Afgjorte retssager ved EU-Domstolen

Sagsøger i hovedsagen:

Maximillan Schrems

Sagsøgte i hovedsagen:

Facebook Ireland Limited

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af High Court (Irland). Efter at EU-Domstolen i den første Schrems dom erklærede Safe Harbor-afgørelsen ugyldig, har Schrems indbragt spørgsmålet om gyldigheden af EU-Kommissionens afgørelse om standardkontraktbestemmelser for det irske datatilsyn og domstolene i Irland.

De præjudicielle spørgsmål:

• Er der tale om en krænkelse af en privatpersons rettigheder ved videregivelsen af oplysninger fra EU til et tredjeland i henhold til afgørelsen om standardkontraktbestemmelser?
• Ved afgørelsen af, om der er tale om en krænkelse af en privatpersons rettigheder ved videregivelsen af oplysninger til et tredjeland, hvor oplysninger kan undergå yderligere behandling af hensyn til den nationale sikkerhed, skal beskyttelsesniveauet i tredjelandet bedømmes ud fra Den Europæiske Unions Charter om grundlæggende rettigheder, TEU, TEUF, databeskyttelsesdirektivet, EMRK (eller andre EU-retlige bestemmelser) eller medlemsstaters nationale ret?
• Henset til EU-Domstolens vurdering af beskyttelsesniveauet i Safe Harbor, krænker det da privatpersoners rettigheder, hvis personoplysninger videregives fra EU til USA i henhold til afgørelsen om standardkontraktbestemmelser?
• Overholder beskyttelsesniveauet i USA kerneindholdet af en privatpersons ret til effektive retsmidler, der garanteres ved Chartrets artikel 47?
• Hvilket beskyttelsesniveau kræves der for personoplysninger, som videregives til et tredjeland i medfør af standardkontraktbestemmelser vedtaget i forbindelse med afgørelsen om standardkontraktbestemmelser?
• Hvilke forhold skal tages i betragtning ved bedømmelsen af, om beskyttelsesniveauet for oplysninger, der videregives til et tredjeland i henhold til afgørelsen om standardkontraktbestemmelser, opfylder kravene i direktivet og Chartret?
• Er det forhold, at afgørelsen om standardkontraktbestemmelser finder anvendelse mellem dataeksportøren og dataimportøren og ikke er bindende for et tredjelands nationale myndigheder, til hinder for, at bestemmelserne yder de tilstrækkelige garantier som forudsat i databeskyttelsesdirektivet?
• Hvis en dataimportør i et tredjeland er underlagt overvågningslovgivning, som efter databeskyttelsesmyndighedens opfattelse er i strid med bestemmelserne i bilaget til afgørelsen om standardkontraktbestemmelser, direktivets artikel 25 og 26 og/eller Chartret, skal databeskyttelsesmyndigheden da anvende sine håndhævelsesbeføjelser i henhold til direktivets artikel 28, stk. 3, til at suspendere datastrømme, eller er udøvelsen af disse beføjelser begrænset til undtagelsestilfælde, eller kan en databeskyttelsesmyndighed anvende sin skønsbeføjelse til at undlade at suspendere datastrømme?
• Med henblik på anvendelsen af databeskyttelsesdirektivets artikel 25, stk. 6, finder Privacy Shield så generel anvendelse, og binder databeskyttelsesmyndigheder og medlemsstaternes retsinstanser, således at USA sikrer et tilstrækkeligt beskyttelsesniveau gennem landets nationale ret eller de internationale forpligtelser, USA har påtaget sig?
• Overtræder afgørelsen om standardkontraktbestemmelser Chartrets artikel 7, 8 og/eller 47?

Udtalelse fra EU's generaladvokat

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 19. december 2019. Generaladvokaten konkluderer i sin udtalelse følgende:

"Analysis of the questions for a preliminary ruling has disclosed nothing to affect the validity of Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council, as amended by Commission Implementing Decision (EU) 2016/2297 of 16 December 2016".

Domsafsigelse

EU-domstolen har den 16. juli 2020 afsagt dom i sagen, hvoraf følgende fremgår:

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

VQ

Sagsøgte:

Land Hessen

Sagsøgernes påstand:

Efter at VQ havde indgivet et andragende til udvalget for andragender ved Land Hessens parlament, anmodede han på grundlag af artikel 15 i forordning 2016/679 dette udvalg om indsigt i personoplysninger, som vedrørte ham, og som udvalget havde registreret i forbindelse med behandlingen af hans andragende. Formanden for Land Hessens parlament besluttede at afslå denne anmodning med den begrundelse, at proceduren for andragender udgør en parlamentarisk opgave, og at det nævnte parlament ikke henhører under anvendelsesområdet for forordning 2016/679. VQ anlagde den 22. marts 2013 sag ved Verwaltungsgericht Wiesbaden (forvaltningsret i Wiesbaden, Tyskland) til prøvelse af denne afgørelse fra formanden for Land Hessens parlament om afslag på hans anmodning. Den tyske forvaltningsret ønskede bl.a. i sagen at få oplyst, om udvalget for andragender ved Land Hessens parlament kunne kvalificeres som en »offentlig myndighed« som omhandlet i artikel 4, nr. 7), i forordning 2016/679, og i det foreliggende tilfælde kan anses for at være »dataansvarlig« for VQ’s personoplysninger. I dette tilfælde vil sidstnævnte kunne påberåbe sig en ret til indsigt i henhold til den nævnte forordnings artikel 15.

Den tyske forvaltningsret, Verwaltungsgericht Wiesbaden, besluttede at udsætte sagen og forlægge Domstolen følgende præjudicielle spørgsmål: 

• Finder databeskyttelsesforordningens artikel 15 anvendelse på et udvalg under et parlament i en delstat i en medlemsstat, der er ansvarlig for behandlingen af [andragender] fra borgere, her udvalget for andragender ved Hessicher Landtag, og skal dette udvalg i så henseende behandles som en offentlig myndighed som omhandlet i forordningens artikel 4, nr. 7?
• Er den forelæggende ret en uafhængig og upartisk ret som omhandlet i artikel 267 TEUF, sammenholdt med chartrets artikel 47, stk. 2?

Domsafsigelse

EU-domstolen har den 9. juli 2020 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

•  Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at for så vidt som et udvalg for andragender ved parlamentet i en delstat i en medlemsstat alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, skal dette udvalg kvalificeres som »dataansvarlig« som omhandlet i denne bestemmelse, således at den behandling af personoplysninger, der foretages af et sådant udvalg, henhører under denne forordnings anvendelsesområde, navnlig denne forordnings artikel 15.

