåndhævelse over for seksuelt misbrug af mindreårige, og som rent faktisk gør det muligt at identificere gerningsmanden bag overtrædelsen, selv i tilfælde, hvor der gøres brug af elektroniske kommunikationsmidler?
  • Såfremt den belgiske forfatningsdomstol på grundlag af besvarelserne af det første og det andet præjudicielle spørgsmål konkluderer, at den anfægtede lov er i strid med en eller flere af de forpligtelser, der følger af de i disse spørgsmål nævnte bestemmelser, kan forfatningsdomstolen da midlertidigt opretholde virkningerne af den national lov om indsamling og lagring af data i den elektroniske kommunikationssektor med henblik på at undgå retsusikkerhed og muliggøre, at data, der forinden er blevet indsamlet og lagret, stadig kan anvendes til de formål, der er omhandlet i loven?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 15. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"1) Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at:

– Den er til hinder for en national lovgivning, som pålægger operatører og udbydere af elektroniske kommunikationstjenester en pligt til generelt og udifferentieret at lagre trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og brugere i forbindelse med samtlige midler til elektronisk kommunikation.

– Ovenstående berøres ikke af den omstændighed, at denne nationale lovgivning ikke blot har efterforskning, afsløring og retsforfølgning af grov eller ikke grov kriminalitet til formål, men derimod også den nationale sikkerhed, forsvar af territoriet, den offentlige sikkerhed, forebyggelse af ulovlig brug af elektroniske kommunikationssystemer eller et andet formål i henhold til artikel 23, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

– Ovenstående berøres heller ikke af den omstændighed, at adgangen til lagrede data er undergivet præcise lovgivningsmæssige garantier. Det tilkommer den forelæggende ret at efterprøve, om den nationale lovgivning, der regulerer betingelserne for de kompetente myndigheders adgang, begrænser den til de specifikke tilfælde, hvis grad af alvor gør det nødvendigt at foretage et indgreb, betinger den af en forudgående kontrol (undtagen i hastende tilfælde) fra en retsinstans eller en uafhængig myndighed, og foreskriver, at de berørte personer underrettes om denne adgang, såfremt denne underretning ikke bringer disse myndigheders indsats i fare.

2) Artikel 4 og 6 i Den Europæiske Unions charter om grundlæggende rettigheder berører ikke fortolkningen af artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med de øvrige førnævnte artikler i chartret, således at de forhindrer, at det fastslås, at en national lovgivning som den i hovedsagen omtvistede er uforenelig med EU-retten.

3) En national retsinstans kan, hvis dette er tilladt i henhold til national ret, undtagelsesvis og midlertidigt opretholde virkningerne af en lovgivning som den i hovedsagen omhandlede, selv om den er uforenelig med EU-retten, såfremt denne opretholdelse er begrundet i tvingende hensyn vedrørende trusler mod den offentlige sikkerhed eller den nationale sikkerhed, som ikke er mulige at håndtere ved hjælp af andre midler eller alternativer. Nævnte opretholdelse kan kun omfatte den tidsperiode, som er strengt nødvendig for at afhjælpe den pågældende uforenelighed med EU-retten."

Domsafsigelse:

EU-domstolen har den 6. oktober 2020 afsagt dom i sagen, hvoraf følgende fremgår:

Ad spørgsmål 1 og 2:

  • Artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for lovgivningsmæssige foranstaltninger, der med henblik på de formål, der er fastsat i denne artikel 15, stk. 1, i forebyggende øjemed foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata. Den nævnte artikel 15, stk. 1, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, er derimod ikke til hinder for lovgivningsmæssige foranstaltninger
    • der med henblik på beskyttelse af den nationale sikkerhed gør det muligt at pålægge udbydere af elektroniske kommunikationstjenester et påbud om at foretage generel og udifferentieret lagring af trafikdata og lokaliseringsdata i de situationer, hvor den pågældende medlemsstat står over for en alvorlig trussel mod den nationale sikkerhed, som må anses for at være reel og aktuel eller forudsigelig, når den afgørelse, der fastsætter dette påbud, kan gøres til genstand for en effektiv prøvelse enten ved en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser, med henblik på at kontrollere, om en af disse situationer foreligger, samt om de betingelser og garantier, der skal være fastsat, er overholdt, og når det nævnte påbud kun kan udstedes for en periode, der er tidsmæssigt begrænset til det strengt nødvendige, men som kan forlænges i tilfælde af, at denne trussel består
    • der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver målrettet lagring af de trafikdata og lokaliseringsdata, som på grundlag af objektive og ikke-diskriminerende forhold er afgrænset ud fra kategorier af berørte personer eller ved hjælp af et geografisk kriterium, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige, men som kan forlænges
    • der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver generel og udifferentieret lagring af de IP-adresser, der er tildelt kilden til en forbindelse, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige
    • der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og beskyttelse af den offentlige sikkerhed foreskriver generel og udifferentieret lagring af de data, der vedrører identiteten på brugerne af elektroniske kommunikationsmidler, og
    • der med henblik på bekæmpelse af grov kriminalitet og a fortiori med henblik på beskyttelsen af den nationale sikkerhed, gør det muligt ved en afgørelse fra den kompetente myndighed, som er underlagt en effektiv domstolsprøvelse, at pålægge udbydere af elektroniske kommunikationstjenester et påbud om i en begrænset periode at foretage hurtig lagring af de trafikdata og lokaliseringsdata, som disse tjenesteudbydere råder over
  • for så vidt som disse foranstaltninger ved klare og præcise regler sikrer, at lagringen af de omhandlede data er underlagt overholdelsen af de dermed forbundne materielle og proceduremæssige betingelser, og at de berørte personer råder over effektive garantier mod risikoen for misbrug

Ad spørgsmål 3:

  • Det tredje spørgsmål i sag C-520/18 besvares med, at en national ret ikke kan anvende en bestemmelse i den nationale lovgivning, som giver den bemyndigelse til tidsmæssigt at begrænse virkningerne af en afgørelse om ulovlighed, som det i medfør af denne lovgivning påhviler denne ret at træffe, med hensyn til en national lovgivning, der pålægger udbydere af elektroniske kommunikationstjenester navnlig med henblik på beskyttelse af den nationale sikkerhed og bekæmpelse af kriminalitet, at foretage en generel og udifferentieret lagring af trafikdata og lokaliseringsdata, som er uforenelig med artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1. Denne artikel 15, stk. 1, som fortolket i lyset af effektivitetsprincippet, pålægger den nationale ret i straffesager at se bort fra de oplysninger og de beviser, der er opnået ved hjælp af en generel og udifferentieret lagring af trafikdata og lokaliseringsdata, som er uforenelig med EU-retten, inden for rammerne af en straffesag, der er indledt mod personer, som er mistænkt for at have begået kriminelle handlinger, hvis disse personer ikke er i stand til effektivt at udtale sig om disse oplysninger og disse beviser, som henhører under et område, der ligger uden for rettens sagkundskab, og som kan have afgørende indflydelse på vurderingen af de faktiske omstændigheder.

Link til sagen på EU-Domstolens hjemmeside  

 

Sagsøgere i hovedsagen:

WS

Sagsøgte i hovedsagen:

Bundesrepublik Deutschland

Faktum i hovedsagen:

Den konkrete sag drejer sig om, at Interpol har registreret en efterlysning (en såkaldt "Red Notice"), som hidrører fra en stat uden for EU, og hvor efterforskningen af den person, som efterlysningen vedrører (sagsøger i den tyske sag), blev indstillet af en tysk anklagemyndighed mod betaling af et pålagt beløb.

Sagsøger har bl.a. gjort gældende, at medlemsstaternes behandling af personoplysninger om ham registreret hos Interpol som en "Red Notice" er i strid med retshåndhævelsesdirektivet, idet behandling efter direktivets artikel 8, stk. 1, kun er lovlig, hvis den sker på grundlag af EU-retten. Det følger endvidere af 25. betragtning til retshåndhævelsesdirektivet, at grundlæggende rettigheder og frihedsrettigheder med hensyn til elektronisk behandling af personoplysninger skal sikres ved udvekslingen af personoplysninger med Interpol. På den baggrund anfører sagsøger, at medlemsstaterne alene må behandle oplysninger registreret hos Interpol, der er i overensstemmelse med EU-retten.

Det bemærkes i den forbindelse, at der ikke foreligger en afgørelse fra EU-Kommissionen om tilstrækkeligheden af Interpols databeskyttelsesniveau, jf. retshåndhævelsesdirektivets artikel 36

De præjudicielle spørgsmål:

  • Skal Schengenkonventionens 1 artikel 54, sammenholdt med artikel 50 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«), fortolkes således, at allerede indledningen af en straffesag i alle lande omfattet af Schengenaftalen på grund af den samme lovovertrædelse er udelukket, når en tysk anklagemyndighed indstiller en indledt straffesag, efter at den sigtede har opfyldt bestemte vilkår, herunder navnlig har betalt et bestemt af anklagemyndigheden fastsat pengebeløb?
  • Gælder der som følge af artikel 21, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde et forbud mod medlemsstaters efterkommelse af anmodninger om anholdelse fra tredjelande inden for rammerne af en international organisation som Den Internationale Kriminalpolitiorganisation – Interpol – når den af anholdelsesanmodningen omfattede person er unionsborger, og når den medlemsstat, hvori den pågældende er statsborger, har underrettet både den internationale organisation og dermed også de øvrige medlemsstater om sin betænkelighed ved anholdelsesanmodningens forenelighed med forbuddet mod dobbeltstraf?
  • Er allerede indledningen af en straffesag og en foreløbig anholdelse i de medlemsstater, hvori den pågældende ikke er statsborger, i strid med artikel 21, stk. 1, TEUF, såfremt dette er i strid med forbuddet mod dobbeltstraf?
  • Skal artikel 4, stk. 1, litra a), og artikel 8, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 2 , sammenholdt med Schengenkonventionens artikel 54 og chartrets artikel 50, fortolkes således, at medlemsstaterne er forpligtet til at fastsætte retsregler, som kan sikre, at det i tilfælde af en sag, der fører til ophør af adgangen til strafforfølgning, i alle stater omfattet af Schengenaftalen vil være forbudt at behandle en såkaldt (»Red Notice)« fra Den Internationale Kriminalpolitiorganisation – Interpol – med henblik på på ny at indlede en straffesag?
  • Råder en international organisation som Den Internationale Kriminalpolitiorganisation – Interpol – over et tilstrækkeligt databeskyttelsesniveau, når der ikke er truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet i medfør af artikel 36 i direktiv (EU) 2016/680 og/eller fastsat bestemmelser om fornødne garantier i medfør af artikel 37 i direktiv (EU) 2016/680?
  • Må medlemsstaterne kun behandle oplysninger, som indgår i en til Den Internationale Kriminalpolitiorganisation – Interpol – af tredjelande indgivet efterlysning (»Red Notice«), hvis et tredjeland med efterlysningen formidler en anholdelses- og udleveringsanmodning og samtidig fremsætter en anholdelsesanmodning, der ikke strider mod EU-retten, herunder navnlig forbuddet mod dobbeltstraf?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 19. november 2020. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

Ad det første, andet og tredje spørgsmål

’’Artikel 54 i konventionen om gennemførelse af Schengenaftalen af 14. juni 1985 mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, sammenholdt med artikel 50 i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 21, stk. 1, TEUF, er til hinder for, at medlemsstaterne kan gennemføre en af Interpol udstedt Red Notice efter anmodning fra et tredjeland og dermed begrænse en persons frie bevægelighed, forudsat at den kompetente myndighed i en medlemsstat har truffet en endelig afgørelse om den konkrete anvendelse af princippet ne bis in idem for så vidt angår de specifikke anklager, som var baggrunden for udstedelsen af den omhandlede Red Notice.’’

Ad det fjerde og sjette spørgsmål

’’Bestemmelserne i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger , sammenholdt med gennemførelseskonventionens artikel 54 og chartrets artikel 50, er ikke til hinder for behandling af personoplysninger, der indgår i en Red Notice udstedt af Interpol, selv hvis princippet ne bis in idem kunne finde anvendelse på anklager, som var baggrunden for udstedelsen af denne Red Notice, forudsat at behandlingen foretages i overensstemmelse med reglerne i dette direktiv.’’

Ad det femte spørgsmål

’’Det femte spørgsmål (om hvorvidt en international organisation som Den Internationale Kriminalpolitiorganisation – Interpol – råder over et tilstrækkeligt databeskyttelsesniveau red.) afvises.’’

Domsafsigelse:

EU-domstolen har den 12. maj 2021 afsagt dom i sagen, hvoraf følgende fremgår:

1)      Artikel 54 i konventionen om gennemførelse af Schengen-aftalen af 14. juni 1985 mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, der blev undertegnet i Schengen den 19. juni 1990 og trådte i kraft den 26. marts 1995, og artikel 21, stk. 1, TEUF, sammenholdt med artikel 50 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at bestemmelserne ikke er til hinder for, at myndighederne i en stat, der er part i aftalen indgået mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, undertegnet i Schengen den 14. juni 1985, eller en medlemsstats myndigheder efter anmodning fra en tredjestat foretager en midlertidig anholdelse af en person, der er omfattet af et efterlysningsblad (rødt hjørne) offentliggjort af Den Internationale Kriminalpolitiorganisation (INTERPOL), medmindre det i en endelig retsafgørelse truffet i en stat, der er part i denne aftale, eller i en medlemsstat er godtgjort, at der over for denne person allerede er afsagt endelig dom i en stat, som er part i nævnte aftale, eller i en medlemsstat for de samme strafbare handlinger som dem, der udgør grundlaget for det nævnte efterlysningsblad (rødt hjørne).

2)      Bestemmelserne i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA, sammenholdt med artikel 54 i konventionen om gennemførelse af Schengenaftalen, undertegnet den 19. juni 1990, og med artikel 50 i chartret om grundlæggende rettigheder, skal fortolkes således, at de ikke er til hinder for en behandling af de personoplysninger, som er indeholdt i et efterlysningsblad (rødt hjørne) udsendt af Den Internationale Kriminalpolitiorganisation (INTERPOL), så længe det ikke ved en endelig retsafgørelse truffet i en stat, der er part i aftalen indgået mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, undertegnet i Schengen den 14. juni 1985, eller i en medlemsstat er blevet godtgjort, at princippet ne bis in idem finder anvendelse for så vidt angår de strafbare handlinger, hvorpå dette efterlysningsblad er støttet, og forudsat at en sådan behandling opfylder de i direktivet fastsatte betingelser, herunder navnlig at den er nødvendig for, at en kompetent myndighed kan udføre en opgave som omhandlet i direktivets artikel 8, stk. 1.

3)      Det femte præjudicielle spørgsmål kan ikke antages til realitetsbehandling

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i hovedsagen:

Facebook Ireland Ltd, Facebook Inc og Facebook Belgien Bvba

Sagsøgte i hovedsagen:

Det Belgiske Datatilsyn

Faktum i hovedsagen:

Sagens faktum er endnu ikke offentliggjort.

De præjudicielle spørgsmål:

  • Skal artikel [55, stk. 1], artikel 56-58 og artikel 60-66 i forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF i forbindelse med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder fortolkes således, at en tilsynsmyndighed i henhold til nationale regler vedtaget til gennemførelse af denne forordnings artikel [58, stk. 5] har kompetence til at indlede en retssag ved en ret i denne myndigheds medlemsstat, ikke må udøve denne kompetence i forbindelse med en grænseoverskridende behandling, hvis den ikke er den ledende tilsynsmyndighed ved den grænseoverskridende behandling?
  • Har det herved nogen betydning, hvis den behandlingsansvarlige for den grænseoverskridende behandling ikke har sin hovedvirksomhed i denne medlemsstat men dog et andet etableringssted?
  • Har det herved nogen betydning, hvis den nationale tilsynsmyndighed indleder retssagen mod den behandlingsansvarliges hovedvirksomhed eller mod etableringsstedet i myndighedens egen medlemsstat?
  • Har det herved nogen betydning, hvis den nationale tilsynsmyndighed allerede har indledt retssagen før den dato, fra hvilken forordningen fandt anvendelse (25. maj 2018)?
  • Såfremt det første spørgsmål besvares bekræftende, har artikel [58, stk. 5], i forordning 2016/679 da direkte virkning, således at en national tilsynsmyndighed kan støtte ret på denne artikel for at indlede eller fortsætte en retssag mod enkelte parter, uanset denne forordnings artikel [58, stk. 5] ikke specifikt er blevet gennemført i medlemsstatens lovgivning, selv om der var pligt hertil?
  • Såfremt de foregående spørgsmål besvares bekræftende, ville udfaldet af sådanne retssager kunne være til hinder for, at den ledende tilsynsmyndighed drager den modsatte konklusion i det tilfælde, at den ledende tilsynsmyndighed undersøger de samme eller lignende grænseoverskridende behandlingsaktiviteter i overensstemmelse med den mekanisme, der er fastsat i artikel 56 og 60 i forordning 2016/679?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 13. januar 2021. Generaladvokaten konkluderer i sin udtalelse følgende:

  • Bestemmelserne databeskyttelsesforordningen giver en medlemsstats tilsynsmyndighed mulighed for at anlægge sag ved en domstol i den pågældende medlemsstat om en påstået overtrædelse af databeskyttelsesforordningen som følge af grænseoverskridende databehandling, selv om den ikke er den ledende tilsynsmyndighed, såfremt dette sker i de situationer og i henhold til den fremgangsmåde, der er fastsat i databeskyttelsesforordningen.
  • Databeskyttelsesforordningen er til hinder for, at en tilsynsmyndighed fortsætter behandlingen af en retssag, der blev indledt før forordningens ikrafttrædelse, men som vedrører adfærd, der ligger efter denne dato.
  • Databeskyttelsesforordningens artikel 58, stk. 5, har direkte virkning, for så vidt som en national tilsynsmyndighed kan støtte ret på denne bestemmelse for at indlede eller fortsætte behandlingen af retssager ved de nationale domstole, selv om denne bestemmelse ikke specifikt er blevet gennemført i national lovgivning.«

Domsafsigelse:

EU-domstolen har den 15. juni 2021 afsagt dom i sagen, hvoraf følgende fremgår:

1)      Artikel 55, stk. 1, artikel 56-58 og artikel 60-66 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at en medlemsstats tilsynsmyndighed, som i henhold til den nationale lovgivning, der er vedtaget til gennemførelse af denne forordnings artikel 58, stk. 5, har beføjelse til at indbringe alle angivelige overtrædelser af nævnte forordning for en retsinstans i denne medlemsstat og om nødvendigt indlede eller deltage i retssager, kan udøve denne beføjelse for så vidt angår en grænseoverskridende behandling af oplysninger, selv om den ikke er den »ledende tilsynsmyndighed« som omhandlet i samme forordnings artikel 56, stk. 1, for så vidt angår denne behandling af oplysninger, for så vidt som der er tale om en af de situationer, hvor forordning 2016/679 tillægger denne tilsynsmyndighed en kompetence til at vedtage en afgørelse, hvorved det fastslås, at nævnte behandling tilsidesætter de regler, som den indeholder, og overholder de procedurer for samarbejde og sammenhæng, der er fastsat i denne forordning.

2)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at det, for at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kan gøre brug af beføjelsen til at indlede eller deltage i retssager som omhandlet i denne bestemmelse, i forbindelse med grænseoverskridende behandling af personoplysninger, ikke kræves, at den dataansvarlige eller databehandleren for den grænseoverskridende behandling af personoplysninger, som dette søgsmål er rettet mod, har en hovedvirksomhed eller en anden etablering på denne medlemsstats område.

3)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kan gøre brug af beføjelsen til at indbringe alle angivelige overtrædelser af denne forordning for en retsinstans i denne medlemsstat og om nødvendigt at indlede eller deltage i retssager som omhandlet i denne bestemmelse, både med hensyn til den dataansvarliges hovedvirksomhed, der ligger i den medlemsstat, som henhører under denne myndighed, og med hensyn til en anden af den ansvarliges etableringer, for så vidt som søgsmålet omhandler en behandling af oplysninger, der er foretaget inden for rammerne af denne etablerings aktiviteter, og at nævnte myndighed er kompetent til at udøve denne beføjelse i overensstemmelse med det, der er anført som svar på det første spørgsmål.

4)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at når en tilsynsmyndighed i en medlemsstat, som ikke er den »ledende tilsynsmyndighed« som omhandlet i denne forordnings artikel 56, stk. 1, har anlagt et søgsmål om grænseoverskridende behandling af personoplysninger inden den 25. maj 2018, dvs. inden den dato, hvor den nævnte forordning fandt anvendelse, kan dette søgsmål, set fra et EU-retligt synspunkt, opretholdes på grundlag af bestemmelserne i direktiv 95/46, som fortsat finder anvendelse for så vidt angår overtrædelser af de regler, som det fastsætter, der er begået indtil datoen for dette direktivs ophævelse. Nævnte søgsmål kan desuden anlægges af denne myndighed for overtrædelser, der er begået efter denne dato på grundlag af artikel 58, stk. 5, i forordning 2016/679, for så vidt som det er i en af de situationer, hvor denne forordning undtagelsesvis tillægger en tilsynsmyndighed i en medlemsstat, som ikke er den »ledende tilsynsmyndighed«, en kompetence til at vedtage en afgørelse, hvori det fastslås, at den omhandlede behandling af oplysninger tilsidesætter de regler, der er fastsat i nævnte forordning for så vidt angår beskyttelsen af fysiske personers rettigheder i forbindelse med behandling af personoplysninger og under overholdelse af de samarbejds- og sammenhængsprocedurer, der er fastsat i denne forordning, hvilket det tilkommer den forelæggende ret at efterprøve.

5)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at denne bestemmelse har direkte virkning, således at en national tilsynsmyndighed kan påberåbe sig den nævnte bestemmelse for at anlægge eller genoptage en sag mod private, selv om den samme bestemmelse ikke specifikt er blevet gennemført i den pågældende medlemsstats lovgivning.

 

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøger i hovedsagen:

M.I.C.M. Mircom International Content Management & Consulting Limited.

Sagsøgte i hovedsagen:

Telenet BVBA.

Faktum i hovedsagen:

I hovedsagen kræver selskabet Mircom, at Telenet fremlægger identifikationsoplysninger for tusindvis af sine kunder, hvilket Telenet har afvist. Ifølge Mircom har de pågældende kunder ved hjælp af BitTorrent-teknologi uploadet film fra dets katalog, hvilket ifølge Mircom er en ulovlig overføring af dets film til almenheden.

De præjudicielle spørgsmål:

  • Kan downloading via et peer-to-peer netværk af en fil med tilhørende underdele ("pieces") (nogle gange meget fragmentarisk i forhold til hele filen) med henblik på at uploade til tilrådighedsstillelse ("seede"), betragtes som en overføring til almenheden som omhandlet i artikel 3, stk. 1, i direktiv 2001/29, til trods for, at disse individuelle pieces i sig selv er uanvendelige?
    • gælder der en bagatelgrænse for, hvornår seeding af disse pieces udgør en overførsel til almenheden?
    • er det en relevant omstændighed, at seeding'en (som en følge af indstillingerne i kundens BitTorrent-program) kan ske automatisk og således uden brugerens viden? 
  • Kan en person, der i henhold til aftale er indehaver af ophavsrettigheder (eller beslægtede rettigheder), men som ikke selv udnytter disse rettigheder men blot kræver skadeserstatning af formentlige krænkere – og hvis økonomiske model for indtjening således er afhængig af piratvirksomhed i stedet for at bekæmpe den – nyde de samme rettigheder, som efter kapitel II i direktiv 2004/48 tilkommer ophavsmænd eller licenshavere, som udnytter ophavsrettigheder på normal vis? 
    • Hvorledes kan disse licenshavere i dette tilfælde have lidt et "tab" som følge af krænkelsen (som omhandlet i artikel 13 i direktiv 2004/48)? 
  • Er de konkrete omstændigheder, der er beskrevet i spørgsmål 1 og 2 relevante ved bedømmelsen af afvejningen af den korrekte ligevægt mellem på den ene side håndhævelsen af intellektuelle ejendomsrettigheder og på den anden side de rettigheder og friheder, der sikres af grundrettighedschartret så som beskyttelse af privatlivet og personoplysninger, særligt i forbindelse med proportionalitetsbedømmelsen? 
  • Er systematisk registrering og påfølgende generel behandling af IP-adresser på en swarm af seeders (foretaget af licenshaver selv eller af tredjemand på opdrag af licenshaver) under disse omstændigheder lovlig efter den generelle forordning om databeskyttelse, nærmere bestemt artikel 6, stk. 1, litra f), i denne forrodning? 

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 17. december 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

1) Artikel 3 i Europa-Parlamentets og Rådets direktiv 2001/29/EF af 22. maj 2001 om harmonisering af visse aspekter af ophavsret og beslægtede rettigheder i informationssamfundet skal fortolkes således, at den omstændighed, at delelementer af en fil, der indeholder et beskyttet værk, stilles til rådighed til downloading via et peer-to-peer-netværk, selv inden den pågældende bruger har downloadet hele den pågældende fil, er omfattet af retten til tilrådighedsstillelse for almenheden som omhandlet i denne artikel, uden at det er afgørende, om denne bruger havde fuldt kendskab til omstændighederne.

2) Artikel 4, litra b), i Europa-Parlamentets og Rådets direktiv 2004/48/EF af 29 april 2004 om håndhævelsen af intellektuelle ejendomsrettigheder skal fortolkes således, at en organisation, som, selv om den har erhvervet visse rettigheder til beskyttede værker, ikke udnytter dem og blot kræver erstatning fra personer, som krænker disse rettigheder, ikke har mulighed for at gøre brug af de i dette direktivs kapitel II omhandlede foranstaltninger, procedurer og retsmidler, i det omfang den nationale ret finder, at denne organisations erhvervelse af rettighederne alene havde til formål at opnå denne mulighed. Direktiv 2004/48 kræver ikke og er ikke til hinder for, at en medlemsstat i sin nationale lovgivning giver en erhverver af fordringer, der er forbundet med krænkelser af intellektuelle ejendomsrettigheder, denne mulighed.