Link til sagen på EU-Domstolens hjemmeside.

Sagsøgere:

Verbraucherzentrale NRW eV

Sagsøgte:

Fashion ID GmbH & Co.KG

Sagsøgernes påstand:

Fashion ID er en onlinedetailhandler, der sælger modeartikler. Selskabet integrerede et plug-in på sin hjemmeside: Facebook's "synes godt om"-knap. Når en bruger havner på Fashion ID's hjemmeside, overføres denne brugers IP-adresse og browserstring som følge heraf til Facebook. Denne overførsel sker automatisk, når Fashion ID's hjemmeside er indlæst, uafhængigt af om brugeren har klikket på ”synes godt om”-knappen, og uanset om brugeren har en Facebook-konto.

Den tyske forbrugerbeskyttelsesorganisation, Verbraucherzentrale NRW e.V, anlagde sag mod Fashion ID med påstand om, at dette plug-in udgør et brud på reglerne i databeskyttelsesdirektivet.

Væsentligste argumenter:

• Giver databeskyttelsesdirektivet mulighed for, at national lovgivning indrømmer en forbrugerorganisation søgsmålsret til at indbringe en sag som den omhandlede?

• Er Fashion ID dataansvarlig for den databehandling, der finder sted, når behandlingen sker automatisk og uden Fashion ID's indflydelse?

• Er afvejningen af en ”legitim interesse”, jf. databeskyttelsesdirektivet art. 7, litra f, henvendt til interessen i at integrere eksternt indhold eller tredjemands interesse?

• Over for hvem skal samtykket erklæres?

• Gælder oplysningspligten også operatøren af en hjemmeside, som har integreret en tredjemans indhold og dermed etablerer årsagen til tredjemandens behandling af personoplysninger?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 19. december 2018 afgivet en udtagelelse i sagen, hvoraf følgende bl.a. fremgår:

• Databeskyttelsesdirektivet er ikke til hinder for en national bestemmelse, som giver almennyttige organisationer beføjelse til at anlægge sag med det formål at sikre forbrugernes interesser.

• En person, der har integreret en tredjepartsplug-in på sin hjemmeside, som forårsager indsamling og videresendelse af brugerens personoplysninger, skal anses som værende delt dataansvarlig sammen med tredjeparten.

• Imidlertid er Fashion ID's (fælles) ansvar begrænset til de operationer, hvor virksomheden effektivt er medbestemmende i forhold til hjælpemidlerne og formålet med behandlingen af personoplysningerne.

Domsafsigelse:

EU-domstolen har den 29. juli 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

• Direktiv 95/46 er ikke til hinder for en national lovgivning, der giver forbrugerbeskyttelsesorganisationer mulighed for at anlægge sag mod den person, der formodes at have begået en krænkelse.

• Operatøren for et websted (Fashion ID), som har integreret et socialt modul på deres websted, kan anses for at være den dataansvarlige. Dette ansvar begrænses imidlertid til den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilken eller hvilke denne operatør rent faktisk fastlægger til hvilket formål og på hvilken måde dette må finde sted, dvs. den i hovedsagen omhandlede indsamling og videregivelse ved transmission af personoplysninger.

• Det er nødvendigt at både operatøren og udbyderen af modulet, hver især forfølger en legitim interesse som omhandlet i databeskyttelsesdirektivets art. 7, litra f, for at disse operationer kan retfærdiggøres i forhold til dem.

• Samtykke skal indhentes af operatøren alene for den operation, der omfatter behandling af personoplysninger, for hvilke denne operatør fastlægger til hvilket formål og på hvilken måde dette må finde sted. I disse situationer påhviler oplysningspligten ligeledes operatøren.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

G.C., A.F., B.H., E.D. (fire franske statsborgere)

Sagsøgte:

Det franske datatilsyn (Commission nationale de l’informatique et des libertés (CNIL))

Sagsøgernes påstand:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Conseil d’État (øverste domstol i forvaltningsretlige sager) (Frankrig). De fire franske statsborgere har anlagt sag mod det franske datatilsyn, efter at tilsynsmyndigheden – ud fra en afvejning af hensynene til de fire franske statsborgere og hensynet til offentlighedens interesse – har afvist at give dem medhold i, at links på Google til artikler om dem skal slettes. De fire franske statsborgere mener, at retten til at blive glemt er en universel ret til at få link fjernet, hvorfor der ikke skal foretages en videre afvejning af offentlighedens interesse. Sagen drejer sig om en person, der har været talsmand for Scientology, en person der er idømt en længere fængselsstraf for sek-suel omgang med børn, en person der slap med et tiltalefrafald i en sag om ulovlig finansiering af et politisk parti og en politiker, som gerne vil have fjernet en satirisk video.

Væsentligste argumenter:

• Finder reglerne om behandling af følsomme personoplysninger, jf. databeskyttelses-direktivets artikel 8, stk. 1 og 5, anvendelse på søgemaskineudbydere?

• Hvis ja, skal bestemmelserne fortolkes således, at søgemaskineudbydere er forpligtet til konsekvent at efterkomme anmodninger om at fjerne links til websider, der behandler sådanne oplysninger?

• Kan en søgemaskineudbyder foretage en afvejning af artikel 8, stk. 2, hensyn?

• Kan en søgemaskineudbyder nægte sletning, jf. artikel 9?

• Hvis nej, hvilke specifikke krav i databeskyttelsesdirektivet skal en søgemaskineudbyder opfylde?

Uanset hvorledes de første spørgsmål skal besvares:

• Når den anmodende person godtgør, at disse oplysninger er blevet ufuldstændige eller ukorrekte, eller at de ikke længere er ajourførte, skal en søgemaskineudbyder efterkomme anmodningen om at fjerne det omhandlede link?

• Og mere specifikt, når den anmodende person godtgør, at oplysningerne vedrørende en afsluttet retslig procedure, der ikke længere afspejler vedkommendes reelle aktuelle situationen, har en søgemaskineudbyder pligt til at fjerne links til websider, der indeholder sådanne oplysninger?

• Er oplysninger om, at en person er blevet gjort til genstand for en undersøgelse, eller dømt i en retssag omfattet af direktivets artikel 8, stk. 5? Er en webside, når den indeholder oplysninger om domme og retslige procedurer, som vedrører en fysisk person, generelt omfattet af denne bestemmelsers anvendelsesområde?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 10. januar 2019 afgivet en udtalelse i sagen, hvoraf følgende bl.a. fremgår:

• Artikel 8, stk. 1 og 5 finder som udgangspunkt anvendelse på søgemaskineudbydere.

• I medfør af artikel 8, stk. 1 og 5, i direktivet har en søgemaskineudbyder pligt til konsekvent at efterkomme anmodninger om fjernelse af links til websider, der behandler følsomme oplysninger som omhandlet i denne bestemmelse, med forbehold af de i direktivet fastsatte undtagelser, f.eks. de undtagelser, der er omfattet af dette direktivets artikel 8, stk. 2, litra a og e.

• Hvis oplysningerne er omfattet af direktivets artikel 9, bliver søgemaskineudbyderen nødt til at foretage en afvejning mellem på den ene side retten til respekt for privatlivet og retten til databeskyttelse og på den anden side offentlighedens ret til at få adgang til de pågældende oplysninger samt retten til ytringsfrihed for afsenderen af oplysningerne.

Domsafsigelse:

EU-domstolen har den 24. september 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1. Bestemmelserne i artikel 8, stk. 1 og 5, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at det forbud eller de restriktioner for behandling af særlige kategorier af personoplysninger, der er omfattet af disse bestemmelser, ligeledes finder anvendelse med forbehold af de i dette direktiv fastsatte undtagelser på en søgemaskineudbyder inden for rammerne af dennes ansvar, kompetencer og muligheder som registeransvarlig for den behandling, der foretages ved denne søgemaskines aktivitet, i forbindelse med en efterprøvelse, som udbyderen foretager under de kompetente nationale myndigheders kontrol på grundlag af en anmodning fremsat af den registrerede.
2. Bestemmelserne i artikel 8, stk. 1 og 5, i direktiv 95/46 skal fortolkes således, at en søgemaskineudbyder i henhold til disse bestemmelser med forbehold af de i direktivet fastsatte undtagelser i princippet er forpligtet til at efterkomme anmodninger om fjernelse af links til websider, hvor der forekommer personoplysninger, som henhører under de særlige kategorier i disse bestemmelser.
   Artikel 8, stk. 2, litra e), i direktiv 95/46 skal fortolkes således, at en sådan udbyder i medfør af denne bestemmelse kan afvise at efterkomme en anmodning om fjernelse, hvis udbyderen konstaterer, at de pågældende links fører til indhold, som omfatter personoplysninger, der henhører under de særlige kategorier i artikel 8, stk. 1, men hvis behandling er omfattet af en af undtagelserne i artikel 8, stk. 2, litra e), forudsat at denne behandling opfylder alle de øvrige lovlighedsbetingelser, der er fastsat i dette direktiv, og medmindre den registrerede i medfør af nævnte direktivs artikel 14, stk. 1, litra a), ikke har ret til at modsætte sig nævnte behandling af vægtige legitime grunde, der vedrører den pågældendes særlige situation.
   Bestemmelserne i direktiv 95/46 skal fortolkes således, at søgemaskineudbyderen, når denne forelægges en anmodning om fjernelse af et link til en webside, hvor personoplysninger, som henhører under de særlige kategorier i direktivets artikel 8, stk. 1 eller 5, offentliggøres, på grundlag af alle relevante forhold i den pågældende sag og under hensyntagen til, hvor alvorligt indgrebet er i den registreredes grundlæggende rettigheder til privatlivets fred og beskyttelsen af personoplysninger som knæsat i artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, ud fra de vigtige samfundsmæssige interesser i direktivets artikel 8, stk. 4, og under overholdelse af de heri fastsatte betingelser, skal prøve, om medtagelsen af dette link på resultatlisten, som vises efter en søgning på den registreredes navn, er strengt nødvendig for at beskytte den i chartrets artikel 11 knæsatte informationsfrihed for de internetbrugere, som potentielt kunne være interesserede i at få adgang til denne webside ved en sådan søgning.
3. Bestemmelserne i direktiv 95/46 skal fortolkes således
   • at oplysninger om retslige procedurer, som en fysisk person har været genstand for, og i givet fald oplysninger om den domfældelse, der fulgte heraf, for det første udgør oplysninger vedrørende »lovovertrædelser« og »straffedomme« som omhandlet i direktivets artikel 8,    stk. 5, og
   • at søgemaskineudbyderen for det andet er forpligtet til at efterkomme en anmodning om fjernelse af links til websider, hvor sådanne oplysninger forekommer, når disse oplysninger vedrører et tidligere trin i den pågældende retslige procedure og – henset til denne procedures forløb – ikke længere afspejler den aktuelle situation, for så vidt som det i forbindelse med prøvelsen af de vigtige samfundsmæssige interesser i direktivets artikel 8, stk. 4, konstateres, at den registreredes grundlæggende rettigheder, der er sikret ved artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, henset til samtlige omstændigheder i det konkrete tilfælde, går forud for de potentielt interesserede internetbrugeres grundlæggende rettigheder, som er beskyttet i chartrets artikel 11

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Google Inc

Sagsøgte i hovedsagen:

Det franske datatilsyn (Commission nationale de l’informatique et des libertés (CNIL))

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Conseil d’État (øverste domstol i forvaltningsretlige sager) (Frankrig). EU-Domstolen fastslog i Google Spain-afgørelsen fra maj 2014 en ”ret til at blive glemt”, idet en person på visse betingelser har ret til at få søgemaskineudbyderen til at fjerne links. I den foreliggende sag anmodes EU-Domstolen om at præcisere den territoriale rækkevidde af fjernelse af links og fastslå, om forpligtelsen til at slette links kræver en fjernelse på nationalt, europæisk eller globalt plan

De præjudicielle spørgsmål:

• Skal ”retten til at blive glemt” som beskrevet i Google Spain afgørelsen, fortolkes således at links skal fjernes fra alle søgemaskiners domæner, også uden for det territoriale anvendelsesområde af direktivet, eller skal der i stedet anvendes geoblokering, eller er det kun fra søgeresultaterne i det land, hvor klageren bor, resultaterne skal fjernes, alternativt fra alle søgeresultaterne i søgemaskinens EU-domæner?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 10. januar 2019 afgivet en udtalelse i sagen, hvoraf følgende bl.a. fremgår:

• Der kan ikke af direktivet udledes krav om den territoriale rækkevidde af retten til at blive glemt. Søgemaskineudbydere har derfor ikke, når denne efterkommer en anmodning om at få fjernet links, pligt til at foretage fjernelse af links på globalt plan.

• Generaladvokaten understreger dog samtidig, at når der først er truffet en afgørelse om sletning i EU, så skal søgemaskineudbyderen sikre komplet og effektiv sletning inden for EU, herunder ved hjælp af geoblokering af IP-adresser der ser ud til at komme fra EU uafhængigt af domænet søgningen kommer fra.