3) Artikel 8, stk. 1, i direktiv 2004/48, sammenholdt med dette direktivs artikel 3, stk. 2, skal fortolkes således, at den nationale ret skal nægte adgangen til at gøre brug af den i dette direktivs artikel 8 omhandlede ret til information, hvis den under hensyn til sagens omstændigheder finder, at anmodningen om oplysninger er ubegrundet eller uretmæssig.

4) Artikel 6, stk. 1, litra f), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at registrering af IP-adresser, der er tildelt personer, hvis internetforbindelser er blevet brugt til deling af beskyttede værker via peer-to-peer-netværk, udgør en lovlig behandling af personoplysninger, når denne registrering foretages som led i den dataansvarliges eller en tredjemands forfølgelse af en legitim interesse, navnlig med henblik på at indgive en begrundet anmodning om udlevering af navnene på indehaverne af de internetforbindelser, der er identificeret ved hjælp af IP-adresserne i henhold til artikel 8, stk. 1, litra c), i direktiv 2004/48.«

Domsafsigelse:

EU-Domstolen har den 17. juni 2021 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1) Artikel 3, stk. 1 og 2, i Europa-Parlamentets og Rådets direktiv 2001/29/EF af 22. maj 2001 om harmonisering af visse aspekter af ophavsret og beslægtede rettigheder i informationssamfundet skal fortolkes således, at uploading fra terminaludstyr tilhørende en bruger af et peer-to-peer-netværk til terminaludstyr tilhørende andre brugere af dette netværk, af delelementer, som denne bruger først har downloadet, af en mediefil, der indeholder et beskyttet værk, udgør en tilrådighedsstillelse for almenheden i denne bestemmelses forstand, selv om disse delelementer kun er anvendelige i sig selv, når en vis andel er downloadet. Det er uden betydning, at uploadingen foretages automatisk af delingssoftwaren BitTorrent-klient som følge af denne softwares indstillinger, når brugeren fra det terminaludstyr, hvorfra uploadingen sker, har tegnet abonnement på denne software ved at give samtykke til anvendelse heraf efter at være blevet behørigt informeret om dens egenskaber.

2) Europa-Parlamentets og Rådets direktiv 2004/48/EF af 29. april 2004 om håndhævelsen af intellektuelle ejendomsrettigheder skal fortolkes således, at en person, der i henhold til aftale er indehaver af visse intellektuelle ejendomsrettigheder, som denne person dog ikke selv udnytter, idet den pågældende blot kræver erstatning fra de formodede krænkende parter, principielt kan gøre brug af de foranstaltninger, procedurer og retsmidler, der er fastsat i dette direktivs kapitel II, medmindre det i henhold til den generelle forpligtelse, der er fastsat i direktivets artikel 3, stk. 2, og på grundlag af en samlet og indgående undersøgelse godtgøres, at den pågældende persons begæring er udtryk for misbrug. Hvad særligt angår en begæring om oplysninger på grundlag af dette direktivs artikel 8 skal en sådan ligeledes afslås, hvis den ikke er velbegrundet eller ikke er forholdsmæssigt afpasset, hvilket det tilkommer den forelæggende ret at efterprøve.

3)  Artikel 6, stk. 1, første afsnit, litra f), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, skal fortolkes således, at denne bestemmelse principielt hverken er til hinder for, at indehaveren af intellektuelle ejendomsrettigheder og en tredjemand på dennes vegne foretager systematisk registrering af IP-adresser på brugere af peer-to-peer-netværk, hvis internetforbindelser angiveligt er blevet brugt til krænkende aktiviteter, eller at disse brugeres navne og postadresser videregives til denne indehaver eller en tredjemand med henblik på at gøre det muligt for den pågældende at anlægge et erstatningssøgsmål ved en civil domstol vedrørende tab, som de nævnte brugere angiveligt har forvoldt, dog på betingelse af, at den nævnte indehavers eller en sådan tredjemands initiativer og begæringer i denne henseende er velbegrundede, forholdsmæssigt afpassede og ikke udtryk for misbrug, og at der er et retsgrundlag herfor i en national retsforskrift som omhandlet i artikel 15, stk. 1, i direktiv 2002/58, som ændret ved direktiv 2009/136, der indskrænker rækkevidden af reglerne i artikel 5 og 6 i dette direktiv, som ændret.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i hovedsagen:

B.

Sagsøgte i hovedsagen:

Latvijas Republikas Saeima (Republikken Letlands parlament).

Faktum i hovedsagen:

På grundlag af artikel 267 TEUF anmoder den forelæggende ret om en fortolkning af forordning nr. 2016/679 og direktiv 2003/98 for at kunne afgøre, om det er forbudt for medlemsstaterne i deres retsorden at fastsætte bestemmelser, hvorefter oplysninger om de point, som førere er pålagt for færdselsforseelser, er tilgængelige for offentligheden, således at de omhandlede personoplysninger kan behandles ved formidling og overførsel med henblik på videreanvendelse.

Subsidiært ønsker den forelæggende ret ligeledes oplysning om fortolkningen af princippet om EU-rettens forrang og retssikkerhedsprincippet med henblik på at præcisere anvendeligheden af den nationale bestemmelse i tvisten i hovedsagen og muligheden for at opretholde retsvirkningerne heraf, indtil den forelæggende rets endelige afgørelse om, at den er i overensstemmelse med forfatningen, bliver retskraftig.

De præjudicielle spørgsmål:

  • Bør begrebet "behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger" i artikel 10 i forordning 2016/679 1 , fortolkes således, at det omfatter behandling af oplysninger om de point, som førere pålægges for færdselsforseelser i henhold til den omtvistede bestemmelse?
  • Uanset svaret på det første spørgsmål, kan bestemmelserne i forordning 2016/679, navnlig princippet om "integritet og fortrolighed", jf. nævnte forordnings artikel 5, stk. 1, litra f), fortolkes som et forbud mod, at medlemsstaterne fastsætter, at oplysninger om de point, der pålægges førere for færdselsforseelser, er tilgængelige for offentligheden, og at de pågældende oplysninger kan behandles ved at videregives?
  • Bør 50. og 154. betragtning til, artikel 5, stk. 1, litra b), og artikel 10 i direktiv 2003/98/EF 2 samt artikel 1, stk. 2, litra cc), i forordning 2016/679 fortolkes således, at de er til hinder for en ordning i en medlemsstat, der tillader videregivelse af oplysninger om de point, der pålægges førere for trafikforseelser, med henblik på videreanvendelse?
  • Såfremt nogen af de ovennævnte spørgsmål besvares bekræftende, skal princippet om EU-rettens forrang og retssikkerhedsprincippet da fortolkes således, at det kan være tilladt at anvende den omtvistede bestemmelse og opretholde dens retsvirkninger, indtil forfatningsdomstolens endelige afgørelse bliver retskraftig?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 17. december 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

1) Databeskyttelsesforordningens artikel 10 skal fortolkes således, at den ikke omfatter situationer med behandling af oplysninger om strafpoint, som bilister er pålagt for færdselsforseelser, som fastsat i en national lovgivning, såsom færdselslovens artikel 141, stk. 2.

2) Databeskyttelsesforordningens artikel 5, stk. 1, litra c), er til hinder for en national lovgivning, såsom færdselslovens artikel 141, stk. 2, som giver mulighed for behandling og formidling af oplysninger om strafpoint, som bilister er pålagt for færdselsforseelser.

3) En national lovgivning, såsom færdselslovens artikel 141, stk. 2, som giver mulighed for behandling og formidling, herunder med henblik på videreanvendelse, af oplysninger om strafpoint, der er pålagt bilister for færdselsforseelser, ikke reguleres af bestemmelserne i direktiv 2003/98. GDPR-forordningens artikel 5, stk. 1, litra c), er endvidere til hinder herfor.

4) Det er ikke muligt at anvende den omtvistede bestemmelse og opretholde dens retsvirkninger, indtil Satversmes tiesas (forfatningsdomstol) endelige afgørelse bliver retskraftig.

 

Den 16. februar 2021 blev en ny version af generaladvokatens forslag til afgørelse forkyndt. Generaladvokaten konkluderer i sin udtalelse følgende:

1) Artikel 10 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den ikke omfatter situationer med behandling af personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser, som fastsat i en national lovgivning, såsom artikel 141, stk. 2, i Ceļu satiksmes likums (færdselsloven).

2) Artikel 5, stk. 1, litra c), i forordning 2016/679 er til hinder for, at en medlemsstat behandler og formidler personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser.

3) Artikel 5, stk. 1, litra b) og c), i forordning 2016/679 er til hinder for, at en medlemsstat behandler og formidler personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser, når denne formidling sker med henblik på videreanvendelse.

4) Europa-Parlamentets og Rådets direktiv 2003/98/EF af 17. november 2003 om videreanvendelse af den offentlige sektors informationer regulerer ikke behandlingen og formidlingen, herunder med henblik på videreanvendelse, af personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser.

5) Det er ikke muligt at anvende den omtvistede bestemmelse og opretholde dens retsvirkninger, indtil Satversmes tiesas (forfatningsdomstolen) endelige afgørelse bliver retskraftig.

Domsafsigelse:

EU-Domstolen har den 22. juni 2021 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1) Artikel 10 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne bestemmelse finder anvendelse på behandling af personoplysninger vedrørende de strafpoint, der pålægges førere af motorkøretøjer for færdselsforseelser.

2) Bestemmelserne i forordning (EU) 2016/679, navnlig denne forordnings artikel 5, stk. 1, artikel 6, stk. 1, litra e), og artikel 10, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, som pålægger et offentligt organ, der fører det register, hvori de strafpoint, som pålægges førere af motorkøretøjer for færdselsforseelser, er indført, at gøre disse oplysninger tilgængelige for offentligheden, uden at den person, der anmoder om aktindsigt, skal godtgøre en særlig interesse i at få de nævnte oplysninger.

3) Bestemmelserne i forordning (EU) 2016/679, navnlig denne forordnings artikel 5, stk. 1, artikel 6, stk. 1, litra e), og artikel 10, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, som tillader et offentligt organ, der fører det register, hvori de strafpoint, som pålægges førere af motorkøretøjer for færdselsforseelser, er indført, at videregive disse oplysninger til erhvervsdrivende med henblik på videreanvendelse.

4) Princippet om EU-rettens forrang skal fortolkes således, at dette princip er til hinder for, at en medlemsstats forfatningsdomstol, som er forelagt et søgsmål til prøvelse af en national lovgivning, der i lyset af en præjudiciel afgørelse fra Domstolen er uforenelig med EU-retten, beslutter i medfør af retssikkerhedsprincippet, at retsvirkningerne af denne lovgivning opretholdes indtil afsigelsen af den dom, hvorved denne forfatningsdomstol træffer endelig afgørelse i forfatningssøgsmålet.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

La Quadrature du Net, French Data Network, Fédération des Fournisseurs d'Accès à Internet Associatifs

Sagsøgte:

EU-Kommissionen

Sagsøgernes påstand:

EU-Kommissionens gennemførelsesafgørelse 2016/1250 af 12. juli 2016 (Privacy Shield) er uforenelig med artikel 7, 8 og 47 i Den Europæiske Unions Charter om grundlæggende rettigheder (2000/C 364/01), og skal derfor annulleres.

Væsentligste argumenter:

  • Den generelle karakter af indsamlingen af personoplysninger, som er tilladt i henhold til amerikansk lovgivning, indebærer, at Privacy Shield-afgørelsen udgør et uberettiget indgreb i det væsentligste indhold af den grundlæggende ret til respekt for privatlivet
  • Beskyttelsesniveauet efter amerikansk lovgivning svarer ikke til det niveau, der er sikret inden for Unionen, da indsamlingen af personoplysninger i USA ikke er begrænset til det strengt nødvendige
  • Privacy Shield-afgørelsen tager ikke højde for, at der ikke er fastsat effektive retsmidler i den amerikanske lovgivning
  • Der er ikke fastsat nogen uafhængig kontrol af beskyttelsesniveauet i USA

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Det er ikke længere fornødent at træffe afgørelse i den foreliggende sag.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Sergejs Buivids

Sagsøgte i hovedsagen:

Datu valsts inspeckcija

Faktum i hovedsagen:

Denne forelæggelse fra Latvijas Augstākā tiesa (Republikken Letlands øverste domstol) vedrører filmningen og offentliggørelsen på websteder af en videooptagelse af polititjenestemænd, som udøver deres embede på en politistation. Den forelæggende ret ønsker vejledning om anvendelsesområdet for direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (2) og om fortolkningen af undtagelsen i direktivets artikel 9 (»undtagelsen om journalistisk øjemed«).

De præjudicielle spørgsmål:

  • Bør Er aktiviteter som de i den foreliggende sag omhandlede, dvs. optagelse på en politistation af polititjenestemænd, der udfører proceduremæssige foranstaltninger, og offentliggørelse af videooptagelsen på webstedet www.youtube.com, omfattet af anvendelsesområdet for direktiv 95/46?
  • Skal direktiv 95/46 fortolkes således, at de nævnte aktiviteter kan anses for behandling af personoplysninger i journalistisk øjemed som omhandlet i nævnte direktivs artikel 9?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 27. september 2018. Generaladvokaten konkluderer i sin udtalelse følgende:

  • Aktiviteter såsom filmning og optagelser af tjenestemænd, som udøver deres embede på deres arbejdsplads, og den efterfølgende offentliggørelse af videooptagelsen på internettet udgør behandling af personoplysninger, der helt eller delvis foretages ved hjælp af EDB som omhandlet i artikel 3, stk. 1, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.
  • Når en person, der ikke er journalist af profession, foretager videooptagelser, som vedkommende offentliggør på et websted, kan disse videooptagelser være omfattet af begrebet »journalistisk øjemed« som omhandlet i artikel 9 i direktiv 95/46, hvis det fastslås, at disse aktiviteter fandt sted udelukkende i dette øjemed.
  • I hvert enkelt tilfælde tilkommer det i henhold til artikel 9 i direktiv 95/46 de nationale myndigheder, under de nationale retters kontrol, at undersøge og forene den grundlæggende ret til privatlivets fred i forbindelse med behandling af den eller de registreredes personoplysninger og den registeransvarliges grundlæggende ret til ytringsfrihed. Ved foretagelsen af afvejningen skal disse myndigheder tage hensyn til, i) om det offentliggjorte materiale bidrager til en debat af almen interesse, ii) hvor kendt den eller de berørte personer er, iii) emnet for rapporteringen, iv) den omhandledes persons tidligere adfærd, v) den omhandlede offentliggørelses indhold, form og konsekvenser samt vi) omstændighederne, hvorunder oplysningerne blev indsamlet.«

Domsafsigelse:

EU-Domstolen har den 14. februar 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1) Artikel 3 i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at en videooptagelse af politifolk på en politistation i forbindelse med en afgivelse af forklaring og offentliggørelsen af den således optagede video på et videowebsted, hvor brugerne kan sende, se eller dele disse videoer, er omfattet af dette direktivs anvendelsesområde.

2) Artikel 9 i direktiv 95/46 skal fortolkes således, at faktiske omstændigheder som de i hovedsagen foreliggende, dvs. videooptagelse af politifolk på en politistation i forbindelse med en afgivelse af forklaring og offentliggørelsen af den således optagede video på et videowebsted, hvor brugerne kan sende, se og dele disse videoer, udgør behandling af personoplysninger i journalistisk øjemed som omhandlet i denne bestemmelse, for så vidt som det fremgår af nævnte video, at nævnte optagelse og nævnte offentliggørelse udelukkende har til formål at udbrede oplysninger, synspunkter eller idéer til offentligheden, hvilket det påhviler den forelæggende ret at vurdere.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i hovedsagen:

X, Y

Sagsøgte i hovedsagen:

Autoriteit Persoonsgegevens

Faktum i hovedsagen:

I hovedsagen er spørgsmålet, om sagsøgte »Autoriteit Persoonsgegevens«, der er den nederlandske tilsynsmyndighed i henhold til artikel 51 i den generelle forordning om databeskyttelse (herefter den generelle databeskyttelsesforordning), er beføjet til at afgøre spørgsmålet, om den omstændighed, at afdelingen for forvaltningsretssager ved Raad van State (øverste domstol i forvaltningsretlige sager) giver journalister aktindsigt i procesdokumenter, er i overensstemmelse med den generelle databeskyttelsesforordning.

De præjudicielle spørgsmål:

  • Skal artikel 55, stk. 3, i den generelle databeskyttelsesforordning fortolkes således, at der ved »domstoles behandlingsaktiviteter, når disse handler i deres egenskab af domstol«, kan forstås den omstændighed, at en domstol giver aktindsigt i procesdokumenter, der indeholder personoplysninger, hvorved aktindsigten sker ved, at der stilles kopier af procesdokumenterne til rådighed for en journalist, således som det er beskrevet i nærværende forelæggelsesafgørelse?
    • Har det for besvarelsen af dette spørgsmål nogen betydning, om den nationale tilsynsmyndigheds udøvelse af tilsyn med denne form for databehandling i konkrete sager berører domstolenes uafhængighed ved beslutningstagningen?
    • Har det for besvarelsen af dette spørgsmål nogen betydning, at arten af og formålet med databehandlingen ifølge den pågældende retsinstans er at informere en journalist for at sætte denne i stand til at give en bedre dækning af det offentlige retsmøde i et retssag, og det således tilstræbes at tjene hensynet til offentlighed og gennemsigtighed vedrørende retspraksis?
    • Har det for besvarelsen af dette spørgsmål nogen betydning, om databehandlingen beror på en udtrykkelig nationalretlig hjemmel?

Udtalelse fra EU´s generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 6. oktober 2021. Generaladvokaten konkluderer i sin udtalelse følgende:

Spørgsmål 1

Artikel 55, stk. 3, i Europa-Parlamentets og Rådets forordning af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at videregivelse af procesdokumenter til en journalist med henblik på en bedre dækning af et offentligt retsmøde er en praksis, som domstole udfører »i deres egenskab af domstol«.

Spørgsmål 1a

Artikel 55, stk. 3, i forordning 2016/679 kræver ikke, at det afgøres, om en behandlingsaktivitet udført af de nationale domstole »i deres egenskab af domstol« påvirker domstolenes uafhængighed ved den retslige beslutningstagning i hver enkelt sag.

Spørgsmål 1b

Afgørelsen af en bestemt behandlingsaktivitets art og formål er ikke en del af de kriterier, der skal tages i betragtning i henhold til artikel 55, stk. 3, i forordning 2016/679, når det fastslås, om de nationale domstole »handle[de] i deres egenskab af domstol«.

Spørgsmål 1c

Ved afgørelsen af, om en af de nationale domstoles behandlingsaktiviteter blev udført »i deres egenskab af domstol« i den i artikel 55, stk. 3, i forordning 2016/679 omhandlede forstand, er det ikke relevant, om disse domstole handlede i medfør af en udtrykkelig hjemmel i national ret. 

Domsafsigelse:

EU-domstolen har den 24. marts 2022 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

  • Artikel 55, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den omstændighed, at en domstol midlertidigt stiller procesdokumenter, der indeholder personoplysninger, til rådighed for journalister med henblik på bedre at gøre disse i stand til at dække den omhandlede sag, henhører under denne domstols virksomhed, når den handler i sin »egenskab af domstol« som omhandlet i denne bestemmelse.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Bundesverband der Verbraucherzentralen og Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.

Sagsøgte i hovedsagen:

Facebook Ireland Limited

Faktum i hovedsagen:

Sagens faktum er endnu ikke offentliggjort.

De præjudicielle spørgsmål:

  • Er bestemmelserne i kapitel VIII, navnlig i artikel 80, stk. 1 og 2, samt artikel 84, stk. 1, i forordning (EU) 2016/679 til hinder for nationale bestemmelser, som – foruden den beføjelse til at gribe ind, der er tillagt tilsynsmyndighederne med kompetence til at føre kontrol og håndhæve forordningen, og de registreredes muligheder for retsbeskyttelse – indrømmer dels konkurrenter dels organisationer, organer og kamre med beføjelser i henhold til national ret beføjelse til at anlægge søgsmål ved de civile domstole mod den krænkende part vedrørende overtrædelser af forordning (EU) 2016/679, uanset om enkelte registreredes konkrete rettigheder er blevet krænket, og uden bemyndigelse fra en registreret under påberåbelse af forbuddet mod urimelig handelspraksis, en overtrædelse af en lov om forbrugerbeskyttelse eller forbuddet mod at anvende ugyldige almindelige forretningsbetingelser?

Udtalelse fra EU´s generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 2. december 2021. Generaladvokaten konkluderer i sin udtalelse følgende:

Article 80(2) of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), must be interpreted as meaning that it does not preclude national legislation which allows consumer protection associations to bring legal proceedings against the person alleged to be responsible for an infringement of the protection of personal data, on the basis of the prohibition of unfair commercial practices, the infringement of a law relating to consumer protection or the prohibition of the use of invalid general terms and conditions, provided that the objective of the representative action in question is to ensure observance of the rights which the persons affected by the contested processing derive directly from that regulation.

Domsafsigelse:

EU-domstolen har den 28. april 2022 afsagt dom i sagen, hvoraf følgende bl.a. fremgår:

  • Artikel 80, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den ikke er til hinder for en national lovgivning, som gør det muligt for en sammenslutning, der varetager beskyttelsen af forbrugernes interesser – uden bemyndigelse, som er blevet givet denne med henblik herpå, og uafhængigt af en krænkelse af en registrerets konkrete rettigheder – at anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger, ved at gøre gældende, at der foreligger en tilsidesættelse af forbuddet mod urimelig handelspraksis, en lov om forbrugerbeskyttelse eller forbuddet mod at anvende ugyldige almindelige forretningsbetingelser, når den pågældende behandling af oplysninger kan påvirke de rettigheder, som identificerede eller identificerbare fysiske personer har i henhold til denne forordning.

 

Link til sagen på EU-Domstolens hjemmeside

Oversigt

Historiske domme

Nedenfor finder du en oversigt over historiske domme på databeskyttelsesområdet ved EU-Domstolen, samt en kort beskrivelse af hvad de enkelte sager handler om.

Oversigten er senest opdateret d. 22. juli 2021.

Sagsøger:

Rechnungshof (sag C-465/00)

og

Christa Neukomm (sag C-138/01)

Joseph Lauermann (sag C-139/01) 

 

Sagsøgte:

Österreichischer Rundfunk,

Wirtschaftskammer Steiermark,

Marktgemeinde Kaltenleutgeben,

Land Niederösterreich,

Österreichische Nationalbank,

Stadt Wiener Neustadt,

Austrian Airlines, Österreichische Luftverkehrs-AG (sag C-465/00)

og 

Österreichischer Rundfunk (sag C-138/01) (sag C-139/01) 

 

De præjudicielle spørgsmål:

Ved kendelse afsagt af Domstolens præsident den 17. maj 2001 blev sag C-138/01 og sag C-139/01 forenet med henblik på den skriftlige forhandling, den mundtlige forhandling og dommen. Endvidere bør sag C-465/00 forenes med sag C-138/01 og C-139/01 med henblik på dommen.

 

Sag C-465/00:

1) Skal de fællesskabsretlige bestemmelser, herunder navnlig bestemmelserne om databeskyttelse, fortolkes således, at de er til hinder for en national ordning, hvorefter en statslig institution er forpligtet til at indsamle og videregive indkomstoplysninger med henblik på offentliggørelse af navne og indkomstforhold vedrørende ansatte i

            a) en lokal myndighed

            b) en offentligretlig radiostation

            c) en national centralbank

           d) en lovreguleret interesseorganisation

           e) et foretagende, der drives som en erhvervsvirksomhed, men delvis er underlagt statslig styring?

 

2) Hvis Domstolen besvarer dette spørgsmål bekræftende eller i det mindste delvis bekræftende:

Er de bestemmelser, der er til hinder for en national ordning af det beskrevne indhold, i den forstand umiddelbart anvendelige, således at de kan påberåbes af de personer, der er forpligtet til at fremlægge oplysningerne, for at forhindre anvendelsen af de nationale forskrifter, der er i strid hermed?

 

Sagerne C-138/01 og C-139/01:

1) Skal de fællesskabsretlige bestemmelser, herunder navnlig bestemmelserne om databeskyttelse [artikel 1, 2, 6, 7 og 22 i direktiv 95/46/EF, sammenholdt med artikel 6 EU (tidligere artikel F) og den europæiske menneskerettighedskonventions artikel 8], fortolkes således, at de er til hinder for en national ordning, hvorefter en offentligretlig radiostation som institution er forpligtet til at meddele og en statslig institution er forpligtet til at indsamle og videregive indkomstoplysninger med henblik på offentliggørelse af navne og indkomstforhold vedrørende de ansatte i en offentligretlig radiostation?

2)For det tilfælde, at Domstolen besvarer dette spørgsmål bekræftende: Er de bestemmelser, der er til hinder for en national ordning af det beskrevne indhold, i den forstand umiddelbart anvendelige, således at de kan påberåbes af den institution, der er forpligtet til at fremlægge oplysningerne, for at forhindre anvendelsen af de nationale forskrifter, der er i strid hermed, således at en national lovfæstet forpligtelse derfor ikke kan gøres gældende over for de ansatte, der er berørt af offentliggørelsen?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 14. november 2002. Generaladvokaten konkluderer i sin udtalelse følgende:

  • Foreslår at Domstolen besvarer de af Verfassungsgerichtshof og af Oberster Gerichtshof forelagte præjudicielle spørgsmål således, at de former for behandling af personoplysninger, der er fastlagt i en lovgivning som den i sagen omhandlede, ikke er omfattet af bestemmelserne i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, eftersom de er iværksat »med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten« som omhandlet i samme direktivs artikel 3, stk. 2. Domstolen er ikke kompetent til at vurdere, om denne lovgivning er forenelig med fællesskabsrettens almindelige principper om fortrolighed.