Domsafsigelse:

EU-domstolen har den 24. september 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 12, litra b), og artikel 14, stk. 1, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og artikel 17, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en søgemaskineudbyder, når denne efterkommer en anmodning om at få fjernet links i henhold til disse bestemmelser, er forpligtet til at foretage denne fjernelse på de udgaver af søgemaskinen, som svarer til alle medlemsstaterne, og dette om nødvendigt i kombination med foranstaltninger, som under overholdelse af alle retlige krav gør det muligt effektivt at forhindre eller i den mindste i høj grad at afholde de internetbrugere, der foretager en søgning på den registreredes navn fra en af medlemsstaterne, fra – ud fra de resultater, der vises efter denne søgning – at få adgang til de links, som er genstand for denne anmodning, men søgemaskineudbyderen er ikke forpligtet til at foretage denne fjernelse på alle udgaver af udbyderens søgemaskine.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Planet49 GmBH

Sagsøgte i hovedsagen:

Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.(Tyskland)

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Bundesgerichtshof (for-bundsdomstolen) (Tyskland). Sagen omhandler et onlinelotteri, som var organiseret af virksomheden Planet49. For at kunne deltage i lotteriet skulle brugeren sætte kryds i den første boks af to bokse på virksomhedens hjemmeside. Ved afkrydsningen gav brugeren samtykke og bekræftede sin deltagelse i lotteriet. Det fremgik også klart, at brugeren, med sit kryds, gav en række firmaer lov til at kontakte brugeren. Den anden boks var derimod allerede afkrydset på forhånd. Dette kryds gav tilladelse til, at virksomheden kunne installere cookies på brugerens browser. For at kunne deltage i lotteriet var det dog ikke et krav, at denne boks var krydset af.

De præjudicielle spørgsmål:

• Er der tale om et gyldigt samtykke, når lagringen af oplysninger eller adgang til oplysninger, som allerede er lagret på brugerens enhed, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke?

• Gør det en forskel om de oplysninger, der lagres eller hentes, er personoplysninger? 

• Foreligger der under de omstændigheder samtykke efter reglerne i databeskyttelses-forordningen?

• Hvilke oplysninger skal tjenesteudbyderen give brugeren i forbindelse med de klare og fyldestgørende oplysninger, der skal gives i henhold til e-databeskyttelsesdirektivet? Omfatter disse også cookiernes funktionsvarighed og spørgsmålet om, hvorvidt tredjemand får adgang til cookierne?

Retsmøde:

Der har den 9. juli 2019 været afholdt retsmøde i sagen, hvor bl.a. formanden fra Det Europæiske Databeskyttelsesråd på opfordring fra EU-Domstolen afgav et mundtligt indlæg i sagen.

Udtalelse fra EU's generaladvokat

EU’s generaladvokat har den 21. marts 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at der efter hans opfattelse ikke er tale om gyldigt samtykke (efter databeskyttelses-direktivet eller e-databeskyttelsesdirektivet), når lagringen af oplysninger eller adgangen til op-lysninger, der allerede er lagret på brugerens enhed, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke, og hvor samtykket ikke gives særskilt, men på samme tid som bekræftelsen på deltagelse i en konkurrence på internettet. Det gør ingen forskel, om de oplysninger, der lagres eller hentes, er personoplysninger.

Domsafsigelse:

EU-Domstolen har den 1. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1. Artikel 2, litra f), og artikel 5, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med artikel 2, litra h), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og med artikel 4, nr. 11), og artikel 6, stk. 1, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46 (generel forordning om databeskyttelse), skal fortolkes således, at det samtykke, der er omhandlet i disse bestemmelser, ikke er gyldigt afgivet, når lagring af oplysninger eller adgang til oplysninger, som allerede er lagret på brugeren af et internetwebsteds terminaludstyr, via cookies tillades ved hjælp af et forudafkrydset felt, som denne bruger skal vælge fra for at nægte at give sit samtykke.
2. Artikel 2, litra f), og artikel 5, stk. 3, i direktiv 2002/58, som ændret ved direktiv 2009/136, sammenholdt med artikel 2, litra h), i direktiv 95/46, og med artikel 4, nr. 11), samt artikel 6, stk. 1, litra a), i forordning 2016/679, skal ikke fortolkes forskelligt, alt efter om de lagrede eller konsulterede oplysninger i brugeren af et internetwebsteds terminaludstyr udgør personoplysninger som omhandlet i direktiv 95/46 og forordning 2016/679 eller ej.
3. Artikel 5, stk. 3, i direktiv 2002/58, som ændret ved direktiv 2009/136, skal fortolkes således, at de oplysninger, som tjenesteudbyderen skal give brugeren af et internetwebsted, omfatter oplysninger om cookiernes funktionsvarighed og oplysninger om, hvorvidt tredjemand har mulighed for at få adgang til disse cookies eller ej.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i de forende hovedsager:

Dr. Eva Glawischning-Piesczek

Sagsøgte i de forenede hovedsager:

Facebook Ireland Limited

Faktum i de forenede hovedsager:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Oberster Gerichtshof (Østrig) i en sag, hvor en østrigsk politiker ved navn Dr. Eva Glawischning-Piesczek i 2016 fandt et opslag med billede af hende på Facebook med diverse hadefulde kommentarer. Da Facebook ikke ville slette billedet, anlagde Dr. Eva Glawischning-Piescze en sag ved de østrigske domstole, som fandt, at Facebook var forpligtet til at slette billedet og identiske billeder i fremtiden. Det følger i den forbindelse af e-handelsdirektivet4 artikel 14, stk. 1, litra b, at ”host providers” (i dette tilfælde Facebook) skal tage skridt til at fjerne ulovlig information fra det øjeblik de får kendskab til ulovligheden. Ifølge direktivets artikel 15 har ”host providers” dog ingen generel overvågningsforpligtelse og kan ikke pålægges en sådan forpligtelse.

De præjudicielle spørgsmål:

• Er e-handelsdirektivets artikel 15 generelt til hinder for, at en ”host provider” ikke kun skal fjerne anmeldt ulovlig information, men også anden identisk information på et nationalt eller globalt plan?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 4. juni 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at e-handelsdirektivets artikel 15 efter hans opfattelse ikke er til hinder for, at en ”host provider”, som Facebook, bliver pålagt en pligt til at søge efter information, som er identisk med den anmeldte ulovlige information, og fjerne denne. Dette samme gælder for global sletning.