Domsafsigelse

EU-domstolen har den 20. maj 2003 afsagt dom i de forende sager, hvoraf følgene fremgår:

1) Artikel 6, stk. 1, litra c), og artikel 7, litra c) og e), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger er ikke til hinder for nationale bestemmelser som de i hovedsagerne omhandlede på betingelse af, at det godtgøres, at den omfattende offentliggørelse ikke blot af størrelsen af årlige indkomster over et bestemt niveau, som ansatte ved offentlige institutioner, der er underlagt Rechnungshofs revision, modtager, men også af navnene på modtagerne af disse indkomster, både er nødvendig og står i et rimeligt forhold til det formål om hensigtsmæssig forvaltning af offentlige midler, hvilket det tilkommer de forelæggende retter at afgøre.

2) Artikel 6, stk. 1, litra c), og artikel 7, litra c) og e), i direktiv 95/46 er umiddelbart anvendelige i den forstand, at de for de nationale domstole kan påberåbes af private for at udelukke anvendelsen af regler i national ret, der er i strid med de pågældende bestemmelser.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Åklagarkammaren i Jönköping

Sagsøgte i hovedsagen:

Bodil Lindqvist

Faktum i hovedsagen:

Ved siden af sit arbejde som rengøringsassistent arbejdede B. Lindqvist med forberedelse af konfirmander i Alseda sogn (Sverige). Hun deltog i et edb-kursus, hvor hun bl.a. skulle lave en hjemmeside på internettet. I slutningen af 1998 oprettede B. Lindqvist hjemme hos sig selv og på sin egen computer hjemmesider på internettet for at gøre det let for menighedsmedlemmer, der forberedte deres konfirmation, at indhente de oplysninger, som de kunne have brug for. På foranledning af administratoren af den svenske kirkes hjemmeside på internettet blev der oprettet et link mellem disse hjemmesider og kirkens hjemmeside.

De omhandlede hjemmesider indeholdt oplysninger om B. Lindqvist og 18 af hendes kolleger i sognet, herunder deres fulde navn og i andre tilfælde blot deres fornavne. B. Lindqvist beskrev desuden kollegernes arbejdsopgaver og fritidsvaner i en let humoristisk sprogbrug. I flere tilfælde var også familieforhold, telefonnummer og andre oplysninger anført. Hun oplyste endvidere om en kvindelig kollega, at hun havde beskadiget foden og var delvis sygemeldt.

B. Lindqvist havde ikke oplyst sine kolleger om eksistensen af disse hjemmesider, eller indhentet deres samtykke og indgav heller ikke anmeldelse til Datainspektionen (offentligt organ, der beskytter elektronisk overførte oplysninger). Så snart hun fik kendskab til, at nogle af kollegerne ikke brød sig om hendes tiltag, blev de pågældende hjemmesider fjernet.

De præjudicielle spørgsmål:

1) Udgør omtale af en person – med navn eller med navn og telefonnummer – på en såkaldt hjemmeside på internettet en handling, der falder ind under anvendelsesområdet for direktiv [95/46]? Udgør det en »behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb«, at der på en egenhændigt oprettet hjemmeside på internettet anføres et antal personer tillige med udsagn og påstande om disse personers arbejdsforhold og fritidsinteresser mv.?

2) Besvares spørgsmål 1 benægtende, kan det forhold, at der på en hjemmeside på internettet oprettes særlige sider for omkring femten personer med links mellem siderne, der gør det muligt at søge på fornavn, da anses for at udgøre en sådan »ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register«, som omhandlet i artikel 3, stk. 1?

 

Besvares et eller begge af disse spørgsmål bekræftende, har hovrätten også følgende spørgsmål:

3) Kan det forhold, at der lægges oplysninger af den omtalte art om kolleger ud på en privat hjemmeside, som er tilgængelig for alle, der kender hjemmesidens adresse, anses for at falde uden for anvendelsesområdet for direktiv [95/46] på grund af en af undtagelserne i artikel 3, stk. 2?

4) Er oplysninger på en hjemmeside om, at en navngiven kollega har beskadiget sin fod og er delvis sygemeldt, sådanne personoplysninger om helbredsforhold, som i henhold til artikel 8, stk. 1, ikke må gøres til genstand for behandling?

5) Videregivelse af personoplysninger til et tredjeland er i henhold til direktiv [95/46] i visse tilfælde forbudt. Såfremt en person i Sverige ved hjælp af en computer lægger personoplysninger ud på en hjemmeside, som er lagret på en server i Sverige – hvorved personoplysningerne bliver tilgængelige for personer i et tredjeland – indebærer dette da en videregivelse af oplysninger til et tredjeland i direktivets forstand? Er svaret det samme, hvis der, så vidt vides, ikke er nogen fra tredjelande, der faktisk har indhentet oplysningerne, eller hvis den pågældende server rent fysisk befinder sig i et tredjeland?

6) Kan bestemmelserne i direktiv [95/46] i en sag som den foreliggende anses for at medføre en begrænsning, der er i strid med de almindelige principper om ytringsfrihed eller andre friheder og rettigheder, der er gældende inden for EU, og som svarer til bl.a. artikel 10 i Europakonventionen til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder?

 

Hovrätten har endelig følgende spørgsmål.

7) Kan en medlemsstat – i de henseender, der er omtalt i de foregående spørgsmål – have en mere vidtgående beskyttelse af personoplysninger eller et videre anvendelsesområde end det, det følger af direktiv [95/46], selv om der ikke foreligger nogen af de i artikel 13 opregnede forhold.

 

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 19. september 2002. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

I medfør af artikel 3, stk. 2, første led, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger henhører en behandling af personoplysninger, der består i uden noget lukrativt formål at oprette en hjemmeside som den, der er tale om i dette tilfælde, og som udelukkende skal fungere som støtte for en aktivitet som kateket, der udøves frivilligt og uden for ethvert arbejdsforhold i et sogn, ikke under direktivets anvendelsesområde.

Domsafsigelse:

EU-domstolen har den 6. november 2003 afsagt dom i sagen, hvoraf følgende fremgår:

1) En operation, der består i på en internetside at henvise til forskellige personer, og i at identificere dem ved navn eller på anden måde, f.eks. ved at oplyse deres telefonnummer eller ved at give oplysninger om deres arbejdsforhold og fritidsinteresser, udgør en »behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb« i den forstand, hvori udtrykket er anvendt i artikel 3, stk. 1, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

2) En sådan behandling af personoplysninger er ikke omfattet af nogen af undtagelserne i artikel 3, stk. 2, i direktiv 95/46.

3) Angivelsen af den omstændighed, at en person har beskadiget sin fod og er delvis sygemeldt, udgør en personoplysning om helbredsforhold i den forstand, hvori udtrykket er anvendt i artikel 8, stk. 1, i direktiv 95/46.

4) Der foreligger ikke en »videregivelse til et tredjeland af personoplysninger« i den forstand, hvori udtrykket er anvendt i artikel 25 i direktiv 95/46, når en person, der befinder sig i en medlemsstat, lægger personoplysninger ud på en internetside, der er lagret hos en fysisk eller juridisk person, som er internetvært for det websted, hvor siden kan konsulteres, og som er etableret i den samme medlemsstat eller i en anden medlemsstat, hvorved personoplysningerne bliver tilgængelige for alle, der kobler sig på internettet, herunder personer i et tredjeland.

5) Bestemmelserne i direktiv 95/46 medfører ikke i sig selv en begrænsning, der er i strid med det almindelige princip om ytringsfrihed eller andre friheder og rettigheder, der er gældende inden for EU, og som svarer til bl.a. artikel 10 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, undertegnet i Rom den 4. november 1950. Det påhviler de nationale myndigheder og domstole, der skal anvende de nationale bestemmelser til gennemførelse af direktiv 95/46, at sikre en retfærdig ligevægt mellem de omhandlede rettigheder og interesser, herunder de grundlæggende rettigheder, der beskyttes ved Fællesskabets retsorden.

6) De foranstaltninger, som medlemsstaterne træffer med henblik på at sikre beskyttelsen af personoplysninger, skal være forenelige med såvel bestemmelserne i direktiv 95/46, som med dets formål, som består i at opretholde en ligevægt mellem den frie udveksling af personoplysninger og beskyttelsen af privatlivet. Derimod er der intet til hinder for, at en medlemsstat udvider rækkevidden af den nationale lovgivning, der gennemfører bestemmelserne i direktiv 95/46, til områder, der ikke er omfattet af dette direktivs anvendelsesområde, for så vidt som ingen anden fællesskabsretlig bestemmelse er til hinder herfor.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Europa-Parlamentet

Sagsøgte i hovedsagen:

Rådet for Den Europæiske Union (C-317/04)

Kommissionen for De Europæiske Fællesskaber (C-318/04)

Baggrunden for tvisten:

Efter terrorangrebene den 11. september 2001 vedtog De Forenede Stater i november samme år en lovgivning, hvorefter luftfartsselskaber, der foretager flyvninger til, fra eller over De Forenede Stater, skulle give de amerikanske toldmyndigheder elektronisk adgang til oplysningerne i luftfartsselskabernes automatiske reservations-/afgangskontrolsystemer, der betegnes »Passenger Name Records« (herefter »PNR-oplysninger«). Selv om Kommissionen anerkender legitimiteten af de pågældende sikkerhedsinteresser, meddelte den allerede i juni 2002 De Forenede Staters myndigheder, at disse bestemmelser kunne komme i konflikt med Fællesskabets og medlemsstaternes lovgivning om beskyttelse af personoplysninger og med visse af bestemmelserne i Rådets forordning (EØF) nr. 2299/89 af 24. juli 1989 om en adfærdskodeks for edb-reservationssystemer (EFT L 220, s. 1), som ændret ved Rådets forordning (EF) nr. 323/1999 af 8. februar 1999 (EFT L 40, s. 1). De Forenede Staters myndigheder udskød ikrafttrædelsen af de nye bestemmelser, men nægtede dog at give afkald på at pålægge de luftfartsselskaber, som ikke overholdt lovgivningen om elektronisk adgang til PNR-oplysninger efter den 5. marts 2003, sanktioner. Siden da har flere større luftfartsselskaber etableret i Den Europæiske Union givet de amerikanske myndigheder adgang til deres PNR-oplysninger.

Europa- Parlamentets påstand:

  • Europa-Parlamentet har i stævningen i sag C-317/04 nedlagt påstand om annullation af Rådets afgørelse 2004/496/EF af 17. maj 2004 om indgåelse af en aftale mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til United States Department of Homeland Security, Bureau of Customs and Border Protection (EUT L 183, s. 83, berigtiget i EUT 2005 L 255, s. 168).
  • I stævningen i sag C-318/04 har Parlamentet nedlagt påstand om annullation af Kommissionens beslutning 2004/535/EF af 14. maj 2004 om tilstrækkelig beskyttelse af personoplysninger, der er indeholdt i registre over flypassagerer, og som videregives til Amerikas Forenede Staters told- og grænsekontrolmyndighed (Bureau of Customs and Border Protection) (EUT L 235, s. 11, herefter »beslutningen om tilstrækkelig beskyttelse«).

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i de forende sager den 22. november 2005. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

  • I sag C-318/04 annulleres Kommissionens beslutning 2004/535/EF af 14. maj 2004 om tilstrækkelig beskyttelse af personoplysninger, der er indeholdt i registre over flypassagerer, og som videregives til Amerikas Forenede Staters told- og grænsekontrolmyndighed.
  • I sag C-317/04 annulleres Rådets afgørelse 2004/496/EF af 17. maj 2004 om indgåelse af en aftale mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til United States Department of Homeland Security, Bureau of Customs and Border Protection.

Domsafsigelse:

EU-domstolen har den 30. maj 2006 afsagt dom i de forende sager, hvoraf følgende fremgår:

  • Rådets afgørelse 2004/496/EF af 17. maj 2004 om indgåelse af en aftale mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til United States Department of Homeland Security, Bureau of Customs and Border Protection, og Kommissionens beslutning 2004/535/EF af 14. maj 2004 om tilstrækkelig beskyttelse af personoplysninger, der er indeholdt i registre over flypassagerer, og som videregives til Amerikas Forenede Staters told- og grænsekontrolmyndighed (Bureau of Customs and Border Protection) annulleres.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i hovedsagen:

Heinz Huber

Sagsøgte i hovedsagen:

Forbundsrepublikken Tyskland

Faktum i hovedsagen:

Denne sag vedrører spørgsmålet om behandling af personoplysninger om udenlandske EU-borgere, som er bosat i Tyskland. Den forelæggende ret ønsker oplyst, om behandlingen af oplysninger i et centralt register, som føres af Bundesamt für Migration und Flüchtlinge (forbundskontoret for migration og flygtninge), og som andre offentlige myndigheder også har adgang til, er foreneligt med forbuddet mod forskelsbehandling begrundet i nationalitet, etableringsretten og direktiv 95/46 (2), idet der ikke findes et sådant register for tyske statsborgere.

De præjudicielle spørgsmål:

Er den generelle behandling af personoplysninger om udenlandske unionsborgere i et centralt udlændingeregister forenelig med

a) forbuddet mod i nationalitet begrundet forskelsbehandling af unionsborgere, som udøver deres ret til at færdes og opholde sig frit på medlemsstaternes område (artikel 12, stk. 1, sammenholdt med artikel 17 og artikel 18, stk. 1, EF)

b) forbuddet mod en restriktion, som hindrer statsborgere i en medlemsstat i frit at etablere sig på en anden medlemsstats område (artikel 43, stk. 1, EF)

c) nødvendighedskravet i artikel 7, litra e), i Europa-Parlamentets og Rådets direktiv 95/46/EF 1 af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 3. april 2008. Generaladvokaten konkluderer i sin udtalelse følgende:

1) Et system til lagring og behandling af oplysninger, såsom det i hovedsagen omhandlede, er uforeneligt med forbuddet mod forskelsbehandling begrundet i nationalitet, for så vidt som det indeholder oplysninger, der ikke er nævnt i artikel 8, stk. 3, i Europa-Parlamentets og Rådets direktiv 2004/38/EF af 29. april 2004 om unionsborgeres og deres familiemedlemmers ret til at færdes og opholde sig frit på medlemsstaternes område, og er tilgængeligt for andre offentlige myndigheder end udlændingemyndighederne. Central behandling af personoplysninger, som kun foretages vedrørende andre medlemsstaters statsborgere, er også uforenelig med forbuddet mod forskelsbehandling begrundet i nationalitet, hvis der findes andre effektive måder at håndhæve bestemmelserne om indvandring og opholdsstatus, hvilket det tilkommer den nationale ret at tage stilling til.

2) Et system til lagring og behandling af oplysninger, såsom det i hovedsagen omhandlede, er uforeneligt med nødvendighedskravet i artikel 7, litra e), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, for så vidt som det indeholder oplysninger, der ikke er nævnt i artikel 8, stk. 3, i direktiv 2004/38, og er tilgængeligt for andre offentlige myndigheder end udlændingemyndighederne. Central behandling af personoplysninger, som kun foretages vedrørende andre medlemsstaters statsborgere, er også uforenelig med nødvendighedskravet i artikel 7, litra e), i direktiv 95/46, medmindre det godtgøres, at der ikke findes andre effektive måder at håndhæve bestemmelserne om indvandring og opholdsstatus, hvilket det tilkommer den nationale ret at tage stilling til.

Domsafsigelse:

EU-Domstolen har den 16. december 2008 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1) Et system til behandling af personoplysninger om unionsborgere, der ikke er statsborgere i den pågældende medlemsstat, som det, der er iværksat ved Gesetz über das Ausländerzentralregister (lov om det centrale udlændingeregister) af 2. september 1994, som ændret ved lov af 21. juni 2005, og som er til brug for nationale myndigheder med ansvar for forvaltningen af lovgivningen om opholdsret, opfylder kun nødvendighedskravet fastsat i artikel 7, litra e), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, fortolket i lyset af forbuddet mod i nationalitet begrundet forskelsbehandling, hvis

- systemet udelukkende indeholder oplysninger, som er nødvendige for de nævnte myndigheders forvaltning af denne lovgivning, og

- centraliseringen muliggør en mere effektiv forvaltning af denne lovgivning for så vidt angår opholdsret for unionsborgere, der ikke er statsborgere i denne medlemsstat.

Det tilkommer den forelæggende ret at efterprøve disse omstændigheder i hovedsagen.

Under alle omstændigheder kan opbevaring og behandling af navngivne personoplysninger inden for rammerne af et register, såsom et centralt udlændingeregister til statistisk brug, ikke anses for nødvendig i den forstand, hvori udtrykket er anvendt i artikel 7, litra e), i direktiv 95/46.

2) Artikel 12, stk. 1, EF skal fortolkes således, at den er til hinder for, at en medlemsstat med henblik på kriminalitetsbekæmpelse indfører et system til behandling af personoplysninger, som kun omfatter unionsborgere, der ikke er statsborgere i denne medlemsstat.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Tietosuojavaltuutettu

Sagsøgte i hovedsagen:

Satakunnan Markkinapörssi Oy og

Satamedia Oy

Faktum i hovedsagen:

Markkinapörssi indhentede i adskillige år offentlige oplysninger fra de finske skattemyndigheder med henblik på hvert år at offentliggøre uddrag af disse oplysninger i de regionale udgaver af bladet Veropörssi.

De oplysninger, der fremgik af publikationerne, omfattede for- og efternavn på ca. 1,2 mio. fysiske personer, hvis indkomst oversteg en bestemt grænse, samt, inden for 100 EUR’s nøjagtighed, disse personers løn- og kapitalindkomst samt oplysninger om beskatningen af deres formue. Disse oplysninger blev offentliggjort i form af en alfabetisk liste inddelt efter kommune og indkomstklasse.

Selv om bladet også indeholder artikler, resumeer og annoncer, er det væsentligste formål med bladet offentliggørelse af skatteoplysninger.

Markkinapörssi videregav på cd-rom de personoplysninger, som var offentliggjort i Veropörssi, til Satamedia, som er et andet selskab i de samme personers eje, med henblik på udbredelse af oplysningerne via en sms-tjeneste. De to selskaber indgik til dette formål en aftale med et mobiltelefonselskab, som for Satamedias regning oprettede en sms-tjeneste, der gjorde det muligt for mobiltelefonbrugere mod betaling af 2 EUR at modtage de oplysninger, der var offentliggjort i Veropörssi. Oplysningerne ville efter anmodning blive fjernet fra tjenesten.

På foranledning af klager indgivet af privatpersoner, som mente, at deres privatliv var blevet krænket, anmodede tietosuojavaltuutettu (finsk myndighed), som var ansvarlig for undersøgelsen af Markkinapörssis og Satamedias aktiviteter, den 10. marts 2004 tietosuojalautakunta (finsk mynidghed) om at forbyde selskaberne at fortsætte deres aktiviteter vedrørende behandlingen af de omhandlede personoplysninger.

Eftersom tietosuojalautakunta afslog denne anmodning, anlagde tietosuojavaltuutettu sag ved Helsingin hallinto-oikeus (forvaltningsdomstolen i Helsinki), som også forkastede søgsmålet. Tietosuojavaltuutettu appellerede derefter afgørelsen til Korkein hallinto-oikeus.

De præjudicielle spørgsmål:

1) Foreligger der en aktivitet, der skal betragtes som behandling af personoplysninger i den forstand, hvori udtrykket er anvendt i [direktivets] artikel 3, stk. 1, […] når oplysninger om fysiske personers løn- og kapitalindkomst samt formue

   a) indsamles fra skattemyndighedernes offentligt tilgængelige dokumenter og behandles med henblik på offentliggørelse

   b) offentliggøres i en tryksag, i alfabetisk orden og inddelt efter indkomst i omfattende kommuneinddelte kataloger

   c) videregives på en cd-rom med henblik på anvendelse i forretningsmæssigt øjemed

   d) behandles i en sms-tjeneste, hvor mobiltelefonbrugere kan sende en tekstbesked med angivelse af en persons navn og hjemkommune til et givent nummer og som svar modtage oplysninger om den pågældende persons løn- og kapitalindkomst samt formue?

2) Skal direktiv[et] fortolkes således, at de ovenfor i punkt 1a)-1d) nævnte handlinger kan betragtes som behandling af personoplysninger i journalistisk øjemed i direktivets artikel 9’s forstand, når henses til, at oplysningerne er indsamlet for over en million skattepligtige blandt oplysninger, der i henhold til finsk lovgivning om aktindsigt er offentlige? Har det for vurderingen af sagen betydning, at det primære formål med handlingen er offentliggørelse af de nævnte oplysninger?

3) Skal [direktivets] artikel 17 […], sammenholdt med direktivets principper og formål, fortolkes således, at offentliggørelse af oplysninger, der er indsamlet i journalistisk øjemed, og videregivelse af disse oplysninger med henblik på anvendelse i forretningsmæssigt øjemed er i strid med direktivet

4) Kan direktiv[et] fortolkes således, at personregistre, som kun indeholder materiale, der som sådant har været offentliggjort i medierne, falder helt uden for dets anvendelsesområde?«

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 8. maj 2008. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

1) Der foreligger en adfærd, der skal betragtes som behandling af personoplysninger i den forstand, hvori udtrykket er anvendt i artikel 3, stk. 1, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, når oplysninger om fysiske personers løn- og kapitalindkomst samt formue som beskrevet i forelæggelseskendelsen

   a) indsamles fra skattemyndighedernes offentligt tilgængelige dokumenter og behandles med henblik på offentliggørelse

   b) offentliggøres i en tryksag, i alfabetisk orden og inddelt efter indkomst i omfattende kommuneinddelte kataloger

   c) videregives på en CD-ROM med henblik på anvendelse i forretningsmæssigt øjemed eller

   d) behandles i en SMS-tjeneste, hvor mobiltelefonbrugere kan sende en tekstbesked med angivelse af en persons navn og hjemkommune til et givent nummer og som svar modtage oplysninger om den pågældende persons løn- og kapitalindkomst samt formue.

2) Behandling af personoplysninger som omhandlet i artikel 9 i direktiv 95/46 finder sted i journalistisk øjemed som omhandlet i artikel 9 i direktiv 95/46, hvis formålet er at formidle informationer og tanker om spørgsmål af offentlig interesse. Det påhviler den forelæggende ret på grundlag af alle objektive omstændigheder, der står til rådighed, at tage stilling til, om, og i givet fald i hvilket omfang, den omtvistede behandling af skatteoplysninger finder sted i journalistisk øjemed.

3) Artikel 17 i direktiv 95/46 regulerer ikke, om oplysninger, der er indsamlet i journalistisk øjemed, må offentliggøres og videregives med henblik på anvendelse i forretningsmæssigt øjemed.

4) Personregistre, som kun indeholder materiale, der som sådant har været offentliggjort i medierne, henhører under direktiv 95/46’s anvendelsesområde.

Domsafsigelse:

EU-domstolen har den 16. december 2008 afsagt dom i sagen, hvoraf følgende fremgår:

1) Artikel 3, stk. 1, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at der foreligger en aktivitet, der skal betragtes som »behandling af personoplysninger« i denne bestemmelses forstand, når oplysninger om fysiske personers løn- og kapitalindkomst samt formue:

  • indsamles fra skattemyndighedernes offentligt tilgængelige dokumenter og behandles med henblik på offentliggørelse
  • offentliggøres i en tryksag, i alfabetisk orden og inddelt efter indkomst i omfattende kommuneinddelte kataloger
  • videregives på en cd-rom med henblik på anvendelse i forretningsmæssigt øjemed
  • behandles i en sms-tjeneste, hvor mobiltelefonbrugere kan sende en tekstbesked med angivelse af en persons navn og hjemkommune til et givent nummer og som svar modtage oplysninger om den pågældende persons løn- og kapitalindkomst samt formue.

2) Artikel 9 i direktiv 95/46 skal fortolkes således, at de aktiviteter, der er nævnt i spørgsmål 1a)-1d) vedrørende oplysninger, der stammer fra dokumenter, som er offentligt tilgængelige i henhold til national lovgivning, skal anses for aktiviteter, der udgør behandling af personoplysninger, som udelukkende finder sted »i journalistisk øjemed« i denne bestemmelses forstand, såfremt nævnte aktiviteter udelukkende har til formål at udbrede oplysninger, synspunkter eller ideer til offentligheden, hvilket det tilkommer den forelæggende ret at vurdere.

3) Aktiviteter i form af behandling af personoplysninger som dem, der er omhandlet i spørgsmål 1c) og 1d) vedrørende personoplysninger fra offentlige myndigheders registre, som kun indeholder oplysninger, der som sådan allerede har været offentliggjort i medierne, henhører under anvendelsesområdet for direktiv 95/46.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

College van burgemeester en wethouders van Rotterdam

Sagsøgte i hovedsagen:

M.E.E. Rijkeboer

Det præjudicielle spørgsmål:

1) Er den tidsmæssige begrænsning i adgangen til at modtage information om, til hvem personoplysninger er videregivet, som er fastsat i [loven] til et år forud for indgivelsen af anmodningen herom, forenelig med [direktivets] artikel 12, litra a), eventuelt sammenholdt med direktivets artikel 6, stk. 1, litra e), og proportionalitetsprincippet?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 22. december 2008. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

Oplysninger om behandlingen, herunder de, der vedrører videregivelse til tredjeparter, er personoplysninger i henhold til artikel 2, litra a), Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. For at sikre den effektive virkning af direktiv 95/46 svarer fristen for slettelse af oplysninger om behandlingen til den fastsatte frist for personoplysningerne, uanset de rettigheder og forpligtelser, som det nævnte direktiv tildeler de tredjemænd, der modtager oplysningerne.

Artikel 6 og 12 i det omtalte direktiv 95/46 tillader ikke fristen på et år til udøvelse af retten til indsigt i behandlingen, forudsat at:

  • den registrerede ikke er blevet informeret om videregivelsen
  • vedkommende, såfremt denne er blevet informeret, ikke er blevet oplyst om fristens længde
  • vedkommende, såfremt denne er blevet informeret, ikke er blevet underrettet i tilstrækkelig grad om modtagernes identitet.

Det påhviler den registeransvarlige at bevise, at de nationale bestemmelser og den administrative praksis sikrer den registrerede en passende grad af information, som giver vedkommende mulighed for uhindret at udøve sin ret til indsigt.«

Domsafsigelse:

EU-domstolen har den 7. maj 2009 afsagt dom i sagen, hvoraf følgende fremgår:

  • Ifølge artikel 12, litra a), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger er medlemsstaterne forpligtet til at fastsætte bestemmelser om retten til at modtage information vedrørende modtagerne eller kategorierne af modtagere af oplysninger og om indholdet af den videregivne information ikke blot hvad angår nutiden, men også hvad angår fortiden. Det tilkommer medlemsstaterne at fastsætte en frist for opbevaringen af denne information og om en tilsvarende adgang hertil, som udgør en rimelig afvejning mellem, på den ene side, hensynet til den registreredes interesse i beskyttelse af hans privatliv bl.a. i kraft af de aktionsmuligheder og retsmidler, som er fastsat i direktiv 95/46, og, på den anden side, hensynet til den byrde, som forpligtelsen til at opbevare denne information udgør for den registeransvarlige.
  • En lovgivning, som begrænser perioden for opbevaring af information om modtagerne eller kategorierne af modtagere af oplysninger og indholdet af de videregivne oplysninger til et år og begrænser adgangen til denne information til samme periode, selv om basisoplysningerne opbevares i meget længere tid, udgør ikke en rimelig afvejning af de pågældende interesser og forpligtelser, medmindre det godtgøres, at en længere opbevaring af denne information vil udgøre en uforholdsmæssig stor byrde for den registeransvarlige. Det tilkommer den nationale ret at foretage de nødvendige efterprøvelser.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Europa-Kommissionen

Sagsøgte i hovedsagen:

Forbundsrepublikken Tyskland

Faktum i hovedsagen:

Søgsmålet udspringer af en uoverensstemmelse mellem Kommissionen, støttet af den europæiske tilsynsførende for databeskyttelse, og Forbundsrepublikken Tyskland vedrørende fortolkningen af udtrykket »i fuld uafhængighed« i artikel 28, stk. 1, i direktiv 95/46, der vedrører den egentlige udøvelse af tilsynsmyndighedernes funktioner med hensyn til beskyttelse af personoplysninger.

Kommissionens stævning er begrundet i to formodninger. Ifølge den første formodning forpligter artikel 28, stk. 1, i direktiv 95/46 medlemsstaterne til at sørge for, at deres tilsynsmyndigheder for beskyttelse af personoplysninger er »fuldstændig uafhængige«. I replikken har Kommissionen præciseret, at det ikke drejer sig om en institutionel og organisatorisk uafhængighed men om en fuldstændig funktionel uafhængighed, hvilket betyder, at tilsynsmyndighederne for beskyttelse af personoplysninger skal være fritaget for enhver udefrakommende påvirkning under udøvelsen af deres opgaver.

Ifølge den anden formodning er det tilsyn, som medlemsstaten udøver over for sine tilsynsmyndigheder for beskyttelse af personoplysninger uden for den offentlige sektor, hvis tilstedeværelse ikke er anfægtet af Forbundsrepublikken Tyskland, der desuden har præciseret Kommissionens udsagn om de forskellige typer tilsyn (5), af en sådan beskaffenhed, at det krænker disse tilsynsmyndigheders fuldstændige uafhængighed, således som Kommissionen udlægger dette udtryk.

Forbundsrepublikken Tysklands forsvar bygger på en anden fortolkning af udtrykket »i fuld uafhængighed«, hvor fokus er på udøvelsen af de funktioner, som tilsynsmyndighederne for beskyttelse af personoplysninger er tillagt. Forbundsrepublikken Tyskland finder, at dette udtryk vedrører disse myndigheders funktionelle uafhængighed, som betegner en institutionel uafhængighed for så vidt angår deres organisation alene i forhold til de kontrollerede organer. I duplikken har Forbundsrepublikken Tyskland tilføjet, at det statslige tilsyn ikke frembyder nogen som helst udefrakommende påvirkning, idet tilsynsmyndighederne ikke er en ekstern tjeneste, men interne kontrolorganer i administrationen.

Kommissionen for De Europæiske Fællesskaber’s påstand:

Nedlagt påstand om, at det fastslås, at Forbundsrepublikken Tyskland, ved i henhold til lovgivningen i delstaterne at underlægge de myndigheder, der har til opgave at påse overholdelsen af de bestemmelser, der gennemfører Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (3) (herefter »tilsynsmyndigheder for beskyttelse af personoplysninger«), det statslige tilsyn over for ikke-offentlige organer, har tilsidesat sin forpligtelse til at sikre disse myndigheder fuld uafhængighed i henhold til artikel 28, stk. 1, andet afsnit, i direktiv 95/46.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 12. november 2009. Generaladvokaten anbefaler i sin udtalelse, at Domstolen træffer følgende afgørelse:

1) Forbundsrepublikken Tyskland frifindes.

Domsafsigelse:

EU-domstolen har den 9. marts 2010 afsagt dom i sagen, hvoraf følgende fremgår:

1) Forbundsrepublikken Tyskland har tilsidesat sine forpligtelser i henhold til artikel 28, stk. 1, andet afsnit, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger ved at underlægge de nationale tilsynsmyndigheder, der er kompetente med hensyn til behandling af personoplysninger, der foretages i de forskellige delstater af ikke-offentlige organer og offentligretlige virksomheder, der deltager i konkurrencen på markedet (öffentlich-rechtliche Wettbewerbsunternehmen), et statsligt tilsyn og således foretage en ukorrekt gennemførelse af kravet om, at disse myndigheder skal udøve deres funktioner »i fuld uafhængighed«.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Volker und Markus Schecke GbR (sag C-92/09),

Hartmut Eifert (sag C-93/09)

Sagsøgte i hovedsagen:

Land Hessen

De præjudicielle spørgsmål:

Ved kendelse afsagt af Domstolens præsident den 4. maj 2009 blev sagerne C-92/09 og C-93/09 forenet med henblik på den skriftlige forhandling, den mundtlige forhandling og dommen.

1) Er artikel [42], nr. 8b, og artikel 44a i […] forordning […] nr. 1290/2005 […], der blev indsat ved […] forordning […] nr. 1437/2007 […], ugyldige?

2) Er […] forordning […] nr. 259/2008

           a) ugyldig

           b) eller kun gyldig, fordi […] direktiv 2006/24 […] er ugyldigt?

Såfremt de i det første og det andet spørgsmål omhandlede bestemmelser er gyldige:

3) Skal artikel 18, stk. 2, andet led, i […] direktiv 95/46 […] fortolkes således, at offentliggørelsen i henhold til […] forordning […] nr. 259/2008 […] først må finde sted, når den i denne artikel fastsatte fremgangsmåde, som erstatter anmeldelsen til tilsynsmyndigheden, er gennemført?

4) Skal artikel 20 i […] direktiv 95/46 […] fortolkes således, at offentliggørelsen i henhold til […] forordning […] nr. 259/2008 […] først må finde sted, når den forudgående kontrol, som den nationale ret foreskriver i dette tilfælde, er foretaget?

5) Såfremt det fjerde spørgsmål besvares bekræftende: Skal artikel 20 i […] direktiv 95/46 […] fortolkes således, at der ikke foreligger en effektiv forudgående kontrol, hvis den er foretaget på grundlag af et register i henhold til artikel 18, stk. 2, andet led, i dette direktiv, som ikke omfatter en obligatorisk oplysning?

6) Skal artikel 7 – og i denne henseende navnlig litra e) – i […] direktiv 95/46 […] fortolkes således, at den er til hinder for en praksis, hvor IP-adresserne på brugerne af en hjemmeside lagres uden disses udtrykkelige samtykke?«

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i de forenede sager den 17. juni 2010. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

1) Undersøgelsen af spørgsmål 1 har ikke afdækket forhold, der påvirker gyldigheden af artikel 42, nr. 8b), i Rådets forordning (EF) nr. 1290/2005 af 21. juni 2005 om finansiering af den fælles landbrugspolitik.

2) Artikel 44a i Rådets forordning (EF) nr. 1290/2005 er ugyldig, for så vidt som den kræver automatisk offentliggørelse af navn, bopælskommune og eventuelt postnummer på alle, som modtager støttemidler fra Den Europæiske Garantifond for Landbruget (EGFL) og Den Europæiske Landbrugsfond for Udvikling af Landdistrikterne (ELFUL) samt det beløb, som den enkelte modtager har modtaget fra disse fonde.

3) Kommissionens forordning (EF) nr. 259/2008 af 18. marts 2005 om gennemførelsesbestemmelser til Rådets forordning (EF) nr. 1290/2005 for så vidt angår offentliggørelsen af oplysninger om modtagerne af midler fra EGFL og ELFUL er ugyldig.

4) Spørgsmål 2b og 6 kan ikke antages til realitetsbehandling.

5) Det er ufornødent at besvare spørgsmål 3-5.

Domsafsigelse:

EU-domstolen har den 9. november 2010 afsagt dom i de forenede sager, hvoraf følgende fremgår:

1)  Artikel 42, nr. 8b, og artikel 44a i Rådets forordning (EF) nr. 1290/2005 af 21. juni 2005 om finansiering af den fælles landbrugspolitik, som ændret ved Rådets forordning (EF) nr. 1437/2007 af 26. november 2007, samt Kommissionens forordning (EF) nr. 259/2008 af 18. marts 2008 om gennemførelsesbestemmelser til forordning nr. 1290/2005 for så vidt angår offentliggørelsen af oplysninger om modtagerne af midler fra Den Europæiske Garantifond for Landbruget (EGFL) og Den Europæiske Landbrugsfond for Udvikling af Landdistrikterne (ELFUL) er ugyldige, for så vidt som disse bestemmelser vedrørende fysiske personer, der modtager midler fra EGFL og ELFUL, indebærer et krav om offentliggørelse af personoplysninger om enhver modtager uden at foretage en sondring i henhold til relevante kriterier, såsom i hvilken periode de har modtaget disse midler, hyppigheden af en sådan modtagelse eller midlernes art og omfang.

2) Ugyldigheden af de EU-retlige bestemmelser nævnt i denne konklusions punkt 1 indebærer ikke, at virkningerne af offentliggørelser af lister over modtagere af midler fra EGFL og ELFUL, der er foretaget af de nationale myndigheder på grundlag af de nævnte bestemmelser i perioden inden denne doms afsigelse, kan anfægtes.

3) Artikel 18, stk. 2, andet led, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at den person, der har ansvar for beskyttelse af personoplysninger, ikke er underlagt en forpligtelse til at føre et register som omhandlet i denne bestemmelse forud for iværksættelsen af en behandling af personoplysninger som den, der følger af artikel 42, nr. 8b, og artikel 44a i forordning nr. 1290/2005, som ændret ved forordning nr. 1437/2007, samt af forordning nr. 259/2008.

4) Artikel 20 i direktiv 95/46 skal fortolkes således, at den ikke forpligter medlemsstaterne til at underlægge den offentliggørelse, der følger af artikel 42, nr. 8b, og artikel 44a i forordning nr. 1290/2005, som ændret ved forordning nr. 1437/2007, samt af forordning nr. 259/2008, et krav om forudgående kontrol som omhandlet i den nævnte bestemmelse.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Scarlet Extended SA

Sagsøgte i hovedsagen:

Société belge des auteurs compositeurs et éditeurs (SABAM)

Faktum i hovedsagen:

Anmodningen er indgivet i forbindelse med en sag mellem Scarlet Extended SA (herefter »Scarlet«) og Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM) (herefter »SABAM«) angående førstnævnte selskabs afslag på at etablere et system til filtrering af elektronisk kommunikation ved hjælp af arkivudvekslingssoftware (benævnt »peer-to-peer-software«) med henblik på at hindre udveksling af filer, der udgør en krænkelse af ophavsretten.

De præjudicielle spørgsmål:

1) Giver direktiv 2001/29 og 2004/48 sammenholdt med direktiv 95/46, 2000/31 og 2002/58, som fortolket navnlig i henhold til artikel 8 og 10 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, medlemsstaterne mulighed for at tillade en national ret, der skal behandle en sags realitet, og alene på grundlag af en retsforskrift, der bestemmer, at "[d]er kan ligeledes [af den nationale ret] nedlægges forbud om ophør over for mellemmænd, hvis tjenesteydelser anvendes af tredjemænd til at krænke ophavsretten eller en beslægtet rettighed", at pålægge en udbyder af internetadgang over for sine kunder, helt generelt og præventivt og for internetudbyderens egen regning og uden tidsbegrænsning at indføre et system med filtrering af al indgående og udgående elektronisk kommunikation, der gennemføres ved hjælp af internetudbyderens tjenesteydelser, navnlig ved anvendelse af peer to peer software, med henblik på i udbyderens netværk at identificere omsætning af elektroniske filer, der indeholder et musikværk, kinematografisk værk eller audiovisuelt værk, som sagsøgeren hævder at have rettigheder til, og dernæst blokere overførslen af disse filer, enten på tidspunktet for opkaldet til dem eller i forbindelse med fremsendelsen af dem?

2) I tilfælde af et bekræftende svar på spørgsmål 1 pålægger disse direktiver da den nationale ret, der skal træffe afgørelse om en begæring om forbud over for en mellemmand, hvis tjenesteydelser anvendes af tredjemand til at krænke en ophavsret, at anvende proportionalitetsprincippet, når den skal udtale sig om effektiviteten og den afskrækkende virkning af den begærede foranstaltning?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 14. april 2011. Generaladvokaten konkluderer i sin udtalelse følgende:

Europa-Parlamentets og Rådets direktiv 2001/29/EF af 22. maj 2001 om harmonisering af visse aspekter af ophavsret og beslægtede rettigheder i informationssamfundet og Europa-Parlamentets og Rådets direktiv 2004/48/EF af 29. april 2004 om håndhævelsen af intellektuelle ejendomsrettigheder, sammenholdt med Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor og Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked (»Direktivet om elektronisk handel«), fortolket i lyset af artikel 7, 8, 11 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder under hensyn til artikel 8 og 10 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, skal fortolkes således, at de er til hinder for, at en national ret alene på grundlag af en lovbestemmelse, hvorefter »[de kompetente retsinstanser] ligeledes over for mellemmænd, hvis tjenesteydelser anvendes af tredjemand til at krænke ophavsretten eller en beslægtet rettighed, [kan] udstede påbud om, at krænkelsen bringes til ophør«, kan træffe bestemmelse om en foranstaltning, hvorved en »[internetudbyder pålægges] over for alle sine kunder, in abstracto og præventivt, for egen regning og uden tidsbegrænsning, at etablere et system til filtrering af al indgående og udgående elektronisk kommunikation, der gennemføres ved hjælp af den pågældende internetudbyders tjenesteydelser, navnlig ved anvendelse af peer-to-peer-software, med henblik på at identificere transport på internetudbyderens netværk af elektroniske filer, der indeholder et musikværk, et kinematografisk værk eller et audiovisuelt værk, hvortil sagsøgeren hævder at have rettigheder, og dernæst blokere overførslen af de pågældende filer, enten på det tidspunkt, hvor der anmodes om dem, eller på det tidspunkt, hvor de afsendes.

Domsafsigelse:

EU-Domstolen har den 24. november 2011 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Følgende direktiver:

  • Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked (»direktivet om elektronisk handel«)
  • Europa-Parlamentets og Rådets direktiv 2001/29/EF af 22. maj 2001 om harmonisering af visse aspekter af ophavsret og beslægtede rettigheder i informationssamfundet
  • Europa-Parlamentets og Rådets direktiv 2004/48/EF af 29. april 2004 om håndhævelsen af intellektuelle ejendomsrettigheder
  • Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og
  • Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation)

sammenholdt og fortolket i forhold til de krav, der kan udledes af beskyttelsen af de gældende grundlæggende rettigheder, skal fortolkes således, at de er til hinder for, at det pålægges en internetudbyder at indføre et system med filtrering

  • af al indgående og udgående elektronisk kommunikation, der gennemføres ved hjælp af internetudbyderens tjenesteydelser, navnlig ved anvendelse af »peer-to-peer«-software
  • der uden forskel anvendes over for alle kunderne
  • præventivt
  • for internetudbyderens egen regning, og
  • uden tidsbegrænsning

med henblik på i udbyderens netværk at identificere omsætning af elektroniske filer, der indeholder et musikværk, kinematografisk værk eller audiovisuelt værk, som sagsøgeren hævder at have rettigheder til, og dernæst blokere overførslen af filer, hvis udveksling krænker ophavsretten.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) (sag C-468/10)

Federación de Comercio Electrónico y Marketing Directo (FECEMD) (sag C-469/10)

Sagsøgte i hovedsagen:

Administración del Estado,

Faktum i hovedsagen:

Tribunal Supremo har anført, at spansk ret i tilfælde af, at den registrerede ikke har givet sit samtykke, med henblik på at muliggøre den behandling af sidstnævntes personoplysninger, som er nødvendig, for at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, foruden overholdelsen af den registreredes grundlæggende rettigheder og frihedsrettigheder kræver, at nævnte oplysninger fremgår af de registre, der er opregnet i artikel 3, litra j), i Ley Orgánica 15/1999. Tribunal Supremo er i denne forbindelse af den opfattelse, at denne lov og kongelig anordning nr. 1720/2007 begrænser rækkevidden af artikel 7, litra f), i direktiv 95/46.

De præjudicielle spørgsmål:

Ved kendelse afsagt af Domstolens præsident den 26. oktober 2010 blev sagerne C-468/10 og C-469/10 forenet med henblik på den skriftlige og mundtlige forhandling samt dommen.    

1) Skal artikel 7, litra f), i […] direktiv 95/46 […] fortolkes således, at den er til hinder for en national lovgivning, som, i tilfælde af at den registrerede ikke har givet sit samtykke, og for at muliggøre behandlingen af den pågældendes personoplysninger, som er nødvendig for, at den registeransvarlige eller de tredjemænd, til hvem de videregives, kan forfølge en legitim interesse, kræver, ud over at den registreredes grundlæggende rettigheder og frihedsrettigheder ikke krænkes, at oplysningerne er opført i offentligt tilgængelige kilder?

2) Opfylder [nævnte] artikel 7, litra f), de betingelser, som Den Europæiske Unions Domstols retspraksis kræver for at tillægge den direkte virkning?

Udtalelse fra EU's generaladvokat:

Der foreligger ikke nogen udtalelse fra EU’s generaladvokat.

Domsafsigelse:

EU-domstolen har den 24. november 2011 afsagt dom i sagen, hvoraf følgende fremgår:

1) Artikel 7, litra f), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at den er til hinder for en national lovgivning, som, i tilfælde af at den registrerede ikke har givet sit samtykke og for at muliggøre behandlingen af den pågældendes personoplysninger, som er nødvendig for, at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, kræver, ud over at den registreredes grundlæggende rettigheder og frihedsrettigheder ikke krænkes, at nævnte oplysninger er opført i offentligt tilgængelige kilder, og således kategorisk og generelt udelukker enhver behandling af oplysninger, som ikke er opført i sådanne kilder.

2) Artikel 7, litra f), i direktiv 95/46 har direkte virkning.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Bonnier Audio AB

Earbooks AB

Norstedts Förlagsgrupp AB

Piratförlaget AB

Storyside AB

Sagsøgte i hovedsagen:

Perfect Communication Sweden AB

Faktum i hovedsagen:

Bonnier Audio m.fl. er forlag, der bl.a. har eneret til at fremstille 27 nærmere angivne bøger i lydbogsformat, til at udgive eksemplarer af værkerne samt til at stille værkerne til rådighed for almenheden.

Bonnier Audio m.fl. er af den opfattelse, at der er sket en krænkelse af deres eneret, idet disse 27 værker uden indehavernes samtykke er blevet gjort tilgængeligt for almenheden via en FTP-server (»file transfer protocol«), der gør det muligt at dele filer og overføre data mellem computere via internettet.

EPhone er den internetudbyder, der har stillet den internetforbindelse til rådighed, via hvilken den påståede ulovlige fildeling har fundet sted.

Bonnier Audio m.fl. anmodede Solna tingsrätt om at udstede påbud med henblik på at få oplyst navn og adresse på den person, der benyttede den IP-adresse, som angiveligt blev anvendt til at overføre de omhandlede filer i perioden fra den 1. april 2009, kl. 03.28, til den 1. april 2009, kl. 05.45.

De præjudicielle spørgsmål:

1) Er [direktiv 2006/24], navnlig artikel 3[-]5 og 11 heri, til hinder for anvendelsen af en national bestemmelse, der er indført i henhold til artikel 8 i [direktiv 2004/48], og som indebærer, at en internetudbyder i et civilt søgsmål med det formål at kunne identificere en bestemt abonnent tilpligtes at give indehaverne af ophavsretten eller den, til hvem retten er overgået, oplysninger om den abonnent, der har fået tildelt en bestemt IP-adresse af internetudbyderen, hvorfra den påståede krænkelse er foretaget? Forudsætningen for dette spørgsmål er, at sagsøgeren har godtgjort, at der er konkrete indicier for, at der foreligger en krænkelse af visse ophavsrettigheder, og at foranstaltningen står i rimeligt forhold hertil?

2) Har det betydning for besvarelsen af spørgsmål 1, at medlemsstaten ikke har gennemført direktiv 2006/24, selv om fristen er udløbet?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 17. november 2011. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

1) Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF finder kun anvendelse på behandlingen af de personoplysninger, der er nævnt i direktivets artikel 1, stk. 1. Følgelig er direktivet ikke til hinder for en national bestemmelse, der indebærer, at retten kan pålægge en internetudbyder i et civilt søgsmål med det formål at kunne identificere en bestemt abonnent at give indehaverne af ophavsretten eller den, til hvem retten er overgået, oplysninger om den abonnent, der har fået tildelt en bestemt IP-adresse af internetudbyderen, hvorfra den påståede krænkelse er foretaget. Disse oplysninger skal imidlertid have været lagret med henblik på at kunne videregives og benyttes til dette formål i overensstemmelse med udførlige nationale bestemmelser, der er vedtaget under hensyntagen til de EU-retlige bestemmelser om beskyttelse af personoplysninger.

2) I lyset af besvarelsen af det første spørgsmål er det ufornødent at besvare det andet spørgsmål.

Domsafsigelse:

EU-domstolen har den 19. april 2012 afsagt dom i sagen, hvoraf følgende fremgår:

Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF skal fortolkes således, at det ikke er til hinder for anvendelse af en national lovgivning, der er indført i henhold til artikel 8 i Europa-Parlamentets og Rådets direktiv 2004/48/EF af 29. april 2004 om håndhævelsen af intellektuelle ejendomsrettigheder, og som indebærer, at en internetudbyder med det formål at kunne identificere en internetabonnent eller ‑bruger kan tilpligtes at give indehaverne af ophavsretten eller den, til hvem retten er overgået, oplysninger om den abonnent, der har fået tildelt en IP-adresse (internetprotokol-adresse), hvorfra den påståede krænkelse er foretaget, idet en sådan lovgivning ikke omfattes af det materielle anvendelsesområde for direktiv 2006/24.

Den omstændighed, at den pågældende medlemsstat endnu ikke har gennemført direktiv 2006/24, selv om fristen herfor er udløbet, er i hovedsagen uden relevans.

Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) og direktiv 2004/48 skal fortolkes således, at de ikke er til hinder for en national lovgivning som den i hovedsagen omhandlede, for så vidt som denne lovgivning gør det muligt for den nationale retsinstans, til hvilken der indgives anmodning om udstedelse af et påbud om at videregive personoplysninger af en person, der har søgsmålskompetence, på grundlag af omstændighederne i den konkrete sag og under hensyntagen til de krav, der følger af proportionalitetsprincippet, at afveje de pågældende modstridende interesser mod hinanden.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Josef Probst

Sagsøgte i hovedsagen:

mr.nexnet GmbH

Faktum i hovedsagen:

Josef Probst har en telefonforbindelse hos Deutsche Telekom AG, via hvilken han også kobler sin computer til internettet. Han benyttede i perioden fra den 28. juni til den 6. september 2009 et nummer leveret af Verizon for at opnå engangsadgang til internettet. I første omgang blev Josef Probst debiteret de herfor opkrævede vederlag af Deutsche Telekom AG som »beløb fra andre udbydere«. Da Josef Probst ikke har betalt disse, har nexnet, til hvem fordringen er overgået på grundlag af en factoringkontrakt indgået mellem Verizon og nexnets forgængere, krævet betaling af de debiterede beløb forhøjet med diverse omkostninger. I henhold til factoringkontrakten overtog nexnet kreditrisikoen.

De præjudicielle spørgsmål:

1) Tillader artikel 6, stk. 2 og 5, i direktiv 2002/58 videregivelse af trafikdata fra tjenesteudbyderen til erhververen af et krav på vederlag for teletjenester, når der for overdragelsen, der har fundet sted med henblik på inddrivelse af tilbagedebiterede fordringer, foruden den generelle forpligtelse til at iagttage telehemmeligheden og databeskyttelsen i henhold til de til enhver tid gældende lovregler gælder følgende aftalevilkår:

  • Tjenesteudbyderen og erhververen forpligter sig til kun at behandle og bruge de beskyttede data inden for rammerne af deres samarbejde og udelukkende til det formål, der ligger til grund for aftalens indgåelse, og på den i aftalen angivne måde.
  • Så snart kendskabet til de beskyttede data ikke længere er nødvendigt af hensyn til opfyldelsen af dette formål, skal alle beskyttede data, der foreligger i denne sammenhæng, slettes uigenkaldeligt eller tilbageleveres.
  • Aftaleparterne har ret til at kontrollere, at databeskyttelsen og datasikkerheden iagttages hos den anden part i overensstemmelse med denne aftale.
  • De modtagne fortrolige dokumenter og oplysninger må kun gøres tilgængelige for medarbejdere, der har brug for disse med henblik på opfyldelsen af aftalen.
  • Aftaleparterne pålægger disse medarbejdere tavshedspligt i overensstemmelse med denne aftale.
  • Efter anmodning fra en aftalepart, dog senest når samarbejdet mellem aftaleparterne ophører, skal alle fortrolige oplysninger, der foreligger i denne sammenhæng, slettes uigenkaldeligt eller tilbageleveres til den anden aftalepart?