Domsafsigelse:

EU-Domstolen har den 3. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår

Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked (»Direktivet om elektronisk handel«), navnlig dets artikel 15, stk. 1, skal fortolkes således, at det ikke er til hinder for, at en ret i en medlemsstat kan:

• pålægge en hosting-udbyder at fjerne information, som den pågældende oplagrer, og som er identisk med information, der tidligere er erklæret ulovlig, eller at hindre adgangen til den, uanset hvem der anmoder om at få den oplagret

• pålægge en hosting-udbyder at fjerne information, som den pågældende oplagrer, og som har samme betydning som information, der tidligere er erklæret ulovlig, eller at hindre adgangen til den, forudsat at den overvågning og undersøgelse, som kræves ifølge dette påbud, er begrænset til information, der formidler et budskab, hvis indhold i det væsentlige er det samme som det, der førte til ulovlighedskonstateringen, og som indeholder de oplysninger, som er angivet i påbuddet, og forudsat at forskellen i formuleringen af det indhold, som anses for at have samme betydning som det indhold, der tidligere er erklæret ulovlig, ikke forpligter den pågældende hosting-udbyder til at foretage en selvstændig vurdering af nævnte indhold, og

• pålægge en hosting-udbyder at fjerne information, som er genstand for et påbud, eller hindre adgangen til den i hele verden inden for rammerne af den relevante folkeret.

Link til dommen på EU-Domstolens hjemmeside.

Sagsøgere i hovedsagen:

A, B og P (tre tyrkiske statsborgere)

Sagsøgte i hovedsagen:

Staatssecretaris van Justitie en Veiligheid (Holland)

Faktum i hovedsagen:

Sagen vedrører lovligheden af, at tyrkiske statsborgere i forbindelse med udstedelse af visum til indrejse i Holland blev mødt med krav om, at de skulle afgive digital ansigtsoptagelse og fingeraftryk. Formålet med at optage og opbevare de biometriske data er, at disse efterfølgende kan anvendes til at fastslå, registrere og efterprøve udlændinges identitet og således forhindre og bekæmpe identitets- og dokumentsvig. Sagsøgers påstand er, at dette krav er i strid med afgørelsen fra Associeringsrådet, der blev oprettet ved aftalen om oprettelse af en associering mellem Det Europæiske Økonomiske Fællesskab og Tyrkiet fra 1963 (Ankara-aftalen).

De præjudicielle spørgsmål:

• Er Ankara-aftalen til hinder for en national ordning om almindelig behandling og op-bevaring af biometriske data om tredjelandsstatsborgere, herunder tyrkiske statsborgere, når den nationale ordning ikke går videre end nødvendigt for at gennemføre det ifølge direktivet tilstræbte lovlige formål om at forhindre og bekæmpe identitets- og dokumentsvig?

• Har det nogen betydning, at varigheden af opbevaringen af de biometriske data er knyttet til varigheden af tredjelandsstatsborgeres lovlige og/eller ulovlige ophold?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 2. maj 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at Ankara-aftalen efter hans opfattelse skal fortolkes således, at den ikke er til hinder for en ordning, hvorefter det kræves, at ansigtsbillede og fingeraftryk fra tyrkiske arbejdstagere, lagres og behandles i et udlændingeregister, som værtsstatens myndigheder kan konsultere med henblik på forebyggelse og bekæmpelse af identitets- og dokumentsvig.

Domsafsigelse:

EU-Domstolen har den 3. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 13 i afgørelse nr. 1/80 af 19. september 1980 om udvikling af associeringen, vedtaget af associeringsrådet, der blev oprettet ved aftalen om oprettelse af en associering mellem Det Europæiske Økonomiske Fællesskab og Tyrkiet, som blev undertegnet den 12. september 1963 i Ankara dels af Republikken Tyrkiet, dels af EØF’s medlemsstater og Fællesskabet, og som blev indgået, godkendt og bekræftet på Fællesskabets vegne ved Rådets afgørelse 64/732/EØF af 23. december 1963, skal fortolkes således, at en national ordning som den i hovedsagen omhandlede, der gør udstedelse af en midlertidig opholdstilladelse til tredjelandsstatsborgere, herunder tyrkiske statsborgere, betinget af, at deres biometriske data optages, registreres og opbevares i et centralregister, udgør en »ny begrænsning« i den forstand, hvori dette begreb anvendes i denne bestemmelse. En sådan begrænsning er imidlertid begrundet i formålet om at forebygge og bekæmpe identitets- og dokumentsvig.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

TK

Sagsøgte:

Asociaţia de Proprietari bloc M5A Scara-A

Faktum i hovedsagen:

Byretten i Bukarest (Rumænien) har i en sag om videoovervågning af fællesarealer i en bolig-blok og gyldigheden af rumænsk lovgivning forelagt EU-Domstolen fire præjudicielle spørgs-mål. I den konkrete sag havde boligforeningen installeret et videoovervågningssystem i bolig-blokken. I den forbindelse gav bl.a. sagsøgeren samtykke til installation af videoovervågnings-systemet. Sagsøgeren trak efterfølgende sit samtykke til installation af overvågningssystemet tilbage. Sagsøgte nægtede dog at afinstallere videooptagelsessystemet.

De præjudicielle spørgsmål:

• Skal Den Europæiske Unions Charter om grundlæggende rettigheder artikel 8 og 52 i samt databeskyttelsesdirektivets artikel 7, litra f, fortolkes således, at de er til hinder for en national ordning som den i hovedsagen omhandlede, hvorefter videoovervågning uden den registreredes samtykke kan anvendes dels for at tilvejebringe sikkerhed for og beskyttelse af personer, genstande og værdier, dels for at forfølge legitime interesser?

• Skal Chartrets artikel 8 og 52 i fortolkes således, at den begrænsning i udøvelsen af rettigheder og friheder, som følger af videoovervågning, er i overensstemmelse med proportionalitetsprincippet, opfylder nødvendighedskravet og forfølger almene hensyn eller svarer til behovet for at beskytte andres rettigheder og friheder, såfremt operatøren kan træffe andre foranstaltninger for at beskytte den omhandlede legitime interesse?

• Skal databeskyttelsesdirektivets artikel 7, litra f, fortolkes således, at den dataansvar-liges ”legitime interesse” skal være dokumenteret, eksisterende og effektiv på tidspunktet for behandlingen?

• Skal databeskyttelsesdirektivets artikel 6, stk. l, litra e, fortolkes således, at en bestemt form for behandling (videoovervågning) er uforholdsmæssig eller uhensigtsmæssig, hvis operatøren kan træffe

Udtalelse fra EU's generaladvokat:

Domstolen har efter at have hørt generaladvokaten besluttet, at sagen skal pådømmes uden forslag til afgørelse

Domsafsigelse:

EU-Domstolen har den 11. december 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 6, stk. 1, litra c), og artikel 7, litra f), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, sammenholdt med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at de ikke er til hinder for nationale bestemmelser, som tillader indførelse af et videoovervågningssystem som det i hovedsagen omhandlede, der er installeret i fællesarealerne i en beboelsesejendom, for at forfølge legitime interesser bestående i at tilvejebringe sikkerhed for og beskyttelse af personer og ejendom, uden de registreredes samtykke, hvis behandlingen af personoplysninger ved hjælp af det pågældende videoovervågningssystem opfylder betingelserne i nævnte direktivs artikel 7, litra f), hvilket det påhviler den forelæggende ret at efterprøve.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

VQ.

Sagsøgte i hovedsagen:

Land Hessen.

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Verwaltungsgericht Wiesbaden (Tyskland) i en sag vedrørende omfanget af indsigtsretten efter databeskyttelsesforordningen.

De præjudicielle spørgsmål:

• Finder databeskyttelsesforordningens artikel 15, den registreredes indsigtsret, anvendelse på et udvalg under et parlament i en delstat i en medlemsstat, der er ansvarlig for behandlingen af henvendelser fra borgere, og skal dette udvalg i sådan henseende behandles som en offentlig myndighed som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7?
• Er den forelæggende ret en uafhængig og upartisk ret som omhandlet i artikel 267 TEUF sammenholdt med Den Europæiske Unions Charter om grundlæggende rettigheder artikel 47, stk. 2?

Udtalelse fra EU's generaladvokat:

Der foreligger ikke nogen udtalelse fra EU's generaladvokat.

Domsafsigelse:

EU-domstolen har den 9. juli 2020 afsagt dom i sagen, hvoraf følgende fremgår:

”Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at for så vidt som et udvalg for andragender ved parlamentet i en delstat i en medlemsstat alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, skal dette udvalg kvalificeres som »dataansvarlig« som omhandlet i denne bestemmelse, således at den behandling af personoplysninger, der foretages af et sådant udvalg, henhører under denne forordnings anvendelsesområde, navnlig denne forordnings artikel 15.”

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Privacy International

Sagsøgte i hovedsagen:

Secretary of State for Foreign and Commonwealth Affairs, Secretary of State for the Home Department, Government Communications Headquarters, Security Service Srl og Secret Intelligence Service (UK)

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Investigatory Powers Tribunal — London (UK). Sagsøgte mener, at massindsamling af data er afgørende for beskyttelsen af den national sikkerhed, herunder som led i bekæmpelse af terrorisme, kontraspionage og bekæmpelse af spredningen af atomvåben. Som følge af Tele2/Sverige og Watson afgørelsen er udbyderen af elektroniske kommunikationsnetværk ikke efterfølgende forpligtet til at lagre kommunikationsdata (efter det tidsrum, der stilles krav om i forbindelse med deres almindelige virksomhed), men de opbevares alene af de offentlige myndigheder (sikkerheds- og efterretningsagenturerne). Sagsøgte mener derved, at de overholder kravene i EMRK og Den Europæiske Unions Charter om grundlæggende rettigheder.

De præjudicielle spørgsmål:

• Er en myndigheds afgørelse, om at en udbyder af et elektronisk kommunikationsnetværk skal udlevere massekommunikationsdata til en medlemsstats sikkerheds- og efterretningsagenturer, omfattet af EU-retten og e-databeskyttelsesdirektivet?
• Hvis første spørgsmål besvares bekræftende: Finder Tele2/Sverige og Watson-kravene, eller eventuelle andre krav ud over kravene i EMRK, anvendelse på en sådan afgørelse? Hvis det er tilfældet, hvordan og i hvilket omfang finder de pågældende krav anvendelse, idet der tages højde for, at det er tvingende nødvendigt, at sikkerheds- og efterretningsagenturerne kan indsamle massekommunikationsdata og bruge automatiserede behandlingsteknikker for at beskytte den nationale sikkerhed, og for, i hvor høj grad denne mulighed, såfremt den i øvrigt er i overensstemmelse med EMRK, risikerer at blive begrænset i et kritisk omfang ved indførelsen af sådanne krav?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 15. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"Artikel 4 TEU og artikel 1, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) skal fortolkes således, at de er til hinder for en national lovgivning, der pålægger en udbyder af elektroniske kommunikationsnet en pligt til at udlevere "bulk-kommunikationsdata" til en medlemsstats sikkerheds- og efterrefatningsagenturer, som indebærer en forudgående generel og udifferentieret indsamling".

Subsidiært:

"En medlemsstats sikkerheds- og efterretningsagenturers adgang til de data, som udbydere af elektronisk kommunikationsnet overfører, skal opfylde de betingelser, der er fastsat i dom af 21. december 2016, Tele2 Sverige og Watson (C-203/15 og C-698/15, EU:C:2016:970)".

Domsafsigelse:

EU-domstolen har den 6. oktober 2020 afsagt dom i sagen, hvoraf følgende fremgår:

• "Having regard to the foregoing considerations, the answer to the first question is that Article 1(3), Article 3 and Article 15(1) of Directive 2002/58, read in the light of Article 4(2) TEU, must be interpreted as meaning that national legislation enabling a State authority to require providers of electronic communications services to forward traffic data and location data to the security and intelligence agencies for the purpose of safeguarding national security falls within the scope of that directive."
  
• "The answer to the second question is that Article 15(1) of Directive 2002/58, read in the light of Article 4(2) TEU and Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as precluding national legislation enabling a State authority to require providers of electronic communications services to carry out the general and indiscriminate transmission of traffic data and location data to the security and intelligence agencies for the purpose of safeguarding national security."

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i de forende hovedsager:

La Quadrature du Net, French Data Network.

Sagsøgte i de forenede hovedsager:

Den franske regering.

Faktum i de forenede hovedsager:

I EU-Domstolens dom af 21. december 2016 i de forenede sager, Tele2/Sverige og Watson, C-203/15 og C-698/15, blev det b.la. fastslået, at de nationale regler om logning var i strid med e-databeskyttelsesdirektivet sammenholdt med Den Europæiske Unions Charter om grund-læggende rettigheder, idet de medførte en generel og udifferentieret lagring af trafikdata og lokaliseringsdata. Siden Tele2/Sverige og Watson dommen har flere medlemsstater valgt ikke at ophæve deres nationale lovgivning vedrørende lagring af trafikdata og lokaliseringsdata, men i stedet forholdt sig afventende. På baggrund af dette skal den franske Conseil D'État nu foretage afgørelse i to sager, omhandlende gyldigheden af fransk lovgivning og fortolkningen af e-databeskyttelsesdirektivet. Conseil d'État i Frankrig har i den forbindelse forelagt EU-Domstolen fem præjudicielle spørgsmål – hvoraf to er enslydende – om bl.a. fortolkningen af e-databeskyttelsesdirektivet.