Udtalelse fra EU's generaladvokat:

Der foreligger ikke nogen udtalelse fra EU-Domstolens generaladvokat.

Domsafsigelse:

EU-domstolen har den 22. november 2012 afsagt dom i sagen, hvoraf følgende fremgår:

Artikel 6, stk. 2 og 5, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) skal fortolkes således, at det er tilladt for en udbyder af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester at videregive trafikdata til erhververen af dens fordringer i forbindelse med levering af telekommunikationstjenester med henblik på inddrivelse heraf, og at det er tilladt for erhververen at behandle disse data på betingelse af for det første, at han handler efter bemyndigelse fra tjenesteudbyderen for så vidt angår behandlingen af disse data, og for det andet, at han begrænser sig til alene at behandle de trafikdata, som er nødvendig med henblik på de overdragede fordringers inddrivelse.

Uafhængigt af kvalificeringen af aftalen om overdragelse af fordringer handler erhververen efter bemyndigelse fra den pågældende tjenesteudbyder i den forstand, hvori udtrykket er anvendt i artikel 6, stk. 5, i direktiv 2002/58, når erhververen ved behandlingen af trafikdata alene handler ifølge udbyderens instruktioner og under dennes kontrol. Særligt skal aftalen mellem dem indeholde bestemmelser til at sikre erhververens lovlige behandling af trafikdata og give tjenesteudbyderen mulighed for til enhver tid at sikre sig, at erhververen iagttager disse bestemmelser.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Worten – Equipamentos para o Lar SA

Sagsøgte i hovedsagen:

Autoridade para as Condições de Trabalho (ACT),

Faktum i hovedsagen:

Ved afgørelse af 14. marts 2012 fandt arbejdstilsynet, at Worten havde begået en alvorlig administrativ overtrædelse af arbejdslovgivningen, idet selskabet havde overtrådt bestemmelserne vedrørende registrering af arbejdstid i henhold til arbejdslovens artikel 202, stk. 1, for så vidt som det ikke gjorde det muligt for arbejdstilsynet på det omhandlede forretningssted at få umiddelbar adgang til arbejdstidsregisteret for de på stedet ansatte medarbejdere. Overtrædelsens alvor følger af den omstændighed, at arbejdstidsregistreret gør det muligt direkte og hurtigt at afgøre, hvorvidt organiseringen af et selskabs virksomhed er i overensstemmelse med lovgivningen om arbejdstid. Følgelig pålagde arbejdstilsynet Worten en bøde på 2 000 EUR.

Worten anlagde annullationssøgsmål til prøvelse af denne beslutning ved tribunal do trabalho de Viseu.

De præjudicielle spørgsmål:                

1) Skal artikel 2 i direktiv 95/46 […] fortolkes således, at begrebet »personoplysninger« bl.a. omfatter registrering af arbejdstid, dvs. angivelse af tidspunktet for den enkelte medarbejders påbegyndelse og afslutning af sin arbejdsdag, herunder pauser eller tidsrum, som ikke medregnes i arbejdstiden?

2) Såfremt det første spørgsmål besvares bekræftende, er den portugisiske stat da i henhold til artikel 17, stk. 1, i direktiv 95/46 […] forpligtet til at iværksætte de fornødne tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, mod hændeligt tab, mod forringelse, ubeføjet udbredelse eller ikke-autoriseret adgang, navnlig hvis behandlingen omfatter fremsendelser af oplysninger i et net?

3) Såfremt det andet spørgsmål besvares bekræftende, skal princippet om EU-rettens forrang, i det tilfælde hvor en medlemsstat ikke iværksætter nogen foranstaltninger til opfyldelse af bestemmelsen i artikel 17, stk. 1, i direktiv 95/46 […], og hvor arbejdsgivervirksomheden, som er ansvarlig for behandlingen af de pågældende oplysninger, indfører et system med begrænset adgang til disse oplysninger, som ikke giver den kompetente nationale myndighed automatisk adgang hertil i forbindelse med dennes kontrol af arbejdsforholdene, da fortolkes således, at medlemsstaten ikke kan sanktionere arbejdsgivervirksomheden for denne adfærd?

Udtalelse fra EU's generaladvokat:

Der foreligger ikke nogen udtalelse fra EU’s generaladvokat.

Domsafsigelse:

EU-domstolen har den 30. maj 2013 afsagt dom i sagen, hvoraf følgende fremgår:

1) Artikel 2, litra a), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, skal fortolkes således, at et arbejdstidsregister, som det i hovedsagen omhandlede, der for hver arbejdstager indeholder angivelsen af tidspunkterne for arbejdsdagens påbegyndelse og afslutning samt tilsvarende for afbrydelser eller pauser, er omfattet af begrebet »personoplysninger« i denne bestemmelses forstand.

2) Artikel 6, stk. 1, litra b) og c), samt artikel 7, litra c) og e), i direktiv 95/46 skal fortolkes således, at de ikke er til hinder for en national lovgivning, som den i hovedsagen omhandlede, der pålægger arbejdsgiveren en forpligtelse til at stille arbejdstidsregisteret til rådighed for den kompetente nationale myndighed på området for tilsyn med arbejdsvilkår på en måde, der muliggør umiddelbar aflæsning, for så vidt som denne forpligtelse er nødvendig med henblik på denne myndigheds gennemførelse af sine tilsynsopgaver med forvaltningen af lovgivningen på området for arbejdsvilkår, bl.a. for så vidt angår arbejdstid.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Michael Schwarz

Sagsøgte i hovedsagen:

Stadt Bochum

Faktum i hovedsagen:

Michael Schwarz ansøgte Stadt Bochum om udstedelse af et pas, men modsatte sig samtidig, at hans fingeraftryk blev optaget ved denne lejlighed. Efter at Stadt Bochum havde afslået hans ansøgning, anlagde Michael Schwarz sag ved den forelæggende ret med påstand om, at det blev pålagt denne by at udstede et pas til ham uden at optage hans fingeraftryk.

Michael Schwarz har for denne ret anfægtet gyldigheden af forordning nr. 2252/2004, hvormed forpligtelsen til at optage fingeraftryk fra pasansøgere blev indført. Michael Schwarz har gjort gældende, at denne forordning er støttet på en forkert hjemmel, og at den er behæftet med en procedurefejl. Endvidere tilsidesætter nævnte forordnings artikel 1, stk. 2, retten til beskyttelse af personoplysninger, der er forankret dels mere overordnet i artikel 7 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) vedrørende retten til privatliv, dels udtrykkeligt i chartrets artikel 8

De præjudicielle spørgsmål:

Er artikel 1, stk. 2, i forordning [nr. 2252/2004] gyldig?

Udtalelse fra EU's generaladvokat

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 13. juni 2013. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

Gennemgangen af det forelagte spørgsmål har intet frembragt, der kan rejse tvivl om gyldigheden af artikel 1, stk. 2, i Rådets forordning (EF) nr. 2252/2004 af 13. december 2004 om standarder for sikkerhedselementer og biometriske identifikatorer i pas og rejsedokumenter, som medlemsstaterne udsteder, som ændret ved Europa-Parlamentets og Rådets forordning (EF) nr. 444/2009 af 28. maj 2009.

Domsafsigelse:

EU-domstolen har den 17. oktober 2013 afsagt dom i sagen, hvoraf følgende fremgår:

Gennemgangen af det forelagte spørgsmål har intet frembragt, der kan rejse tvivl om gyldigheden af artikel 1, stk. 2, i Rådets forordning (EF) nr. 2252/2004 af 13. december 2004 om standarder for sikkerhedselementer og biometriske identifikatorer i pas og rejsedokumenter, som medlemsstaterne udsteder, som ændret ved Europa-Parlamentets og Rådets forordning (EF) nr. 444/2009 af 6. maj 2009.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Digital Rights Ireland Ltd (sag C-293/12)

Sagsøgte i hovedsagen:

Minister for Communications, Marine and Natural Resources (sag C-293/12)

Minister for Justice, Equality and Law Reform

Commissioner of the Garda Síochána

Irland

The Attorney General

og

Kärntner Landesregierung (sag C-594/12)

Michael Seitlinger

Christof Tschohl m.fl.,

Faktum i hovedsagen:

Digital Rights anlagde den 11. august 2006 sag ved High Court, og selskabet anførte herved, at det er ejer af en mobiltelefon, som blev registreret den 3. juni 2006, og som det har anvendt siden denne dato. Digital Rights anfægter lovligheden af nationale lovgivningsmæssige og administrative foranstaltninger, der angår lagring af data vedrørende elektronisk kommunikation, og har bl.a. nedlagt påstand for den forelæggende ret om, at det fastslås, at såvel direktiv 2006/24 som Part 7 i Criminal Justice (Terrorist Offences) Act 2005 (straffelov af 2005 (terrorhandlinger)), hvorefter telekommunikationsudbydere skal lagre trafik- og lokaliseringsdata vedrørende telekommunikation i et tidsrum, der er fastsat i loven, med henblik på forebyggelse, afsløring, efterforskning eller forfølgning af kriminalitet og beskyttelse af statens sikkerhed, er ugyldige.

De præjudicielle spørgsmål:

Ved afgørelse truffet af Domstolens præsident den 11. juni 2013 blev sagerne C-293/12 og C-594/12 forenet med henblik på den mundtlige forhandling og dommen.

Sag C-293/12:

1) Er begrænsningen af sagsøgerens rettigheder hvad angår dennes brug af mobiltelefoni, der fremgår af kravene i artikel 3, 4 og 6 i direktiv 2006/24, uforenelig med artikel 5, stk. 4, TEU, for så vidt som den er uforholdsmæssig og unødvendig eller uhensigtsmæssig i forhold til at opfylde de lovlige mål om at:

   a) sikre, at der er adgang til visse data i forbindelse med efterforskning, afsløring og retsforfølgning af grov kriminalitet

   og/eller

   b) sikre den rette funktion af Den Europæiske Unions indre marked?

2) Navnlig spørges, om

   a) direktiv 2006/24 er foreneligt med borgeres ret til at færdes og opholde sig frit på medlemsstaternes område, således som fastsat i artikel 21 TEUF

   b) direktiv 2006/24 er foreneligt med retten til privatliv, der er fastsat i chartrets artikel 7 og EMRK’s artikel 8

   c) direktiv 2006/24 er foreneligt med retten til beskyttelse af personlige oplysninger, således som fastsat i chartrets artikel 8

   d) direktiv 2006/24 er foreneligt med ytringsfriheden, således som fastsat i chartrets artikel 11 og EMRK’s artikel 10

   e) direktiv 2006/24 er foreneligt med retten til god forvaltning, således som fastsat i chartrets artikel 41.

3) I hvilket omfang kræver traktaterne – navnlig princippet om loyalt samarbejde, der er opstillet i artikel 4, stk. 3, [TEU] – at en national ret skal undersøge og bedømme, om de nationale foranstaltninger til gennemførelse af direktiv 2006/24 er forenelige med den beskyttelse, der ydes med [chartret], herunder dettes artikel 7 (jf. EMRK’s artikel 8)?

 

Sag C-594/12:

1) Gyldigheden af retsakter udstedt af Unionens institutioner:

    Er artikel 3-9 i direktiv 2006/24 forenelige med [chartrets] artikel 7, 8 og 11 […]?

2)  Fortolkning af traktaterne:

   a) Skal der, set i lyset af forklaringerne til chartrets artikel 8, der i henhold til chartrets artikel 52, stk. 7, er udarbejdet som en vejledning ved fortolkningen af [dette], og som Verfassungsgerichtshof skal inddrage behørigt, tages samme hensyn til direktiv 95/46 og Europa-Parlamentets og Rådets forordning           (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger [(EFT L 8, s. 1)] som til betingelserne i chartrets artikel 8, stk. 2, og artikel 52, stk. 1, ved         bedømmelsen af gyldigheden af indgreb?

   b)Hvilket forhold er der mellem »EU-retten« som nævnt i chartrets artikel 52, stk. 3, sidste punktum, og de databeskyttelsesretlige direktiver?

   c) Skal der, henset til, at direktiv 95/46/EF og forordning […] nr. 45/2001 indeholder betingelser og begrænsninger for udøvelse af den grundlæggende ret til databeskyttelse i henhold til chartret, ved fortolkning af [dettes] artikel 8 tages hensyn til ændringer, der følger af senere sekundærret?

   d) Følger det af princippet om overholdelse af det højeste beskyttelsesniveau, som opstilles i chartrets artikel 53, når der henses til chartrets artikel 52, stk. 4, at grænserne for tilladte sekundærretlige indskrænkninger skal drages snævrere?

   e) Kan der, henset til chartrets artikel 52, stk. 3, præamblens femte afsnit og forklaringerne til [dets] artikel 7, hvorefter de rettigheder, der sikres i artikel 7, svarer til dem, der er sikret ved EMRK’s artikel 8, udledes synspunkter af Den Europæiske Menneskerettighedsdomstols praksis vedrørende EMRK’s           artikel 8, som påvirker fortolkningen af chartrets artikel 8?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 12. december 2013. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

1) Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF er i det hele uforeneligt med artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, idet den pligt til datalagring, som fastsættes i direktivet, begrænser udøvelsen af de grundlæggende rettigheder, uden at der er opstillet principper for de garantier, der er nødvendige for at regulere adgangen til og udnyttelsen af de nævnte data.

2) Artikel 6 i direktiv 2006/24 er ikke forenelig med artikel 7 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som medlemsstaterne derved pålægges at sikre, at de data, der er nævnt i direktivets artikel 5, lagres i en periode, der maksimalt kan udgøre to år.

Domsafsigelse:

EU-domstolen har den 8. april 2014 afsagt dom i sagen, hvoraf følgende fremgår:

Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF er ugyldigt.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Google Spain SL,

Google Inc

Sagsøgte i hovedsagen:

Agencia Española de Protección de Datos (AEPD),

Mario Costeja González

Faktum i hovedsagen:

Den 5. marts 2010 indgav Mario Costeja González, der er spansk statsborger med bopæl i Spanien, en klage til AEPD over La Vanguardia Ediciones SL, som udgiver en avis med et stort oplagstal, bl.a. i Catalonien (herefter »La Vanguardia«), samt over Google Spain og Google Inc. Klagen var baseret på den omstændighed, at internetbrugere ved en søgning på hans navn på Googlekoncernens søgemaskine (herefter »Google Search«) får vist et link til to sider i avisen La Vanguardia fra henholdsvis den 19. januar og den 9. marts 1998 med en annonce, der nævner Mario Costeja González’ navn vedrørende en tvangsauktion over fast ejendom i forbindelse med en beslaglæggelse på grund af gæld til den sociale sikringsordning.

Med klagen anmodede Mario Costeja González for det første om, at La Vanguardia blev pålagt enten at fjerne eller ændre disse sider, således at hans personoplysninger ikke længere fremgik, eller at anvende visse værktøjer i søgemaskinerne til beskyttelse af disse oplysninger. For det andet anmodede han om, at Google Spain eller Google Inc. blev pålagt at fjerne eller skjule hans personoplysninger, således at de ikke længere indgik i søgeresultaterne og ikke længere fremgik af linket til La Vanguardia. Mario Costeja González anførte herved, at den beslaglæggelse, som han havde været genstand for, havde været fuldstændig afgjort i flere år, og at det ikke havde nogen aktuel relevans at nævne den.

Ved afgørelse af 30. juli 2010 afviste AEPD klagen for så vidt angik La Vanguardia, idet dennes offentliggørelse af de omhandlede oplysninger var retligt begrundet, eftersom den skete efter ordre fra Arbejds- og Socialministeriet og havde til formål at gøre mest mulig reklame for auktionen med henblik på at opnå flest mulige tilbudsgivere.

For så vidt angik Google Spain og Google Inc. fik Mario Costeja González derimod medhold i klagen. AEPD fandt i denne forbindelse, at søgemaskineudbydere er undergivet lovgivningen om beskyttelse af personoplysninger, eftersom de foretager en behandling af oplysninger, som de er ansvarlige for, og optræder som mellemled i informationssamfundet. AEPD fandt, at det har beføjelse til at bestemme, at oplysningerne skal fjernes, og til at forbyde søgemaskineudbyderne adgang til visse oplysninger, når AEPD finder, at oplysningernes placering og formidling krænker den grundlæggende ret til beskyttelse af oplysninger og personers værdighed i bred forstand, hvilket også omfatter, at den berørte person blot ønsker, at tredjemand ikke kan gøre sig bekendt med disse oplysninger. Ifølge AEPD kan denne forpligtelse påhvile søgemaskineudbyderne direkte, uden at det er nødvendigt at slette oplysningerne eller informationerne på den webside, hvor de fremgår, bl.a. når opretholdelsen af oplysningerne på siden er begrundet i henhold til en lovbestemmelse.

De præjudicielle spørgsmål:

1) Hvad angår den territoriale anvendelse af direktiv 95/46 og følgelig de spanske databeskyttelsesregler:

     a) Kan der siges at foreligge en »virksomhed eller et organ« som omhandlet i artikel 4, stk. 1, litra a), i direktiv 95/46, når der foreligger en eller flere af følgende situationer:

        - såfremt den virksomhed, der leverer søgemaskinen, i en medlemsstat etablerer en filial eller et datterselskab, der skal sørge for reklame og salg af reklameplads, der udbydes af søgemaskinen, og som retter sine aktiviteter mod borgerne i denne stat

        eller

       - såfremt modervirksomheden udpeger et datterselskab, der er etableret i denne medlemsstat, som sin repræsentant og registeransvarlige for to konkrete edb-registre, der har forbindelse til oplysninger om de kunder, der har indgået aftale med den nævnte virksomhed om visning af reklamer

       eller

       - såfremt kontoret eller datterselskabet, der er etableret i en medlemsstat, videregiver de anmodninger og krav, som både de berørte personer og de kompetente databeskyttelsesmyndigheder sender til kontoret eller datterselskabet, til modervirksomheden, der er etableret uden for Den Europæiske                  Union, selv om dette samarbejde foregår på frivilligt grundlag?

    b) Skal artikel 4, stk. 1, litra c), i direktiv 95/46 fortolkes således, at der anvendes »midler […], som befinder sig på den pågældende medlemsstats område«:

       - såfremt en søgemaskine gør brug af spiders eller robotter for at lokalisere og indeksere oplysninger fra websider, der befinder sig på servere i denne medlemsstat

       eller

      - såfremt der gøres brug af en medlemsstats domænenavn, og søgningerne og resultaterne organiseres afhængigt af denne medlemsstats sprog?

   c) Kan en midlertidig lagring af de af søgemaskinerne indekserede oplysninger fra internettet anses for at være anvendelse af midler som omhandlet i artikel 4, stk. 1, litra c), i direktiv 95/46? Såfremt det sidste spørgsmål besvares bekræftende, kan tilknytningskriteriet da siges at være opfyldt, når                      virksomheden under henvisning til konkurrencemæssige årsager nægter at oplyse, hvor den lagrer dette indeks?

   d) Uafhængigt af besvarelsen af ovenstående spørgsmål og især i tilfælde af, at Domstolen finder, at tilknytningskriterierne, der er fastsat i artikel 4 i direktiv 95/46, ikke foreligger:

       Skal [direktiv 95/46] da finde anvendelse i lyset af [chartrets] artikel 8 […] i den medlemsstat, hvor konfliktens tyngdepunkt befinder sig, og hvor der er mulighed for en mere effektiv beskyttelse af EU-borgernes rettigheder?

 

2) Hvad angår søgemaskinernes aktivitet som leverandør af oplysninger set i forhold til [direktiv 95/46]:

    a) For så vidt angår den internetaktivitet, der foretages af [Google Search] som leverandør af oplysninger, og som består i at lokalisere oplysninger, der er offentliggjort eller lagt på nettet af tredjemænd, indeksere disse automatisk, lagre dem midlertidigt og sluttelig gøre dem tilgængelige for                                internetbrugerne i en vis prioriteret orden, når oplysningerne indeholder personoplysninger om tredjemand […] skal en aktivitet som den beskrevne da fortolkes som værende omfattet af begrebet »behandling af personoplysninger« som omhandlet i artikel 2, litra b), i direktiv 95/46?

     b) Såfremt det foregående spørgsmål besvares bekræftende og i forhold til en aktivitet som beskrevet ovenfor: Skal artikel 2, litra d), i direktiv 95/46 fortolkes således, at den virksomhed, der forvalter [Google Search], er »registeransvarlig« for de personoplysninger, der er indeholdt på de websider, den               har indekseret?

     c) Såfremt det foranstående spørgsmål besvares bekræftende: Kan [AEPD], der skal beskytte de rettigheder, der er omhandlet i artikel 12, litra b), og artikel 14, litra a), i direktiv 95/46, rette direkte henvendelse til [Google Search] for at kræve, at denne virksomhed fra sit indeks fjerner oplysninger, der er           offentliggjort af tredjemand, uden først eller samtidigt at rette henvendelse til indehaveren af den webside, hvorpå disse oplysninger ligger?

     d) Såfremt det foregående spørgsmål besvares bekræftende:

         Bortfalder forpligtelsen for disse søgemaskiner til at overholde nævnte rettigheder da, når de oplysninger, der omfatter personoplysninger, er offentliggjort lovligt af tredjemand og fortsat fremgår af den oprindelige webside?

 

3) For så vidt angår rækkevidden af retten til sletning og retten til indsigelse i forhold til den såkaldte ret til at blive glemt forelægges følgende spørgsmål: 

Skal retten til sletning og blokering af oplysninger, der er reguleret i artikel 12, litra b), i direktiv 95/46, og retten til indsigelse, der er reguleret i samme direktivs artikel 14, litra a), fortolkes således, at de omfatter den berørte parts ret til at rette henvendelse til søgemaskinerne for at forhindre indeksering af den pågældendes personoplysninger, der er offentliggjort på tredjemands webside, under påberåbelse af, at den pågældende ikke ønsker, at oplysningerne kommer til internetbrugernes kendskab, fordi den pågældende finder, at oplysningerne kan komme ham til skade eller ønsker, at de slettes, selv om der er tale om oplysninger, der er offentliggjort lovligt af tredjemand?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 25. juni 2013. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

1) Behandlingen af personoplysninger finder sted som led i den registeransvarliges virksomhed eller organ i den betydning, hvori udtrykket er anvendt i artikel 4, stk. 1, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, når den virksomhed, der leverer internetsøgemaskinen, i en medlemsstat etablerer et kontor eller et datterselskab, der skal sørge for reklame og salg af reklameplads i søgemaskinen, og som retter sine aktiviteter mod borgerne i denne stat.

2) En udbyder af en internetsøgemaskine, hvis søgemaskine lokaliserer oplysninger, der er offentliggjort eller lagt på internettet af tredjemænd, registrerer disse automatisk, lagrer dem midlertidigt og sluttelig gør dem tilgængelige for internetbrugerne i en vis prioriteret orden, »behandler« personoplysninger i den forstand, hvori udtrykket er anvendt i artikel 2, litra b), i direktiv 95/46, når disse oplysninger indeholder personoplysninger.

Udbyderen af internetsøgemaskinen kan imidlertid ikke anses for at være »registeransvarlig« for behandlingen af disse personoplysninger i den forstand, hvori udtrykket er anvendt i artikel 2, litra d), i direktiv 95/46, med undtagelse af indholdet i søgemaskinens indeks, forudsat at tjenesteudbyderen ikke registrerer eller arkiverer personoplysninger i strid med websideudgiverens instrukser eller anmodninger.

3) Retten til sletning og blokering af oplysninger, der er reguleret i artikel 12, litra b), og retten til indsigelse, der er reguleret i artikel 14, litra a), i direktiv 95/46, skal fortolkes således, at de ikke indrømmer den berørte part ret til at rette henvendelse til søgemaskinerne for at forhindre registrering af den pågældendes personoplysninger, der er offentliggjort lovligt på tredjemands website, under påberåbelse af, at den pågældende ikke ønsker, at oplysningerne kommer til internetbrugernes kendskab, fordi den pågældende finder, at oplysningerne kan komme ham til skade, eller ønsker, at de slettes.

Domsafsigelse:

EU-domstolen har den 13. maj 2014 afsagt dom i sagen, hvoraf følgende fremgår:

1) Artikel 2, litra b) og d), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at en søgemaskines aktivitet, der består i at finde oplysninger, der er offentliggjort eller lagt på internettet af tredjemand, indeksere disse automatisk, lagre dem midlertidigt og sluttelig gøre dem tilgængelige for internetbrugerne i en vis prioriteret orden, for det første skal kvalificeres som »behandling af personoplysninger« som omhandlet i artikel 2, litra b), når oplysningerne indeholder personoplysninger, og for det andet skal udbyderen af denne søgemaskine anses for at være »registeransvarlig« som omhandlet i artikel 2, litra d).

2) Artikel 4, stk. 1, litra a), i direktiv 95/46 skal fortolkes således, at en behandling af personoplysninger foretages som led i aktiviteter, der inden for en medlemsstats område udføres af en registeransvarligs virksomhed eller organ som omhandlet i bestemmelsen, når en søgemaskineudbyder etablerer en filial eller et datterselskab i en medlemsstat, der skal sørge for reklame og salg af reklameplads i søgemaskinen, og hvis aktivitet er rettet mod indbyggerne i denne medlemsstat.

3) Artikel 12, litra b), og artikel 14, stk. 1, litra a), i direktiv 95/46 skal fortolkes således, at en søgemaskineudbyder med henblik på at overholde de rettigheder, der er fastsat i bestemmelserne, og for så vidt som de betingelser, der er fastsat i direktivet, faktisk er opfyldt, er forpligtet til fra den resultatliste, der vises efter en søgning på en persons navn, at fjerne link til websider, som er offentliggjort af tredjemand og indeholder oplysninger vedrørende denne person, også i det tilfælde, hvor dette navn eller disse oplysninger ikke forudgående eller samtidig slettes fra disse websider, og i givet fald selv når offentliggørelsen på disse sider i sig selv er lovlig.