De præjudicielle spørgsmål:

• Skal en forpligtelse til generel og udifferentieret lagring, som pålægges udbyderne på grundlag af e-databeskyttelsesdirektivets artikel 15, stk. 1, i en situation, der er præget af alvorlige og vedvarende trusler mod den nationale sikkerhed og navnlig af risikoen for terror, anses for et berettiget indgreb i retten til den personlige sikkerhed, jf. EU Chartrets art. 6, og hensynet til den nationale sikkerhed, som medlemsstaterne er eneansvarlige for i medfør af artikel 4 i traktaten om Den Europæiske Union?
• Skal e-databeskyttelsesdirektivet sammenholdt med EU Chartret fortolkes således, at det tillader lovgivningsmæssige foranstaltninger, såsom foranstaltninger med henblik på indsamling af trafik- og lokaliseringsdata i realtid, hvilket påvirker rettigheder og forpligtelser for udbydere af en elektronisk kommunikationstjeneste, men dog ikke pålægger dem en specifik forpligtelse til lagring af deres data?
• Skal e-databeskyttelsesdirektivet sammenholdt med EU Chartret fortolkes således, at det gør retmæssigheden af procedurer til indsamling af data betinget af opfyldelsen af krav om underretning af de berørte personer, når en sådan underretning ikke længere kan skade de kompetente myndigheders efterforskning, eller kan sådanne procedurer kun anses for at være retmæssige når samtlige øvrige eksisterende proceduremæssige garantier finder anvendelse, idet disse sikrer, at adgangen til retsmidler er effektiv?
• Skal bestemmelserne i e-databeskyttelsesdirektivet sammenholdt med artikel 6, 7, 8, 11 og artikel 52, stk. 1, i EU Chartret fortolkes således, at de tillader en stat at indføre en national lovgivning, der pålægger personer, hvis virksomhed består i at tilbyde adgang til offentlige onlinekommunikationstjenester, og fysiske eller juridiske personer, der, selv vederlagsfrit, med henblik på tilrådighedsstillelse for offentligheden via offentlige onlinekommunikationstjenester varetager oplagring af signaler, skrift, billeder, lyd eller meddelelser af enhver art, der leveres af modtagere af disse tjenester, at lagre data, som vil kunne gøre det muligt at identificere enhver, der har bidraget til at skabe indholdet eller en del af indholdet af de tjenester, som de leverer, for at den retslige myndighed i påkommende tilfælde kan kræve videregivelse heraf med henblik på at sikre overholdelsen af reglerne om civil- eller strafferetligt ansvar?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 15. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om privatliv og elektronisk kommunikation), sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at:

1) Bestemmelsen er til hinder for en national lovgivning, som i en situation, der er præget af alvorlige og vedvarende trusler mod den nationale sikkerhed og navnlig af risikoen for terror, forpligter operatørerne og udbyderne af elektroniske kommunikationstjenester til at foretage en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter, samt af de data, der gør det muligt at identificere skaberne af det indhold, der leveres af udbyderne af disse tjenester.

2) Bestemmelsen er til hinder for en national lovgivning, som ikke fastsætter en pligt til at underrette de berørte personer om de kompetente myndigheders behandling af deres personoplysninger, medmindre en sådan underretning er til fare for de pågældende myndigheders efterforskning.

3) Bestemmelsen er ikke til hinder for en national lovgivning, hvorefter det er tilladt at indsamle specifikke personers trafik- og lokaliseringsdata i realtid, for så vidt som disse handlinger udføres i overensstemmelse med de fastsatte procedurer for adgang til lovligt lagrede personoplysninger og med samme garantier."

Domsafsigelse:

EU-domstolen har den 6. oktober 2020 afsagt dom i sagerne, hvoraf følgende fremgår:

Ad spørgsmål 1 i sag C-511/18 og C‑512/18 og spørgsmål 1 og 2 C‑520/18:

• Article 15(1) of Directive 2002/58, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as precluding legislative measures which, for the purposes laid down in Article 15(1), provide, as a preventive measure, for the general and indiscriminate retention of traffic and location data. By contrast, Article 15(1), read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, does not preclude legislative measures that:
  • allow, for the purposes of safeguarding national security, recourse to an instruction requiring providers of electronic communications services to retain, generally and indiscriminately, traffic and location data in situations where the Member State concerned is confronted with a serious threat to national security that is shown to be genuine and present or foreseeable, where the decision imposing such an instruction is subject to effective review, either by a court or by an independent administrative body whose decision is binding, the aim of that review being to verify that one of those situations exists and that the conditions and safeguards which must be laid down are observed, and where that instruction may be given only for a period that is limited in time to what is strictly necessary, but which may be extended if that threat persists;
  • provide, for the purposes of safeguarding national security, combating serious crime and preventing serious threats to public security, for the targeted retention of traffic and location data which is limited, on the basis of objective and non-discriminatory factors, according to the categories of persons concerned or using a geographical criterion, for a period that is limited in time to what is strictly necessary, but which may be extended;
  • provide, for the purposes of safeguarding national security, combating serious crime and preventing serious threats to public security, for the general and indiscriminate retention of IP addresses assigned to the source of an Internet connection for a period that is limited in time to what is strictly necessary;
  • provide, for the purposes of safeguarding national security, combating crime and safeguarding public security, for the general and indiscriminate retention of data relating to the civil identity of users of electronic communications systems;
  • allow, for the purposes of combating serious crime and, a fortiori, safeguarding national security, recourse to an instruction requiring providers of electronic communications services, by means of a decision of the competent authority that is subject to effective judicial review, to undertake, for a specified period of time, the expedited retention of traffic and location data in the possession of those service providers,
• Provided that those measures ensure, by means of clear and precise rules, that the retention of data at issue is subject to compliance with the applicable substantive and procedural conditions and that the persons concerned have effective safeguards against the risks of abuse.