4) Artikel 12, litra b), og artikel 14, stk. 1, litra a), i direktiv 95/46 skal fortolkes således, at det inden for rammerne af bedømmelsen af betingelserne for disse bestemmelsers anvendelse bl.a. skal undersøges, om den berørte person har ret til, at den pågældende oplysning vedrørende personen på nuværende tidspunkt ikke længere knyttes til personens navn på en resultatliste, der vises efter en søgning på dette navn, uden at det med henblik på konstateringen af, at en sådan ret findes, dog herved er et krav, at inklusionen af den pågældende oplysning på resultatlisten skader den berørte person. Da den berørte person, henset til den pågældendes grundlæggende rettigheder i medfør af artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, kan anmode om, at den pågældende oplysning ikke længere stilles til rådighed for den brede offentlighed ved sin inklusion på en sådan resultatliste, går disse rettigheder i princippet forud for ikke blot søgemaskineudbyderens økonomiske interesse, men også for offentlighedens interesse i at få adgang til nævnte oplysning ved en søgning på denne persons navn. Dette er imidlertid ikke tilfældet, såfremt det af særlige grunde, såsom den rolle, som nævnte person har i det offentlige liv, fremgår, at indgrebet i personens grundlæggende rettigheder er begrundet i offentlighedens vægtige interesse i at have adgang til den pågældende oplysning via inklusionen på resultatlisten.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i hovedsagen:

YS (sag C-141/12)

Minister voor Immigratie, Integratie en Asiel (sag C-372/12)

Sagsøgte i hovedsagen:

Minister voor Immigratie, Integratie en Asiel (sag C-141/12)

M og

S (sag C-372/12)

Faktum i hovedsagen:

En sagsbehandler ved afdelingen for indvandring og indfødsret, som skal behandle en ansøgning om opholdstilladelse, og som ikke har underskriftskompetence, udarbejder et udkast til afgørelse, som forelægges en af afdelingens seniorbehandlere til vurdering. Udkastet vedlægges et dokument, hvori sagsbehandleren for seniorbehandleren redegør for, på hvilket grundlag han er nået frem til udkastet til afgørelse (herefter »redegørelsen«). Når sagsbehandleren selv har underskriftskompetence, forelægges redegørelsen ikke en seniorbehandler, men anvendes som begrundelse i den beslutningsproces, der skal begrunde afgørelsen internt. Redegørelsen er en del af afdelingens forberedende proces, men den er ikke en del af den endelige afgørelse, selv om visse af de betragtninger, der fremgår af redegørelsen, kan være gentaget i afgørelsens begrundelse.

Redegørelsen indeholder generelt følgende oplysninger: navn, telefon- og kontornummer på den sagsbehandler, der skal forberede afgørelsen, rubrikker til seniorbehandlerens navn og parafering, oplysninger vedrørende ansøgeren såsom navn, fødselsdato, nationalitet, køn, etnisk tilhørsforhold, religion og sprog, oplysninger vedrørende sagens forløb, oplysninger vedrørende ansøgerens forklaringer og fremlagte dokumenter, de retsregler, der finder anvendelse, og endelig en bedømmelse af de nævnte oplysninger i lyset af de retsregler, der finder anvendelse. Denne bedømmelse benævnes »juridisk analyse«.

Den juridiske analyse kan have et meget forskelligt omfang fra sag til sag, idet den kan være fra nogle få sætninger til flere sider. I en udførlig juridisk analyse behandler den sagsbehandler, der skal forberede afgørelsen, f.eks. troværdigheden af de afgivne forklaringer, og der redegøres for, hvorfor en ansøger efter sagsbehandlerens vurdering er eller ikke er berettiget til en opholdstilladelse. En summarisk analyse kan være begrænset til blot at henvise til en bestemt forvaltningspraksis.

Frem til den 14. juli 2009 var det ministerens praksis efter anmodning at fremsende redegørelserne. Da ministeren imidlertid fandt, at det store antal anmodninger skabte en for stor arbejdsbyrde, at de registrerede ofte foretog en fejlfortolkning af de juridiske analyser i de redegørelser, de fik fremsendt, samt at disse redegørelser som følge af fremsendelsen i stadigt mindre omfang indeholdt meningsudvekslingen inden for afdelingen for indvandring og indfødsret, opgav ministeren denne praksis.

Siden da er anmodninger om fremsendelse af en redegørelse systematisk blevet afslået. I stedet for en kopi af redegørelsen modtager ansøgeren nu en oversigt over de personoplysninger, der er indeholdt i dokumentet, herunder information om, hvorfra disse oplysninger stammer, og i givet fald oplysninger om de organer, som oplysningerne er blevet videregivet til.

De præjudicielle spørgsmål:

Ved afgørelse af 30. april 2013 blev sagerne C-141/12 og C-372/12 forenet med henblik på den mundtlige forhandling og dommen

Sag C-141/12:

1) Er de oplysninger, der optages i [redegørelsen] om den pågældende person, og som vedrører denne, personoplysninger som omhandlet i artikel 2, litra a), i direktiv [95/46]?

2) Er den juridiske analyse, der optages i [redegørelsen], en personoplysning som omhandlet i den førnævnte bestemmelse?

3) Såfremt Domstolen bekræfter, at de ovennævnte oplysninger er personoplysninger, skal sagsbehandleren/myndigheden da også give indsigt i disse personoplysninger i henhold til artikel 12 i direktiv [95/46] og [chartrets] artikel 8, stk. 2 […]?

4) Kan den pågældende person i denne sammenhæng også direkte påberåbe sig chartrets artikel 41, stk. 2, litra b), og i bekræftende fald, skal det heri indeholdte udtryk »under iagttagelse af legitime fortrolighedshensyn [under beslutningsprocessen]« da fortolkes således, at [retten til] indsigt i redegørelsen kan afslås på dette grundlag?

5) Såfremt den pågældende person søger om indsigt i rapporten, skal sagsbehandleren/myndigheden da stille en kopi af dette dokument til rådighed for at opfylde kravet til aktindsigt?

 

Sag C-372/12:

1) Skal artikel 12, litra a), andet led, i [direktiv 95/46] fortolkes således, at der består en ret til at få kopi af dokumenter, hvori der behandles personoplysninger, eller er det tilstrækkeligt, at der meddeles en fuldstændig og letforståelig oversigt over de personoplysninger, der behandles i de pågældende dokumenter?

2) Skal ordene »ret til adgang« i [chartrets] artikel 8, stk. 2 […] fortolkes således, at der består en ret til at få kopi af dokumenter, hvori der behandles personoplysninger, eller er det tilstrækkeligt, at der meddeles en fuldstændig og letforståelig oversigt over de personoplysninger, der behandles i de pågældende dokumenter, jf. artikel 12, litra a), andet led, i [direktiv 95/46]?

3) Er [chartrets] artikel 41, stk. 2, litra b), […] også rettet til medlemsstaterne, for så vidt som bestemmelsen gennemfører EU-retten som omhandlet i [chartrets] artikel 51, stk. 1, […]?

4) Udgør den omstændighed, at de grunde, der har ført til at foreslå en given afgørelse, som følge af retten til indsigt i redegørelserne ikke længere gengives i disse, hvilket ikke gavner den interne uforstyrrede meningsudveksling inden for den pågældende myndighed og en korrekt beslutningsdannelse, et legitimt fortrolighedshensyn som omhandlet i [chartrets] artikel 41, stk. 2, litra b), […]?

5) Kan en juridisk analyse, således som den optages i [en redegørelse], betragtes som en »personoplysning« som omhandlet i artikel 2, litra a), i [direktiv 95/46]?

6) Omfatter beskyttelsen af andres rettigheder og frihedsrettigheder som omhandlet i artikel 13, stk. 1, litra g), i [direktiv 95/46] også hensynet til en intern uforstyrret meningsudveksling inden for den pågældende myndighed? Såfremt dette ikke er tilfældet, kan dette hensyn da falde under direktivets artikel 13, stk. 1, litra d) eller f)?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 12. december 2013. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

1) Faktiske oplysninger, der vedrører en identificeret eller identificerbar fysisk person, udgør »personoplysninger« som omhandlet i artikel 2, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Den begrundelse, der ligger til grund for afgørelsen af et retligt spørgsmål – som omfatter en juridisk klassificering af oplysninger, der vedrører en identificeret eller identificerbar person og vurderingen heraf på baggrund af den gældende ret – er dog ikke omfattet af dette direktivs definition af »personoplysninger«. Medlemsstaterne har derfor ikke i henhold til direktiv 95/46 pligt til at give aktindsigt i en sådan juridisk analyse, når den er indeholdt i et internt dokument, som også indeholder personoplysninger.

2) Ifølge artikel 12 i direktiv 95/46 skal en registreret gives aktindsigt i oplysninger, som er omfattet af direktivets definition af »personoplysninger«, medmindre en sådan aktindsigt er begrænset eller undtaget i henhold til direktivets artikel 13.

3) Direktiv 95/46 fastsætter ikke en ret til aktindsigt i et hvilket som helst eller alle dokumenter eller registreringer, hvori personoplysninger er optaget eller anvendt. Det fastsætter heller ikke den materielle form, hvori personoplysningerne skal meddeles. Ifølge direktivets artikel 12 har medlemsstaterne en betydelig skønsmargin til at træffe beslutning om, i hvilken form der skal gives aktindsigt i personoplysninger. I forbindelse med denne vurdering skal medlemsstaterne navnlig tage hensyn til i) den eller de materielle former, som de pågældende oplysninger foreligger i og kan meddeles til den registrerede, ii) typen af personoplysninger og iii) formålet med retten til aktindsigt.

4) Beskyttelsen af andres rettigheder og frihedsrettigheder i artikel 13, stk. 1, litra g), i direktiv 95/46 omfatter ikke de rettigheder og frihedsrettigheder, der tilkommer den myndighed, der behandler personoplysningerne. Der er heller ingen forbindelse mellem interessen i en intern uforstyrret meningsudveksling inden for den pågældende offentlige myndighed og de interesser, som er beskyttet ved direktivets artikel 13, stk. 1, litra d) eller f).

5) Artikel 41 i Den Europæiske Unions charter om grundlæggende rettigheder fastsætter rettigheder, der kan påberåbes over for Unionens institutioner, organer, kontorer og agenturer, og kan derfor ikke finde anvendelse på personoplysninger og andre oplysninger, som indehaves af en medlemsstat.

Domsafsigelse:

EU-domstolen har den 17. juli 2014 afsagt dom i sagen, hvoraf følgende fremgår:

1) Artikel 2, litra a), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at de oplysninger vedrørende en ansøger om opholdstilladelse, der er indeholdt i et administrativt dokument såsom den i hovedsagerne omhandlede »redegørelse«, hvori er angivet sagsbehandlerens begrundelse for det udkast til afgørelse, som sagsbehandleren skal udarbejde i forbindelse med proceduren til forberedelse af vedtagelsen af en afgørelse vedrørende ansøgningen om opholdstilladelse, og de oplysninger om den pågældende, der i givet fald er indeholdt i dette dokuments juridiske analyse, udgør »personoplysninger« som omhandlet i denne bestemmelse, idet den juridiske analyse derimod ikke i sig selv kan kvalificeres på samme måde.

2) Artikel 12, litra a), i direktiv 95/46 og artikel 8, stk. 2, i Den Europæiske Unions charter om grundlæggende rettigheder skal fortolkes således, at en ansøger om opholdstilladelse har ret til indsigt i alle de personoplysninger om den pågældende selv, som de nationale administrative myndigheder har gjort til genstand for behandling som omhandlet i direktivets artikel 2, litra b). Med henblik på at imødekomme denne ret er det tilstrækkeligt, at denne ansøger tilstilles en fuldstændig oversigt over disse oplysninger i en letforståelig form, dvs. en form, der gør det muligt for denne ansøger at opnå kendskab til nævnte oplysninger og at kontrollere, om de er korrekte og behandles i overensstemmelse med direktivet, således at ansøgeren i givet fald kan udøve de rettigheder, som den pågældende er tillagt i henhold til direktivet.

3) Artikel 41, stk. 2, litra b), i Den Europæiske Unions charter om grundlæggende rettigheder skal fortolkes således, at en ansøger om opholdstilladelse ikke kan påberåbe sig denne bestemmelse over for de nationale myndigheder.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

František Ryneš

Sagsøgte i hovedsagen:

Úřad pro ochranu osobních údajů,

Faktum i hovedsagen:

I perioden mellem den 5. oktober 2007 og den 11. april 2008 benyttede František Ryneš et kamera anbragt under tagskægget på hans familiebolig. Kameraet var anbragt i en fastlåst position, og det kunne ikke dreje. Det filmede indgangen til huset, den offentlige vej og indgangen til genboens hus. Systemet foretog udelukkende visuelle optagelser, som kontinuerligt blev opbevaret på en optagerenhed, dvs. en harddisk. Harddisken blev overspillet hver gang, der ikke var mere plads tilbage på optagerenheden. Optagerenheden var ikke udstyret med en skærm, og billedet kunne således ikke ses i realtid. Det var kun František Ryneš, som havde direkte adgang til systemet og dets oplysninger.

De præjudicielle spørgsmål:

  • Kan anvendelsen af et kamerasystem, som er installeret i en familiebolig med henblik på at beskytte boligens ejeres ejendom, sundhed og liv, kvalificeres som behandling af personoplysninger, »som foretages af en fysisk person med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter« som omhandlet i artikel 3, stk. 2, i direktiv 95/46[…], selv om et sådant system også overvåger et offentligt rum?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 10. juli 2014. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

  • Anvendelsen af et kamerasystem, som er installeret i en familiebolig med henblik på at beskytte dens ejeres ejendom, sundhed og liv, men som også overvåger et offentligt rum, kvalificeres ikke som behandling af personoplysninger, som foretages af en fysisk person med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter som omhandlet i artikel 3, stk. 2, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

Domsafsigelse:

EU-domstolen har den 11. december 2014 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 3, stk. 2, andet led, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at anvendelsen af et kamerasystem, der anvendes til at optage videoer af personer, der kontinuerligt bliver opbevaret på en optagerenhed, såsom en harddisk, hvilket system er blevet installeret af en fysisk person på den pågældendes familiebolig med henblik på at beskytte boligens ejeres ejendom, sundhed og liv, idet dette system også overvåger et offentligt rum, ikke udgør behandling af personoplysninger, som foretages med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter som omhandlet i denne bestemmelse.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i hovedsagen:

Weltimmo s.r.o

Sagsøgte i hovedsagen:

Nemzeti Adatvédelmi és Információszabadság Hatóság

Faktum i hovedsagen:

De af Kúria (Ungarns højesteret) forelagte præjudicielle spørgsmål udspringer af en sag anlagt af Magyar Adatvédelmi és Információszabadság Hatóság (herefter »den ungarske databeskyttelsesmyndighed«) mod en virksomhed, der administrerer en »webside« med formidling af fast ejendom, som er registreret i Slovakiet, og hvorpå der annonceres for ejendomme beliggende i Ungarn.

Dermed giver den foreliggende sag atter Domstolen lejlighed til at tage stilling til, hvilke retsregler der finder anvendelse på behandling af oplysninger i henhold til artikel 4, stk. 1, litra a), i direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (2), som tidligere er blevet fortolket i dommen i sagen Google Spain og Google (3). Endvidere rejses der i den foreliggende sag nye spørgsmål, dels med hensyn til, hvilken tilsynsmyndighed der har kompetence, og dels med hensyn til, hvilke nationale retsregler den pågældende myndighed skal anvende, samt hvilke beføjelser den råder over, navnlig hvad angår dens beføjelser til at pålægge sanktioner.

De præjudicielle spørgsmål:

  • Skal artikel 28, stk. 1, i Europa-Parlamentet og Rådets direktiv 95/46/EF 1 af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (herefter »databeskyttelsesdirektivet«) fortolkes således, at en medlemsstats nationale bestemmelser inden for medlemsstatens område kan finde anvendelse på en ansvarlig for behandling af oplysninger, som udelukkende er etableret i en anden medlemsstat, og som driver en webside med formidling af fast ejendom, hvor der bl.a. annonceres for ejendomme beliggende på den førstnævnte medlemsstats område, når indehaverne af ejendommene har videregivet deres personlige oplysninger til et medie (server), hvor oplysningerne opbevares og bearbejdes, og som tilhører websidens administrator og er placeret i en anden medlemsstat?
  • Skal artikel 4, stk. 1, litra a), i databeskyttelsesdirektivet, sammenholdt med direktivets 18.-20. betragtning samt artikel 1, stk. 2, og artikel 28, stk. 1, fortolkes således, at Magyar Adatvédelmi és Információszabadság Hatóság (herefter »databeskyttelsesmyndigheden«) ikke kan anvende den ungarske databeskyttelseslov som national ret på en administrator af en webside med formidling af fast ejendom, som udelukkende er etableret i en anden medlemsstat, selv om der på websiden bl.a. annonceres for ungarske ejendomme, hvis indehavere – formentlig fra ungarsk område – har videregivet oplysninger om deres ejendomme til et medie (server), hvor oplysningerne opbevares og bearbejdes, og som tilhører websidens administrator og er placeret i en anden medlemsstat?
  • Har det betydning for fortolkningen, om den tjenesteydelse, der leveres af den databehandlingsansvarlige person, som administrerer websiden, er rettet mod en anden medlemsstats område?
  • Har det betydning for fortolkningen, om oplysningerne vedrørende de ejendomme, der befinder sig på den anden medlemsstats område, samt indehavernes personlige oplysninger faktisk er indsamlet på denne anden medlemsstats område?
  • Har det betydning for fortolkningen, om de personlige oplysninger i forbindelse med de pågældende ejendomme er personlige oplysninger om en anden medlemsstats borgere?
  • Har det betydning for fortolkningen, om indehaverne af den i Slovakiet etablerede virksomhed har bopæl i Ungarn?
  • Såfremt det ud fra besvarelsen af ovenstående spørgsmål viser sig, at den ungarske databeskyttelsesmyndighed kan behandle en sag, men ikke kan anvende national ret, idet den derimod skal anvende etableringsmedlemsstatens ret, skal databeskyttelsesdirektivets artikel 28, stk. 6, da fortolkes således, at den ungarske databeskyttelsesmyndighed alene kan udøve de beføjelser, der er fastsat i databeskyttelsesdirektivets artikel 28, stk. 3, i overensstemmelse med bestemmelserne i etableringsmedlemsstatens lovgivning, og at den derfor ikke har beføjelse til at pålægge en bøde?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 25. juni 2015. Generaladvokaten konkluderer i sin udtalelse følgende:

1) Artikel 4, stk. 1, litra a), i direktiv 95/46 er til hinder for, at den ungarske databeskyttelsesmyndighed kan anvende ungarsk ret på en registeransvarlig, som udelukkende er etableret i en anden medlemsstat. I denne henseende skal begrebet etablering fortolkes som eksistensen af en permanent struktur – uanset hvilken retlig form den måtte have – hvorigennem der faktisk udøves en aktivitet. En enkelt agent kan anses for at udgøre en permanent struktur, hvis han optræder med en tilstrækkelig grad af stabilitet og under tilstedeværelse af de menneskelige og tekniske midler, som er nødvendige for at kunne præstere de konkrete tjenesteydelser.

Andre faktorer, såsom det sted, hvor oplysningerne er blevet indsamlet, de berørte personers nationalitet, det sted, hvor indehaverne af den virksomhed, der er ansvarlig for databehandlingen, har deres bopæl, og det forhold, at den tjenesteydelse, der leveres af den registeransvarlige, er rettet mod en anden medlemsstats område, har ingen direkte eller afgørende betydning for fastlæggelsen af gældende ret, om end de dog kan udgøre et indicium for, om der faktisk udøves aktiviteter – med henblik på at fastlægge etableringsstedet – og navnlig i forbindelse med vurderingen af, om databehandlingen har fundet sted som led i pågældende virksomheds eller organs transaktioner.

2) Såfremt den forelæggende ret fastslår, at national ret ikke kan anvendes i henhold til kriteriet i artikel 4, stk. 1, litra a), i direktiv 95/46 skal direktivets artikel 28, stk. 6, fortolkes således, at kompetencen til at pålægge sanktioner for krænkelserne i forbindelse med behandlingen af oplysninger skal tillægges tilsynsmyndigheden i den medlemsstat, hvis ret er gældende, uanset hvilken lokal tilsynsmyndighed der kan udøve samtlige af de beføjelser, der er opregnet i artikel 28, stk. 3, på sit område i henhold til de nærmere regler i national ret.

Domsafsigelse:

EU-Domstolen har den 1. oktober 2015 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1) Artikel 4, stk. 1, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at den gør det muligt at anvende en anden medlemsstats lovgivning om beskyttelse af personoplysninger end den medlemsstats, hvor den registeransvarlige er registreret, for så vidt som denne via en permanent struktur på denne medlemsstats område udøver en, selv minimal, faktisk og reel aktivitet, som led i hvilken denne behandling foretages.

Med henblik på under omstændigheder som dem, der foreligger i hovedsagen, at afgøre, om dette er tilfældet, kan den forelæggende ret bl.a. tage hensyn til den omstændighed dels, at den registeransvarliges aktivitet, som led i hvilken behandlingen finder sted, består i administration af internetsider med ejendomsannoncer, der vedrører ejendomme på denne medlemsstats område, og som er udformet på denne medlemsstats sprog, hvorfor internetsiden hovedsagelig eller fuldt ud er rettet mod denne medlemsstat, dels, at den registeransvarlige råder over en repræsentant i den nævnte medlemsstat, som skal inddrive de krav, der er opstået som følge af denne aktivitet, og repræsentere den registeransvarlige i forbindelse med de administrative og retslige procedurer vedrørende behandlingen af de berørte oplysninger.

Derimod har det ingen relevans, hvilket statsborgerskab de personer har, der er berørt af denne behandling af personoplysninger.

2) I et tilfælde, hvor en medlemsstats tilsynsmyndighed, hvortil der er indbragt klager i henhold til artikel 28, stk. 4, i direktiv 95/46, konkluderer, at den ret, der finder anvendelse på behandlingen af de berørte personoplysninger, ikke er denne medlemsstats ret, men en anden medlemsstats ret, skal dette direktivs artikel 28, stk. 1, 3 og 6, fortolkes således, at denne tilsynsmyndighed alene kan udøve de beføjelser til at gribe effektivt ind, som er tillagt den i overensstemmelse med direktivets artikel 28, stk. 3, på den medlemsstats område, hvorunder den hører. Tilsynsmyndigheden kan derfor ikke på grundlag af denne medlemsstats ret pålægge en registeransvarlig, der behandler disse oplysninger, sanktioner, når denne ikke er etableret på medlemsstatens område, men skal i henhold til samme direktivs artikel 28, stk. 6, anmode tilsynsmyndigheden i den medlemsstat, hvis ret finder anvendelse, om at gribe ind.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i hovedsagen:

Maximillian Schrems

Sagsøgte i hovedsagen:

Data Protection Commissioner

Faktum i hovedsagen:

Maximillian Schrems, der er østrigsk statsborger med bopæl i Østrig, har været bruger af det sociale netværk Facebook (herefter »Facebook«) siden 2008.

Enhver, der har bopæl på Unionens område, og som ønsker at anvende Facebook, er i forbindelse med sin registrering forpligtet til at indgå en aftale med Facebook Ireland, som er et datterselskab til Facebook Inc., der selv har hjemsted i USA. Personoplysningerne vedrørende Facebook-brugere, som har bopæl på Unionens område, overføres helt eller delvist til servere, der tilhører Facebook Inc., og som befinder sig i USA, hvor de er genstand for en behandling.

Maximillian Schrems indgav den 25. juni 2013 en klage til Commissioner, hvori han i det væsentlige anmodede denne om at udøve sine vedtægtsmæssige beføjelser ved at forbyde Facebook Ireland at videregive hans personoplysninger til USA. Han gjorde heri gældende, at den gældende lovgivning og praksis i dette land ikke sikrede en tilstrækkelig beskyttelse af de personoplysninger, der opbevares på landets område, mod den overvågningsvirksomhed, som de offentlige myndigheder udøvede dér. Maximillian Schrems henviste i denne henseende til Edward Snowdens afsløringer om de amerikanske efterretningstjenesters aktiviteter og navnlig aktiviteterne i National Security Agency (herefter »NSA«).

Maximillian Schrems har anlagt sag ved High Court (øverste retsinstans) til prøvelse af den i hovedsagen omhandlede afgørelse. High Court har efter at have gennemgået de af hovedparterne fremlagte præmisser fastslået, at den elektroniske overvågning og opfangning af personoplysninger overført fra Unionen til USA tjener nødvendige og ufravigelige mål i offentlighedens interesse. High Court har imidlertid tilføjet, at Edward Snowdens afsløringer har vist, at NSA og andre forbundsmyndigheder »er gået for vidt i en betydelig grad«.

High Court har b.la. anført, at Maximillian Schrems i forbindelse med sit søgsmål i realiteten har rejst indsigelse mod lovligheden af den safe harbor-ordning, der er indført ved beslutning 2000/520, og som den i hovedsagen omhandlede afgørelse vedrører. Selv om Maximillian Schrems formelt således hverken har bestridt gyldigheden af direktiv 95/46 eller af beslutning 2000/520, er High Court derfor af den opfattelse, at spørgsmålet opstår, om Commissioner som følge af direktivets artikel 25, stk. 6, var bundet af den konstatering, som Kommissionen har foretaget i den nævnte beslutning, og hvorefter USA sikrer et tilstrækkeligt beskyttelsesniveau, eller om chartrets artikel 8 efter omstændighederne tillod Commissioner at se bort fra en sådan konstatering.

De præjudicielle spørgsmål:

1) Er en uafhængig person – der ved lov er tillagt opgaven med administration og håndhævelse af databeskyttelseslovgivningen – ved vurderingen af en klage, der er blevet indgivet til den pågældende, over, at personoplysninger overføres til et tredjeland (i dette tilfælde USA), hvis lovgivning og praksis det påstås ikke indeholder tilstrækkelig beskyttelse for datasubjektet, fuldstændig bundet af konklusionen i en fællesskabsundersøgelse, hvori der konkluderes det modsatte, og som er indeholdt i beslutning 2000/520, henset til chartrets artikel 7, […] 8 og […] 47, og dette trods bestemmelserne i artikel 25, stk. 6, i direktiv 95/46?

2) Eller alternativt kan og/eller skal den person, der varetager hvervet, foretage en egen undersøgelse af forholdet i lyset af den mellemliggende udvikling i de faktiske omstændigheder, der har fundet sted, siden Kommissionens beslutning blev offentliggjort?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 23. september 2015. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

  • Artikel 28 i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal, henset til artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, fortolkes således, at den omstændighed, at Europa-Kommissionen har vedtaget en beslutning på grundlag af artikel 25, stk. 6, i direktiv 95/46, ikke er til hinder for, at en national tilsynsmyndighed undersøger en klage, hvori det hævdes, at et tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau for så vidt angår de overførte personoplysninger, og i givet fald suspenderer den omtvistede overførsel heraf.
  • Kommissionens beslutning 2000/520/EF af 26. juli 2000 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium er ugyldig.

Domsafsigelse:

EU-domstolen har den 6. oktober 2015 afsagt dom i sagen, hvoraf følgende fremgår:

1) Artikel 25, stk. 6, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, som ændret ved Europa-Parlamentets og Rådets forordning (EF) nr. 1882/2003 af 29. september 2003, sammenholdt med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at en afgørelse vedtaget i henhold til denne bestemmelse, såsom Kommissionens beslutning 2000/520/EF af 26. juli 2000 i henhold til direktiv 95/46 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium, hvorved Europa-Kommissionen fastslår, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, ikke er til hinder for, at en medlemsstats tilsynsmyndighed som omhandlet i artikel 28 i direktivet, som ændret, behandler en persons anmodning om beskyttelse af vedkommendes rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger, der vedrører den pågældende, og som er blevet videregivet fra en medlemsstat til dette tredjeland, når denne person gør gældende, at den gældende lovgivning og praksis i tredjelandet ikke sikrer et tilstrækkeligt beskyttelsesniveau.

2) Beslutning 2000/520/EF er ugyldig.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Patrick Breyer

Sagsøgte i hovedsagen:

Bundesrepublik Deutschland

Faktum i hovedsagen:

Patrick Breyer foretog søgninger på flere tyske forbundsinstitutioners internetsider. På disse sider, der er tilgængelige for offentligheden, stiller de nævnte institutioner aktuel information til rådighed.

Med henblik på at afværge angreb og gøre det muligt at forfølge »angriberne« strafferetligt foretages der for de fleste af disse internetsiders vedkommende registrering af alle søgninger i logfiler. Heri opbevares efter søgningen på de nævnte sider navnet på den side eller fil, der er blevet søgt på, udtryk, der er blevet indtastet i søgefelter, tidspunktet for søgningen, den overførte datamængde, meldingen om, hvorvidt søgningen lykkedes, og ip-adressen på den computer, hvorfra søgningen er blevet foretaget.

Patrick Breyer anlagde sag ved de tyske forvaltningsdomstole med påstand om, at det blev forbudt Forbundsrepublikken Tyskland – efter søgninger på offentligt tilgængelige sider tilhørende de tyske forbundsinstitutioners online-medier – at opbevare eller gennem tredjemand at opbevare ip-adressen på Patrick Breyers værtssystem, for så vidt som denne opbevaring ikke var nødvendig for i tilfælde af funktionssvigt at genetablere disse mediers formidling.

De præjudicielle spørgsmål:

1) Skal artikel 2, litra a), i [...] direktiv 95/46[...] fortolkes således, at en [ip-adresse], som en [udbyder af online-medietjenester] lagrer i forbindelse med en søgning på dennes websted, allerede udgør en personoplysning for [denne udbyders vedkommende], hvis en tredjemand (her: internetudbyder) råder over den yderligere viden, der kræves for at kunne identificere den [registrerede]?

2) Er [dette direktivs] [...] artikel 7, litra f), til hinder for en bestemmelse i national ret, hvorefter [udbyderen af online-medietjenester] kun må indsamle og anvende personoplysninger om en bruger uden samtykke fra denne, i det omfang dette er nødvendigt for at kunne afregne og give den pågældende bruger adgang til konkret at benytte [online-mediet], og hvorefter formålet om at sikre [online-mediets] generelle funktionsdygtighed ikke kan begrunde, at personoplysningerne anvendes, også efter at brugeren har afsluttet sin konkrete søgning på webstedet?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 12. maj 2016. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

1) I henhold til artikel 2, litra a), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger udgør en dynamisk ip-adresse, hvormed en bruger har besøgt et websted fra en udbyder af telekommunikationstjenester, en »personoplysning« for sidstnævnte, for så vidt som en internetudbyder råder over yderligere viden, som, sammenholdt med den dynamiske ip-adresse, gør det muligt at identificere brugeren.

2) Artikel 7, litra f), i direktiv 95/46 skal fortolkes således, at formålet med at sikre telekommunikationstjenestens generelle funktionsdygtighed i princippet kan betragtes som en legitim interesse, hvis opfyldelse begrunder, at disse personoplysninger anvendes, hvilket er betinget af en vurdering af, hvorvidt denne interesse har forrang for den berørte persons interesser eller grundlæggende rettigheder. En national bestemmelse, der ikke giver mulighed for at tage højde for denne legitime interesse, er ikke forenelig med nævnte artikel.

Domsafsigelse:

EU-domstolen har den 19. oktober 2016 afsagt dom i sagen, hvoraf følgende fremgår:

1) Artikel 2, litra a), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at en dynamisk internetprotokoladresse, som en udbyder af online-medietjenester registrerer i forbindelse med en søgning foretaget af en person på en internetside, som denne udbyder gør tilgængelig for offentligheden, i forhold til den nævnte udbyder udgør en personoplysning som omhandlet i denne bestemmelse, når udbyderen råder over lovlige hjælpemidler, der gør det muligt for denne at få identificeret den registrerede gennem den yderligere viden, som denne persons internetudbyder råder over.

2) Artikel 7, litra f), i direktiv 95/46 skal fortolkes således, at den er til hinder for en lovgivning i en medlemsstat, hvorefter en udbyder af online-medietjenester kun må indsamle og anvende personoplysninger om en bruger af disse tjenester uden samtykke fra denne, i det omfang denne indsamling og denne anvendelse er nødvendig for at give adgang til og afregne for den konkrete anvendelse af de nævnte tjenester foretaget af denne bruger, uden at formålet om at sikre de samme tjenesters generelle funktionsdygtighed kan begrunde anvendelsen af de nævnte oplysninger efter en søgning på disse tjenester.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde

Sagsøgte i hovedsagen:

Rīgas pašvaldības SIA »Rīgas satiksme«

Faktum i hovedsagen:

En taxachauffør standsede sit køretøj i vejkanten på en vej i Riga. Da en trolleybus fra Rīgas satiksme (herefter »appelindstævnte«) kørte forbi, åbnede en passager i taxaen pludselig døren. Der skete et sammenstød, og trolleybussen blev beskadiget. Rīgas satiksme anmodede politiet (herefter »appellanten«) om at oplyse passagerens identitet. Sagsøgeren ønskede at sagsøge passageren for den skade, trolleybussen var blevet påført, ved et civilt søgsmål. Politiet oplyste kun Rīgas satiksme passagerens navn. Politiet nægtede at oplyse ID-nummer og adresse.

Den forelæggende ret ønsker på denne baggrund oplyst, om artikel 7, litra f), i direktiv 95/46/EF (herefter »direktivet«) (2) indfører en pligt til at oplyse alle de personoplysninger, der er nødvendige for at anlægge et civilt søgsmål mod den person, som angiveligt er ansvarlig for en administrativ lovovertrædelse. Den ønsker endvidere oplyst, om svaret på det sidstnævnte er et andet, hvis personen er mindreårig.

De præjudicielle spørgsmål:

  • Skal formuleringen »behandlingen er nødvendig, for at [...] den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse« som omhandlet i artikel 7, litra f), i Europa-Parlamentet og Rådets direktiv 95/46/EF 1 af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger fortolkes således, at det nationale politi skal videregive de personoplysninger til Rīgas satiksme, som sidstnævnte har anmodet om, idet de er nødvendige for at kunne anlægge et civilt søgsmål? Berøres besvarelsen af dette spørgsmål af den omstændighed, således som det fremgår af sagsakterne, at den taxapassager, hvis personoplysninger forsøges indhentet af Rīgas satiksme, var mindreårig på ulykkestidspunktet?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 26. januar 2017. Generaladvokaten konkluderer i sin udtalelse følgende:

Artikel 7, litra f), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger kan ikke fortolkes således, at den medfører, at den registeransvarlige har pligt til at videregive de personoplysninger, som en tredjemand har anmodet om med henblik på at indlede et civilt søgsmål.

Direktivets artikel 7, litra f), er imidlertid ikke til hinder for en sådan videregivelse, forudsat at national ret giver mulighed for videregivelse af personoplysninger i situationer som den i hovedsagen omhandlede. Det forhold, at den registrerede var mindreårig på ulykkestidspunktet, er ikke afgørende i denne henseende

Domsafsigelse:

EU-Domstolen har den 4. maj 2017 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 7, litra f), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at denne bestemmelse ikke fastsætter en forpligtelse til at videregive personoplysninger til tredjemand for at gøre det muligt for denne at anlægge et søgsmål ved en civil domstol med påstand om erstatning for en skade, der er forvoldt af den person, som er omfattet af beskyttelsen af disse oplysninger. Dette direktivs artikel 7, litra f), er imidlertid ikke til hinder for en sådan videregivelse på grundlag af national ret.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Peter Puškár

Sagsøgte i hovedsagen:

Finančné riaditel’stvo Slovenskej republiky, Kriminálny úrad finančnej správy

Faktum i hovedsagen:

Anmodningen er indgivet inden for rammerne af en tvist mellem Peter Puškár, på den ene side, og Finančné riaditel’stvo Slovenskej republiky (Den slovakiske Republiks finansdirektorat, herefter »finansdirektoratet«) og Kriminálny úrad finančnej správy (kontoret for bekæmpelse af økonomisk kriminalitet, Slovakiet), på den anden side, vedrørende et søgsmål med påstand om at pålægge disse sidstnævnte at fjerne Peter Puškárs navn fra en liste over personer, der af finansdirektoratet anses for stråmænd, og som er oprettet af direktoratet i forbindelse med skatteopkrævning, og hvor ajourføringen varetages af finansdirektoratet, skattekontorerne, som hører under direktoratet, og kontoret for bekæmpelse af økonomisk kriminalitet (herefter »den omtvistede liste«).

De præjudicielle spørgsmål:

1) Er artikel 47, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder – hvorefter enhver, hvis rettigheder, og herunder også retten til privatlivets fred i forbindelse med behandling af personoplysninger, der er fastlagt i artikel 1, stk. 1, og efterfølgende bestemmelser i Europa-Parlamentets og Rådets direktiv 95/46/EF 1 af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, er blevet krænket, skal have adgang til effektive retsmidler for en domstol under overholdelse af de betingelser, der er fastsat i denne artikel – til hinder for en national bestemmelse, der betinger muligheden for adgang til effektive retsmidler for en domstol, såsom adgang til at iværksætte søgsmål ved en forvaltningsdomstol, af den omstændighed, at sagsøgeren med henblik på at beskytte sine interesser og friheder inden sagsanlæg skal have udtømt alle retsmidler ifølge bestemmelserne i en lex specialis, såsom den slovakiske lov om administrativ rekurs?

2) Kan retten til respekt for privatliv, familieliv, hjem og kommunikation, der er fastlagt i artikel 7, og retten til beskyttelse af personoplysninger, der er fastlagt i artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder, i tilfælde af angivelig tilsidesættelse af retten til beskyttelse af personoplysninger, der med hensyn til Den Europæiske Union hovedsageligt er gennemført ved nævnte direktiv 95/46/EF, og navnlig medfører:

- pligt for medlemsstaternes til at sikre retten til privatlivets fred i forbindelse med behandling af personoplysninger (artikel [1], stk. 1) samt

- beføjelse for medlemsstaterne til at fastlægge behandling af personoplysninger, når behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse (artikel 7, litra e)), eller for at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse,

- og endvidere henset til medlemsstatens særlige beføjelser [til at begrænse forpligtelser og rettigheder] (artikel 13, stk. 1, litra e) og f)), hvis en sådan begrænsning er en nødvendig foranstaltning af hensyn til væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender,

fortolkes således, at en medlemsstat uden den registreredes samtykke ikke må føre lister over personoplysninger med henblik på beskatning, dvs. at en offentlig myndigheds indsamling af personoplysninger med henblik på forhindring af skattesvig i sig selv udgør en risiko?

3) Kan en liste ført ved en medlemsstats finansmyndighed, som indeholder [sagsøgerens] personoplysninger, og hvis fortrolighed sikres ved de fornødne tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod ubeføjet udbredelse eller ikke-autoriseret adgang i henhold til artikel 17, stk. 1, i ovennævnte direktiv 95/46/EF, og som [sagsøgeren] har fremskaffet uden retmæssigt samtykke fra den nævnte finansmyndighed i medlemsstaten, opfattes som et ulovligt bevismiddel, hvis fremlæggelse skal afvises af de nationale retter i henhold til det EU-retlige princip om retten til en retfærdig rettergang, der er fastlagt i artikel 47, stk. 2, i Den Europæiske Unions charter om grundlæggende rettigheder?

4) Er en fremgangsmåde ved de nationale retter, hvorefter EU-Domstolens praksis gives forrang i medfør af princippet om loyalt samarbejde i artikel 4, stk. 3, i traktaten om Den Europæiske Union og artikel 267 i traktaten om Den Europæiske Unions funktionsmåde, såfremt der angående en bestemt sag foreligger praksis ved Menneskerettighedsdomstolen, der afviger fra EU-Domstolens praksis, forenelig med den omhandlede ret til adgang til effektive retsmidler og en retfærdig rettergang (i særdeleshed ovennævnte artikel 47 i Den Europæiske Unions charter om grundlæggende rettigheder)?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 30. marts 2017. Generaladvokaten konkluderer i sin udtalelse følgende:

1) Anvendelsen af personoplysninger er i forbindelse med opkrævning af skatter omfattet af Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger som ændret ved Europa-Parlamentets og Rådets forordning (EF) nr. 1882/2003 af 29. september 2003 og af artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, mens kun chartrets artikel 7 og 8 finder anvendelse på det strafferetlige område, når der tale om spørgsmål, der er reguleret ved EU-retten.

2) Retten til effektiv retsbeskyttelse i henhold til chartrets artikel 47 og effektivitetsprincippet er ikke til hinder for et krav om, at alle administrative retsmidler skal være udtømt, før der kan anlægges sag ved domstolene, såfremt reglerne for dette retsmiddel ikke i uforholdsmæssig grad skader effektiviteten af retsmidler for en domstol. Det obligatoriske administrative retsmiddel må derfor navnlig ikke forsinke den samlede retsmiddelprocedure uforholdsmæssigt eller forårsage uforholdsmæssigt store udgifter.

3) Skatteforvaltningen må i henhold til artikel 7, litra e), i direktiv 95/46 med henblik på sine opgaver føre en liste over personer, der proforma beklæder ledelsesposter i bestemte juridiske personer, og som ikke har givet deres samtykke til at blive opført på denne liste. Dette forudsætter, at skatteforvaltningens opgave er pålagt ved lov, at anvendelsen af listen faktisk er egnet og nødvendig af hensyn til skatteforvaltningens opgaver, og at der foreligger tilstrækkelige holdepunkter for mistanken om, at disse personer med rette står på denne liste. Heller ikke de grundlæggende rettigheder til respekt for privatliv, chartrets artikel 7, og beskyttelse af oplysninger, chartrets artikel 8, er i dette tilfælde til hinder for at udarbejde og anvende listen.

4) Det i chartrets artikel 47, stk. 2, forankrede princip om retten til retfærdig rettergang tillader principielt, at interne dokumenter fra en procesdeltagende myndighed, som en anden procesdeltager fremskaffer uden denne myndigheds samtykke, afvises som ulovlige bevismidler. De kan dog ikke afvises, hvis der er tale om en liste fra en medlemsstats finansmyndighed, som indeholder personoplysninger vedrørende sagsøgeren, som myndigheden skal underrette sagsøgeren om i henhold til artikel 12 og 13 i direktiv 95/46.

5) Såfremt en national ret når til den opfattelse, at afgørelsen af den for den verserende sag ville blive påvirket af en praksis fra Den Europæiske Unions Domstol, hvorefter rettigheder i henhold til chartret, som svarer til de ved EMRK garanterede rettigheder, ville få en mindre stærk beskyttelse end i henhold til praksis fra Den Europæiske Menneskerettighedsdomstol, kan den anmode Den Europæiske Unions Domstol om at afgøre, hvordan EU-retten skal fortolkes i forbindelse med den pågældende sag. Såfremt den nationale rets afgørelser ifølge de nationale retsregler ikke kan appelleres, har retten pligt til at indbringe sagen for Domstolen

Domsafsigelse:

EU-Domstolen har den 27. september 2017 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1) Artikel 47 i Den Europæiske Unions charter om grundlæggende rettigheder skal fortolkes således, at den ikke er til hinder for en national lovgivning, der gør gennemførelsen af et søgsmål af en person, der hævder, at hans ret til beskyttelse af personoplysninger, der er sikret ved Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, er blevet krænket, betinget af en forudgående udtømning af de tilgængelige administrative retsmidler, på betingelse af, at de konkrete nærmere bestemmelser for udøvelse af disse retsmidler ikke i uforholdsmæssig grad berører retten til effektive retsmidler for en domstol som omhandlet i denne bestemmelse. Det er bl.a. vigtigt, at den forudgående udtømning af de tilgængelige retsmidler ikke medfører en væsentlig forsinkelse for anlæggelse af et søgsmål, at den medfører en suspension af forældelsesfristen for de pågældende rettigheder, og at den ikke medfører uforholdsmæssige omkostninger.

2) Artikel 47 i Den Europæiske Unions charter om grundlæggende rettigheder skal fortolkes således, at den er til hinder for, at en national ret afviser en liste som den omtvistede liste, der fremlægges af den pågældende person, og som indeholder personoplysninger om denne, som bevismiddel for en tilsidesættelse af den beskyttelse af personoplysninger, der gives ved direktiv 95/46, i det tilfælde, hvor denne person har fremskaffet denne liste uden retmæssigt samtykke fra den for disse oplysninger registeransvarlige, medmindre en sådan afvisning er fastsat i national lovgivning, og medmindre den overholder både det væsentligste indhold af retten til effektivt søgsmål og proportionalitetsprincippet.

3) Artikel 7, litra e), i direktiv 95/46 skal fortolkes således, at den ikke er til hinder for en medlemsstats myndigheders behandling af personoplysninger med henblik på skatteopkrævning og bekæmpelse af skattesvig, såsom den behandling, der er foretaget ved udarbejdelsen af den omtvistede liste i hovedsagen, uden de registreredes samtykke, forudsat, dels, at disse myndigheder er blevet pålagt opgaver i samfundets interesse af den nationale lovgivning som omhandlet i denne bestemmelse, at udarbejdelsen af denne liste og opførelsen af de registreredes navne på denne liste faktisk er egnet og nødvendig med henblik på opfyldelsen af de forfulgte mål, og at der foreligger tilstrækkelige holdepunkter for at antage, at de registrerede med rette er opført på denne liste, dels, at alle de betingelser for en lovlig behandling af personoplysninger, som er fastsat ved direktiv 95/46, er opfyldt.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Wirtschaftsakademie Schleswig-Holstein GmbH

Sagsøgte i hovedsagen:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Faktum i hovedsagen:

Anmodningen blev indgivet i forbindelse med en tvist mellem Wirtschaftsakademie Schleswig-Holstein GmbH (herefter »Wirtschaftsakademie«), som er en privatretligt organiseret uddannelsesvirksomhed, og Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, den regionale databeskyttelsesmyndighed i Schleswig-Holstein (herefter »ULD«), om lovligheden af et databeskyttelsesretligt påbud fra sidstnævnte rettet til Wirtschaftsakademie om deaktivering af en »fanside« (Fanpage) på Facebook Ireland Ltd’s websted (herefter »Facebook Ireland«).

Påbuddet kommer efter den angivelige overtrædelse af de tyske bestemmelser til gennemførelse af direktiv 95/46, navnlig som følge af, at brugere af en fanside ikke underrettes om, at deres personoplysninger indsamles af det sociale netværk Facebook (herefter »Facebook«) ved hjælp af cookies, som installeres på deres harddisk med det formål at udarbejde statistikker om brugerne til fansidens administrator og gøre det muligt at udsende målrettede reklamer på Facebook.

Grundlaget for den foreliggende sag er fænomenet »webtracking«, som består i at observere og analysere internetbrugeres adfærd i kommercielt øjemed og med henblik på markedsføring. Denne webtracking gør det navnlig muligt at identificere internetbrugeres interesseområder på baggrund af observationer af deres adfærd på internettet. Her er der tale om adfærdsbaseret webtracking. Sidstnævnte foregår almindeligvis ved hjælp af cookies.

De præjudicielle spørgsmål:

  • Skal artikel 2, litra d), i direktiv 95/46/EF 1 fortolkes således, at den endeligt og udtømmende regulerer ansvaret for brud på datasikkerheden, eller bliver der inden for rammerne af »de fornødne foranstaltninger« i henhold til artikel 24 i direktiv 95/46/EF og [af beføjelser til at kunne] »gribe effektivt ind« i henhold til artikel 28, stk. 3, andet led, i direktiv 95/46/EF i flertrins informationsudbyderforhold plads til et ansvar for et organ, som ikke er ansvarligt for databehandling i den betydning, hvori udtrykket er anvendt i artikel 2, litra d), i direktiv 95/46/EF, ved valget af en registerfører til dets informationsudbud?
  • Kan det af medlemsstaternes forpligtelse i henhold til artikel 17, stk. 2, i direktiv 95/46/EF til at fastsætte i forbindelse med databehandling ved en registerfører, at »den registeransvarlige skal vælge en registerfører, som frembyder den fornødne garanti med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger, der skal træffes«, omvendt sluttes, at der ved andre udbyder/bruger-relationer, som ikke er forbundet med databehandling ved en registerfører som omhandlet i artikel 2, litra e), i direktiv 95/46/EF, ikke består nogen forpligtelse til at foretage et omhyggeligt valg, og at det heller ikke kan begrundes efter national ret?
  • Er en tilsynsmyndighed i en medlemsstat (her: Tyskland) i tilfælde, hvor en moderkoncern, som er hjemmehørende uden for Den Europæiske Union, driver juridisk selvstændige virksomheder (datterselskaber) i forskellige medlemsstater, kompetent i henhold til artikel 4, og artikel 28, stk. 6, i direktiv 95/46/EF til at udøve de beføjelser, der tillægges den i overensstemmelse med artikel 28, stk. 3, i direktiv 95/46/EF over for en virksomhed, der ligger på medlemsstatens eget område, også i det tilfælde, hvor denne virksomhed udelukkende har til opgave at promovere salg af reklame og øvrige marketingsforanstaltninger rettet mod indbyggerne i denne medlemsstat, mens den selvstændige virksomhed (det datterselskab), der ligger i en anden medlemsstat (her: Irland), ifølge koncernens interne opgavefordeling er eneansvarlig for indsamling og behandling af personoplysninger på hele EU’s område og dermed også i den anden medlemsstat (her: Tyskland), når afgørelsen om databehandling rent faktisk træffes af moderkoncernen?
  • Skal artikel 4, stk. 1, litra a), og artikel 28, stk. 3, i direktiv 95/46/EF fortolkes således, at i tilfælde, hvor den registeransvarlige er ejer af en virksomhed på én medlemsstats område (her: Irland), og der findes en yderligere juridisk selvstændig virksomhed på en anden medlemsstats område (her: Tyskland), som bl.a. har til opgave at sælge reklameplads og hvis aktivitet er rettet mod indbyggerne i denne stat, kan den kompetente tilsynsmyndighed i denne anden medlemsstat (her: Tyskland) også rette foranstaltninger og påbud til gennemførelse af reglerne om databeskyttelse mod den anden virksomhed, som ifølge den koncerninterne opgave- og ansvarsfordeling ikke er ansvarlig for databehandling (her: i Tyskland), eller kan der i så fald kun træffes foranstaltninger og gives påbud af tilsynsmyndigheden i den medlemsstat (her: Irland), på hvis område det koncerninterne ansvarlige organ har sit hjemsted?
  • Skal artikel 4, stk. 1, litra a), og artikel 28, stk. 3 og 6, i direktiv 95/46/EF fortolkes således, at i tilfælde, hvor tilsynsmyndigheden i en medlemsstat (her: Tyskland) i henhold til artikel 28, stk. 3, i direktiv 95/46/EF rejser krav mod en person eller et organ, som er aktiv(t) på denne stats område, på grund af manglende omhu ved valget af en tredjemand, som er involveret i databehandlingsprocessen (her: Facebook), fordi denne tredjemand overtræder reglerne om databeskyttelse, er den tilsynsmyndighed, der griber ind, (her: Tyskland) da bundet til den databeskyttelsesretlige vurdering hos tilsynsmyndigheden i den anden medlemsstat, hvor den for databehandlingen ansvarlige tredjemand har sin virksomhed (her: Irland), i den forstand, at den ikke må foretage en herfra afvigende retlig vurdering, eller kan den indgribende tilsynsmyndighed (her: Tyskland) foretage en selvstændig undersøgelse af lovligheden af den databehandling, som udføres af den tredjemand, der er etableret i en anden medlemsstat (her: Irland), som et indledende spørgsmål vedrørende dens egen indgriben?
  • For så vidt som den indgribende tilsynsmyndighed (her: Tyskland) kan foretage en selvstændig efterprøvelse: Skal artikel 28, stk. 6, andet punktum, i direktiv 95/46/EF fortolkes således, at denne tilsynsmyndighed først må udøve de beføjelser, som er tillagt den i henhold til artikel 28, stk. 3, i direktiv 95/46/EF, til at gribe effektivt ind over for en person eller et organ, der er etableret på denne stats område, på grund af medansvar for brud på datasikkerheden, som er begået af en i en anden medlemsstat etableret tredjemand, når og kun når den på forhånd har anmodet tilsynsmyndigheden i denne anden medlemsstat (her: Irland) om at måtte udøve sine beføjelser?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 24. oktober 2017. Generaladvokaten konkluderer i sin udtalelse følgende:

1) Artikel 2, litra d), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, som ændret ved Europa-Parlamentets og Rådets forordning (EF) nr. 1882/2003 af 29. september 2003, skal fortolkes således, at en administrator af en fanside på et socialt netværk som Facebook skal anses for at være registeransvarlig som omhandlet i denne bestemmelse for så vidt angår den fase i behandlingen af personoplysninger, der består i det sociale netværks indsamling af data om personer, der besøger siden, med henblik på udarbejdelse af statistikker om brugerne af denne side.

2) Artikel 4, stk. 1, litra a), i direktiv 95/46, som ændret ved forordning nr. 1882/2003, skal fortolkes således, at behandling af personoplysninger som den i hovedsagen omhandlede foretages som led i aktiviteter, der inden for en medlemsstats område udføres af en registeransvarligs virksomhed eller organ som omhandlet i denne bestemmelse, når en virksomhed, som driver et socialt netværk, i den pågældende medlemsstat stifter et datterselskab, som skal reklamere for og sælge reklameplads udbudt af denne virksomhed, og hvis aktiviteter er rettet mod indbyggerne i den pågældende medlemsstat.

3) I en situation som den i hovedsagen omhandlede, hvor den gældende nationale ret i forhold til den omhandlede behandling af personoplysninger er lovgivningen i den medlemsstat, hvor tilsynsmyndigheden er beliggende, skal artikel 28, stk. 1, 3 og 6, i direktiv 95/46, som ændret ved forordning nr. 1882/2003, fortolkes således, at denne tilsynsmyndighed må udøve samtlige effektive beføjelser til at gribe ind, som den råder over i overensstemmelse med dette direktivs artikel 28, stk. 3, over for den registeransvarlige, herunder når den registeransvarlige er etableret i en anden medlemsstat eller et tredjeland.

4) Artikel 28, stk. 1, 3 og 6, i direktiv 95/46, som ændret ved forordning nr. 1882/2003, skal fortolkes således, at tilsynsmyndigheden i den medlemsstat, hvor den registeransvarliges virksomhed eller organ er etableret, under omstændigheder som de i hovedsagen omhandlede har kompetence til at udøve sine beføjelser til selvstændigt at gribe ind over for denne ansvarlige, uden at skulle anmode tilsynsmyndigheden i den medlemsstat, hvor den registeransvarlige har hjemsted, om at udøve sine beføjelser.«

Domsafsigelse:

EU-Domstolen har den 5. juni 2018 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1) Artikel 2, litra d), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at begrebet »registeransvarlig« som omhandlet i denne bestemmelse omfatter administratoren af en fanside på et socialt netværk.

2) Artikel 4 og 28 i direktiv 95/46 skal fortolkes således, at i tilfælde, hvor et selskab, som er etableret uden for Den Europæiske Union, har flere virksomheder eller organer i forskellige medlemsstater, er tilsynsmyndigheden i en medlemsstat kompetent til at udøve de beføjelser, der tillægges den i overensstemmelse med direktivets artikel 28, stk. 3, over for en af dette selskabs virksomheder eller organer, der er beliggende på denne medlemsstats område, selv om denne virksomhed eller dette organ ifølge koncernens interne opgavefordeling udelukkende har til opgave at sælge annonceplads og varetage øvrige marketingforanstaltninger på denne medlemsstats område, og eneansvaret for indsamling og behandling af personoplysninger på hele EU’s område tilkommer en virksomhed eller et organ, som er beliggende i en anden medlemsstat.

3) Artikel 4, stk. 1, litra a), og artikel 28, stk. 3 og 6, i direktiv 95/46 skal fortolkes således, at når tilsynsmyndigheden i en medlemsstat vil udøve sine beføjelser i direktivets artikel 28, stk. 3, til at gribe ind over for et organ, som er beliggende på denne medlemsstats område, på grund af en tilsidesættelse af bestemmelserne om beskyttelse af personoplysninger begået af en registeransvarlig tredjemand, som er etableret i en anden medlemsstat, er denne tilsynsmyndighed kompetent til – uafhængigt af tilsynsmyndigheden i sidstnævnte medlemsstat – at prøve lovligheden af en sådan databehandling og kan udøve sine beføjelser til at gribe ind over for et organ, som er beliggende på dens område, uden på forhånd at have anmodet tilsynsmyndigheden i den anden medlemsstat om at gribe ind.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Peter Nowak

Sagsøgte i hovedsagen:

Data Protection Commissioner 

Faktum i hovedsagen:

Anmodningen præjudiciel afgørelse er blevet indgivet i forbindelse med en tvist mellem Peter Nowak og Data Protection Commissioner (den tilsynsførende for databeskyttelse, Irland) vedrørende sidstnævntes afslag på at give Peter Nowak aktindsigt i en rettet prøvebesvarelse, som han havde udfærdiget, med den begrundelse, at oplysningerne heri ikke udgjorde personoplysninger

De præjudicielle spørgsmål:

  • Kan oplysninger, der er nedskrevet/givet som svar af en deltager i forbindelse med en faglig prøve, være personoplysninger som omhandlet i direktiv 95/46/EF?
  • Hvis svaret på det første spørgsmål er, at alle eller nogle af sådanne oplysninger kan være personoplysninger som omhandlet i direktivet, hvilke faktorer er da relevante for at afgøre, om en sådan besvarelse i givet tilfælde er personoplysninger, og hvilken vægt bør sådanne faktorer tillægges?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 20. juli 2017. Generaladvokaten konkluderer i sin udtalelse følgende:

En håndskrevet prøvebesvarelse, som kan henføres til en prøvedeltager, er inklusive censorers eventuelle rettelser og kommentarer personoplysninger som omhandlet i artikel 2, litra a), i direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

Domsafsigelse:

EU-Domstolen har den 20. december 2017 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 2, litra a), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at under omstændigheder som de i hovedsagen foreliggende udgør en skriftlig besvarelse, som en deltager har givet i forbindelse med en faglig prøve, og eksaminators eventuelle rettelser og kommentarer til denne besvarelse personoplysninger i denne bestemmelses forstand.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Tietosuojavaltuutettu

Sagsøgte i hovedsagen:

Jehovan todistajat – uskonnollinen yhdyskunta

Faktum i hovedsagen:

Den 17. september 2013 vedtog databeskyttelseskommissionen efter anmodning fra den tilsynsførende myndighed for databeskyttelse en afgørelse, hvorved trossamfundet Jehovas Vidner fik forbud mod at indsamle eller behandle personoplysninger i forbindelse med den forkyndelsesvirksomhed fra dør til dør, som trossamfundets medlemmer foretog, uden at de lovmæssige betingelser for behandlingen af disse oplysninger, som er foreskrevet i artikel 8 og 12 i lov nr. 523/1999, blev overholdt. Derudover pålagde databeskyttelseskommissionen på grundlag af denne lovs § 44, stk. 2, dette trossamfund at sørge for inden for en frist på seks måneder, at ingen personoplysninger blev indsamlet til brug af dette trossamfund, uden at disse betingelser blev overholdt.

Trossamfundet Jehovas Vidner anlagde sag til prøvelse af denne afgørelse ved Helsingin hallinto-oikeus (forvaltningsdomstolen i Helsinki, Finland). Den ret annullerede nævnte afgørelse ved dom af 18. december 2014 med den begrundelse bl.a., at trossamfundet Jehovas Vidner ikke var ansvarlig for behandlingen af personoplysninger som omhandlet i lov nr. 523/1999, og at trossamfundets virksomhed ikke udgjorde en ulovlig behandling af sådanne oplysninger.

Den tilsynsførende myndighed for databeskyttelse appellerede denne dom til Korkein hallinto-oikeus (den øverste forvaltningsdomstol, Finland).

De præjudicielle spørgsmål:

1) Skal undtagelserne fra anvendelsesområdet [for direktiv 95/46, der er foreskrevet i direktivets artikel 3, stk. 2, første og andet led], fortolkes således, at den indsamling og behandling af personoplysninger, som udføres af medlemmerne af et trossamfund i forbindelse med deres forkyndelsesvirksomhed fra dør til dør, ikke er omfattet af direktivets anvendelsesområde? Hvilken betydning har det for bedømmelsen af, om [direktiv 95/46] finder anvendelse, for det første at den forkyndelsesvirksomhed, som oplysningerne indsamles i forbindelse med, organiseres af trossamfundet og dets menigheder, og for det andet at det samtidig også drejer sig om den personlige religionsudøvelse for trossamfundets medlemmer?

2) Skal definitionen af begrebet »register« i […] artikel 2, litra c), [i direktiv 95/46] under hensyntagen til 26. og 27. betragtning til direktivet fortolkes således, at den samling af personoplysninger, som indsamles i forbindelse med den ovenfor beskrevne forkyndelsesvirksomhed fra dør til dør på en ikke-elektronisk måde (navn og adresse samt eventuelle andre oplysninger om og karakteriseringer af personen),

  a) ikke udgør et sådant register, fordi [den ikke indeholder] specifikke kartoteker eller fortegnelser eller lignende systemer, som anvendes til søgning, som omhandlet i lov nr. 523/1999], eller

  b) udgør et sådant register, fordi det blandt oplysningerne under hensyntagen til deres anvendelsesformål faktisk er muligt let og uden urimelige omkostninger at udtrække oplysninger, der er nødvendige for en senere anvendelse, sådan som dette er fastsat i [lov nr. 523/1999]?

3) Skal formuleringen i […] artikel 2, litra d), [i direktiv 95/46], »der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger«, fortolkes således, at et trossamfund, som organiserer en aktivitet, hvorunder der indsamles personoplysninger (bl.a. gennem inddelingen af forkyndernes aktionsområder, opfølgning på forkyndelsesvirksomheden, og idet der føres registre over personer, som ikke ønsker at få besøg af forkynderne), for så vidt angår denne aktivitet for medlemmerne kan anses for den registeransvarlige, selv om trossamfundet gør gældende, at kun enkelte forkyndere har adgang til de registrerede oplysninger?

4) Skal […] artikel 2, litra d), [i direktiv 95/46] fortolkes således, at trossamfundet kun kan klassificeres som den registeransvarlige, hvis det træffer andre specifikke foranstaltninger såsom instruktioner eller skriftlige anvisninger, hvormed det styrer indsamlingen af oplysninger, eller er det tilstrækkeligt, at trossamfundet spiller en faktisk rolle i styringen af medlemmernes aktiviteter?

Det er kun nødvendigt at besvare tredje og fjerde spørgsmål i tilfælde af, at [direktiv 95/46] finder anvendelse som følge af svarene på første og andet spørgsmål. Det er kun nødvendigt at besvare fjerde spørgsmål i tilfælde af, at det som følge af besvarelsen af tredje spørgsmål ikke kan udelukkes, at […] artikel 2, litra d), [i direktiv 95/46] finder anvendelse på et trossamfund.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 1. februar 2018. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

1) En forkyndelsesvirksomhed fra dør til dør, såsom den i hovedsagen omhandlede, er ikke omfattet af den undtagelse, der er fastsat i artikel 3, stk. 2, andet led, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

2) Artikel 3, stk. 1, i direktiv 95/46, sammenholdt med det nævnte direktivs artikel 2, litra c), skal fortolkes således, at den samlede mængde personlysninger, som et trossamfunds medlemmer indsamler i forbindelse med en virksomhed, såsom den i hovedsagen omhandlede, på en ikke-elektronisk måde, på grundlag af en bestemt geografisk fordeling og med det formål at forberede senere besøg hos de personer, som de har indledt en religiøs samtale med, kan udgøre et register. 

3) Artikel 2, litra d), i direktiv 95/46 skal fortolkes således, at et trossamfund, der organiserer forkyndelsesvirksomhed, i hvilken forbindelse der indsamles personoplysninger, kan klassificeres som den registeransvarlige, selv om dette trossamfund ikke selv har adgang til de personoplysninger, som dets medlemmer indsamler. Med henblik på fastlæggelsen af »den registeransvarlige« som omhandlet i direktiv 95/46 er det ikke et krav, at der foreligger skriftlige anvisninger, men det skal kunne fastslås, i givet fald på grundlag af en række indicier, at den registeransvarlige er i stand til at udøve en faktisk indflydelse på den aktivitet, der består af indsamling og behandling af personoplysninger, hvilket det tilkommer den forelæggende ret at efterprøve.

Domsafsigelse:

EU-domstolen har den 10. juli 2018 afsagt dom i sagen, hvoraf følgende fremgår:

1) Artikel 3, stk. 2, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, sammenholdt med artikel 10, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder skal fortolkes således, at et trossamfunds medlemmers indsamling af personoplysninger i forbindelse med forkyndelsesvirksomhed fra dør til dør og den efterfølgende behandling af disse personoplysninger hverken udgør behandling af personoplysninger, som foretages under udøvelsen af aktiviteter som omhandlet i direktivets artikel 3, stk. 2, første led, eller behandling af personoplysninger foretaget af fysiske personer ved udøvelsen af rent personlige eller familiemæssige aktiviteter som omhandlet i direktivets artikel 3, stk. 2, andet led.

2) Artikel 2, litra c), i direktiv 95/46 skal fortolkes således, at begrebet »register« som omhandlet i denne bestemmelse omfatter en samling af personoplysninger, der er indsamlet i forbindelse med forkyndelsesvirksomhed fra dør til dør, og som omfatter navne og adresser samt andre oplysninger vedrørende de besøgte personer, når disse oplysninger er struktureret i henhold til kriterier, der i praksis gør det muligt let at hente disse frem til senere brug. Det er ikke nødvendigt, for at en sådan samling kan være omfattet af dette begreb, at den omfatter kartotekskort, konkrete fortegnelser eller andre søgesystemer.

3) Artikel 2, litra d), i direktiv 95/46, sammenholdt med artikel 10, stk. 1, i chartret om grundlæggende rettigheder skal fortolkes således, at et trossamfund kan holdes ansvarligt, sammen med dets forkyndende medlemmer, for behandlingen af personoplysninger foretaget af sidstnævnte i forbindelse med forkyndelsesvirksomhed fra dør til dør, som organiseres, koordineres og tilskyndes af dette trossamfund, uden at det i denne forbindelse er påkrævet, at trossamfundet har adgang til disse oplysninger, eller at det har udstedt skriftlige retningslinjer eller anvisninger til dets medlemmer vedrørende denne behandling.

Link til sagen på EU-Domstolens hjemmeside

Den part, som anmoder om udtalelsen:

Europa-Parlamentet

Faktum i hovedsagen:

På grundlag af artikel 267 TEUF anmoder den forelæggende ret om en fortolkning af forordning nr. 2016/679 og direktiv 2003/98 for at kunne afgøre, om det er forbudt for medlemsstaterne i deres retsorden at fastsætte bestemmelser, hvorefter oplysninger om de point, som førere er pålagt for færdselsforseelser, er tilgængelige for offentligheden, således at de omhandlede personoplysninger kan behandles ved formidling og overførsel med henblik på videreanvendelse.

Subsidiært ønsker den forelæggende ret ligeledes oplysning om fortolkningen af princippet om EU-rettens forrang og retssikkerhedsprincippet med henblik på at præcisere anvendeligheden af den nationale bestemmelse i tvisten i hovedsagen og muligheden for at opretholde retsvirkningerne heraf, indtil den forelæggende rets endelige afgørelse om, at den er i overensstemmelse med forfatningen, bliver retskraftig.

Spørgsmål til Domstolen:

  • Er den påtænkte aftale forenelig med traktaternes bestemmelser (artikel 16 TEUF) og Den Europæiske Unions charter om grundlæggende rettigheder (artikel 7 og 8 samt artikel 52, stk. 1) for så vidt angår fysiske personers ret til beskyttelse af personoplysninger?
  • Udgør artikel 82, stk. 1, litra d), og artikel 87, stk. 2, litra a), TEUF et passende retsgrundlag for Rådets retsakt vedrørende indgåelsen af den påtænkte aftale, eller skal denne retsakt baseres på artikel 16 TEUF?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 8. september 2008. Generaladvokaten foreslog Domstolen at besvare den af Parlamentet forelagte anmodning om udtalelse således:

1) Rådets retsakt om indgåelse af den påtænkte aftale mellem Canada og Den Europæiske Union om overførsel og behandling af passagerlisteoplysninger (PNR), undertegnet den 25. juni 2014, skal vedtages på grundlag af artikel 16, stk. 2, første afsnit, TEUF og artikel 87, stk. 2, litra a), TEUF, sammenholdt med artikel 218, stk. 6, litra a), nr. v), TEUF.

2) Den påtænkte aftale er forenelig med artikel 16 TEUF og artikel 7 og 8 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, såfremt:

  • de kategorier af passagerlisteoplysninger (PNR), der er opregnet i bilaget til den påtænkte aftale, affattes klart og præcist, og såfremt følsomme oplysninger i den påtænkte aftales forstand udelukkes fra denne aftales anvendelsesområde
  • de overtrædelser, der er omfattet af den definition af grov, grænseoverskridende kriminalitet, som er fastsat i den påtænkte aftales artikel 3, stk. 3, opregnes udtømmende i denne aftale eller i et bilag til denne aftale
  • den påtænkte aftale tilstrækkelig klart og præcist identificerer den myndighed, der har ansvaret for at behandle passagerlisteoplysninger, således at beskyttelsen og sikkerheden vedrørende de nævnte oplysninger sikres
  • den påtænkte aftale udtrykkeligt præciserer de principper og regler, der finder anvendelse på både de på forhånd fastsatte scenarier og vurderingskriterier samt de databaser, som passagerlisteoplysningerne sammenholdes med, i forbindelse med den elektroniske behandling af disse oplysninger, således at det er muligt i vidt omfang, og uden at dette er udtryk for forskelsbehandling, at afgrænse antallet af »målpersoner« til de personer, der er genstand for en rimelig mistanke om, at de har deltaget i en terrorhandling eller i grov, grænseoverskridende kriminalitet
  • den påtænkte aftale angiver, at det kun er den kompetente canadiske myndigheds embedsmænd, der har bemyndigelse til at tilgå passagerlisteoplysninger, og fastsætter objektive kriterier, der gør det muligt præcist at angive antallet af embedsmænd
  • den påtænkte aftale indeholder en begrundet angivelse af de objektive grunde, der gør det nødvendigt at opbevare alle passagerlisteoplysninger i en maksimal periode på fem år
  • den påtænkte aftale, for det tilfælde, at den maksimale periode på fem år til opbevaring af passagerlisteoplysninger måtte anses for nødvendig, stiller krav om, at der foretages »anonymiseringer« ved hjælp af maskering af alle de passagerlisteoplysninger, som gør det muligt direkte at identificere en flypassager
  • den påtænkte aftale gør den kompetente canadiske myndigheds undersøgelse af, om de andre offentlige canadiske og tredjelands myndigheder yder et tilstrækkeligt beskyttelsesniveau, samt den eventuelle afgørelse om i en konkret sag at videregive passagerlisteoplysninger til de nævnte myndigheder, betinget af en forudgående kontrol ved en uafhængig myndighed eller retsinstans
  • en påtænkt overførsel af passagerlisteoplysninger vedrørende en statsborger i en af Den Europæiske Unions medlemsstater til en anden offentlig canadisk myndighed eller en offentlig myndighed i et tredjeland gøres til genstand for en forudgående meddelelse til de kompetente myndigheder i den pågældende medlemsstat og/eller Europa-Kommissionen, før overførslen faktisk gennemføres
  • den påtænkte aftale systematisk ved en klar og præcis regel sikrer en kontrol ved en uafhængig myndighed som omhandlet i chartrets artikel 8, stk. 3, af overholdelsen af respekten for privatlivets fred og beskyttelsen af personoplysninger for de passagerer, hvis PNR-oplysninger behandles, og
  • den påtænkte aftale klart fastsætter, at anmodninger om indsigt, om berigtigelse eller om tilknytning af bemærkninger, der fremsættes af passagerer, som ikke opholder sig på det canadiske område, kan indbringes enten direkte eller ved en administrativ klage til en uafhængig offentlig myndighed.

3) Den påtænkte aftale er ikke forenelig med artikel 7 og 8 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som:

  • den påtænkte aftales artikel 3, stk. 5, gør det muligt ud over, hvad der er strengt nødvendigt, at udvide muligheden for behandling af passagerlisteoplysninger uafhængigt af det formål, der fremgår af den nævnte aftales artikel 3, om forebyggelse og opdagelse af terrorhandlinger og handlinger, der har karakter af grov, grænseoverskridende kriminalitet
  • den påtænkte aftales artikel 8 fastsætter, at Canada kan foretage behandling, brug og opbevaring af passagerlisteoplysninger, der indeholder følsomme oplysninger
  • den påtænkte aftales artikel 12, stk. 3, ud over, hvad der er strengt nødvendigt, tillægger Canada retten til at fastsætte rimelige retlige krav og begrænsninger for videregivelse af oplysninger
  • den påtænkte aftales artikel 16, stk. 5, giver Canada ret til i en maksimal periode på fem år at opbevare de passagerlisteoplysninger, der er nødvendige med henblik på bl.a. en specifik foranstaltning, undersøgelse, efterforskning eller retssag, uden at der kræves en sammenhæng med det formål, der fremgår af den nævnte aftales artikel 3, om forebyggelse og opdagelse af terrorhandlinger og handlinger, der har karakter af grov, grænseoverskridende kriminalitet, og
  • den påtænkte aftales artikel 19 gør det muligt at overføre passagerlisteoplysninger til en offentlig myndighed i et tredjeland, uden at den kompetente canadiske myndighed under en uafhængig myndigheds kontrol på forhånd har sikret sig, at den modtagende offentlige myndighed i det pågældende tredjeland ikke selv efterfølgende kan videregive de nævnte oplysninger til en anden enhed eventuelt i et andet tredjeland.«

Domstolens udtalelse:

EU-Domstolen kom med din udtalelse den 26. juli 2017, hvoraf følgende b.la. fremgår:

1) Rådets afgørelse om indgåelse på Unionens vegne af aftalen mellem Canada og Den Europæiske Union om overførsel og behandling af passagerlisteoplysninger skal være støttet på både artikel 16, stk. 2, TEUF og artikel 87, stk. 2, litra a), TEUF.

2) Aftalen mellem Canada og Den Europæiske Union om overførsel og behandling af passagerlisteoplysninger er uforenelig med artikel 7, 8 og 21 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som den ikke udelukker overførslen af følsomme oplysninger fra Den Europæiske Union til Canada samt brugen og opbevaringen af disse oplysninger.

3) Aftalen mellem Canada og Den Europæiske Union om overførsel og behandling af passagerlisteoplysninger skal for at være forenelig med artikel 7 og 8 samt artikel 52, stk. 1, i chartret om grundlæggende rettigheder:

a) klart og præcist fastlægge de passagerlisteoplysninger, der skal overføres fra Den Europæiske Union til Canada

b) fastsætte, at de modeller og kriterier, der anvendes i forbindelse med den automatiserede behandling af passagerlisteoplysninger, vil være specifikke, pålidelige og ikke-diskriminerende; fastsætte, at de databaser, der vil blive anvendt, indskrænkes til dem, som Canada fører i forbindelse med bekæmpelsen af terrorisme og grov, grænseoverskridende kriminalitet

c) bortset fra i forbindelse med kontrol af de forud fastsatte modeller og kriterier, hvorpå den automatiserede behandling af passagerlisteoplysninger er baseret, undergive såvel den kompetente canadiske myndigheds brug af disse oplysninger under flypassagerernes ophold i Canada og efter deres udrejse fra dette land som enhver videregivelse af oplysningerne til andre myndigheder materielle og processuelle betingelser, som er støttet på objektive kriterier; gøre denne brug og denne videregivelse – undtagen i behørigt begrundede hastende tilfælde – betinget af en forudgående kontrol, der foretages af enten en domstol eller en uafhængig administrativ enhed, hvis afgørelse, hvorved brugen tillades, træffes på grundlag af en begrundet anmodning, som navnlig fremsættes af disse myndigheder inden for rammerne af procedurer med henblik på forebyggelse, opdagelse eller strafferetlig forfølgning

d) indskrænke opbevaringen af passagerlisteoplysninger efter flypassagerernes afgang til oplysningerne for de passagerer, med hensyn til hvilke der foreligger objektive forhold, som gør det muligt at antage, at de kan frembyde en risiko i forbindelse med bekæmpelsen af terrorisme og grov, grænseoverskridende kriminalitet

e) gøre den kompetente canadiske myndigheds videregivelse af passagerlisteoplysninger til offentlige myndigheder i et tredjeland betinget af, at der foreligger enten en aftale mellem Den Europæiske Union og dette tredjeland, der svarer til aftalen mellem Canada og Den Europæiske Union om overførsel og behandling af passagerlisteoplysninger, eller en afgørelse fra Europa-Kommissionen i henhold til artikel 25, stk. 6, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, som omfatter de myndigheder, hvortil passagerlisteoplysningerne tiltænkes overført

f) fastsætte en ret til individuel underretning af flypassagererne i tilfælde af, at passagerlisteoplysningerne vedrørende dem bliver brugt under deres ophold i Canada og efter deres afgang fra dette land, og i tilfælde af, den kompetente canadiske myndighed videregiver disse oplysninger til andre myndigheder eller til privatpersoner, og

g) sikre, at tilsynet med de regler, der er fastsat i aftalen mellem Canada og Den Europæiske Union om overførsel og behandling af passagerlisteoplysninger, og som vedrører beskyttelse af flypassagererne ved behandling af passagerlisteoplysninger vedrørende dem, føres af en uafhængig tilsynsmyndighed.

Link til sagen på EU-Domstolens hjemmeside