Ad spørgsmål 2 og 3 i sag C‑511/18:

• Article 15(1) of Directive 2002/58, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as not precluding national rules which requires providers of electronic communications services to have recourse, first, to the automated analysis and real-time collection, inter alia, of traffic and location data and, second, to the real-time collection of technical data concerning the location of the terminal equipment used, where:
  • recourse to automated analysis is limited to situations in which a Member State is facing a serious threat to national security which is shown to be genuine and present or foreseeable, and where recourse to such analysis may be the subject of an effective review, either by a court or by an independent administrative body whose decision is binding, the aim of that review being to verify that a situation justifying that measure exists and that the conditions and safeguards that must be laid down are observed; and where
  • recourse to the real-time collection of traffic and location data is limited to persons in respect of whom there is a valid reason to suspect that they are involved in one way or another in terrorist activities and is subject to a prior review carried out either by a court or by an independent administrative body whose decision is binding in order to ensure that such real-time collection is authorised only within the limits of what is strictly necessary. In cases of duly justified urgency, the review must take place within a short time.

Ad spørgsmål 2 i sag C‑512/18:

• Directive 2000/31 must be interpreted as not being applicable in the field of the protection of the confidentiality of communications and of natural persons as regards the processing of personal data in the context of information society services, such protection being governed by Directive 2002/58 or by Regulation 2016/679, as appropriate. Article 23(1) of Regulation 2016/679, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as precluding national legislation which requires that providers of access to online public communication services and hosting service providers retain, generally and indiscriminately, inter alia, personal data relating to those services.

Link til C-511/18 og C-512/18 på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Orange România S.A.

Sagsøgte i hovedsagen:

Det rumænske datatilsyn (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal)

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Tribunalul București (Rumænien). Sagen omhandler fortolkning af databeskyttelsesdirektivets regler om samtykke.

De præjudicielle spørgsmål:

• Hvilke betingelser skal være opfyldt for, at en viljetilkendegivelse kan opfattes som en specifik og informeret viljetilkendegivelse som omhandlet i databeskyttelsesdirektivets artikel 2, litra h?
• Hvilke betingelser skal være opfyldt for, at en viljetilkendegivelse kan opfattes som en frivillig viljetilkendegivelse som omhandlet i direktivets artikel 2, litra h?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 4. marts 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

”En registreret, som har til hensigt at indgå et aftaleforhold om leveringen af telekommunikationstjenester med en virksomhed, giver ikke sit »samtykke«, dvs. tilkendegiver ikke en »specifik og informeret« samt »frivillig« vilje som omhandlet i artikel 2, litra h), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og i artikel 4, nr. 11), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) til denne virksomhed, når den registrerede med håndskrift, på hvad der ellers er en standardaftale, skal anføre, at denne nægter at samtykke til fotokopieringen og opbevaringen af sine ID-dokumenter.”

Domsafsigelse

EU-domstolen har d. 11 november truffet afgørelse i sagen. Domstolen valgte i sin afgørelse at fremsætte både sin fortolkning af databeskyttelsesdirektivets artikel 2. litra h) som de præjudicielle spørgsmål oprindeligt omhandlede, samt sin fortolkning af databeskyttelsesforordningens artikel 4, stk. 11 og artikel 6, stk. 1, litra a) omhandlede den nu gældende databeskyttelsesforordnings definitionen af det databeskyttelsesretlige samtykke. 

Af Domstolens afgørelse fremgår følgende:

Artikel 2, litra h), og artikel 7, litra a), i databeskyttelsesdirektivet samt artikel 4, nr. 11), og artikel 6, stk. 1, litra a), databeskyttelsesforordningen  skal fortolkes således, at det påhviler den dataansvarlige at påvise, at den registrerede ved en aktiv adfærd har tilkendegivet sit samtykke til behandling af sine personoplysninger, og at den registrerede forud herfor har modtaget oplysninger om alle omstændigheder i forbindelse med behandlingen i en letforståelig og lettilgængelig form og i et klart og enkelt sprog, som sætter vedkommende i stand til uden besvær at bestemme konsekvenserne af dette samtykke, således at det sikres, at samtykket gives med fuldt kendskab til følgerne.

En aftale om levering af telekommunikationstjenester, der indeholder et vilkår om, at den registrerede er blevet informeret om og har givet samtykke til indsamling og opbevaring af en genpart af vedkommendes identitetsbevis med henblik på identifikation af den pågældende, kan ikke bevise, at den registrerede har givet et gyldigt samtykke til denne indsamling og opbevaring som omhandlet i disse bestemmelser, hvis

• feltet vedrørende dette vilkår er blevet afkrydset af den dataansvarlige inden underskrivelsen af aftalen, eller
• aftalevilkårene kan vildlede den registrerede med hensyn til muligheden for at indgå den pågældende aftale, selv om vedkommende nægter at give samtykke til behandlingen af sine oplysninger, eller
• den dataansvarlige uretmæssigt påvirker det frie valg med hensyn til at modsætte sig denne indsamling og opbevaring ved at kræve, at den registrerede ved nægtelse af samtykke skal udfylde en supplerende formular om nægtelse.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

D.-H.T., som kurator for J & S Service UG (haftungsbeschränkt).

Sagsøgte i hovedsagen:

Land Nordrhein-Westfalen.

Faktum i hovedsagen:

Sagsøger er kurator. Han har anmodet om skattemæssige oplysninger vedrørende debitor, et kapitalselskab (Unternehmergesellschaft), fra det kompetente skattekontor med henblik på at kunne undersøge fremsatte krav om omstødelse ved insolvens.

Skattekontoret afslog imidlertid kurators anmodning, fremsat i henhold til Informationsfreiheitsgesetz (lov om informationsfrihed) i delstaten Nordrhein-Westfalen, om indsigt i oplysninger vedrørende trusler om tvangsfuldbyrdelsesforanstaltninger og om påbud om opfyldelse, modtagne betalinger og om tidspunktet, hvor det blev kendt, at debitor var insolvent, og endelig om udlevering af kontoudtog for alle forskellige typer af skattekonti i beskatningsperioden marts 2014 til juni 2015.

De præjudicielle spørgsmål:

• Tjener artikel 23, stk. 1, litra j), i forordning (EU) 2016/679 ligeledes til beskyttelsen af skattemyndighedernes interesser?

• Omfatter udtrykket »håndhævelse af civilretlige krav« i bekræftende fald også skattemyndighedernes forsvar mod civilretlige krav, og skal de pågældende krav i givet fald allerede være gjort gældende?

• Giver bestemmelsen i artikel 23, stk. 1, litra e), i forordning (EU) 2016/679 om beskyttelse af en medlemsstats væsentlige finansielle interesser, herunder skatteanliggender, mulighed for at begrænse indsigtsretten i henhold til artikel 15 i forordning (EU) 2016/679 med henblik på at afværge civilretlige krav om omstødelse ved insolvens mod skattemyndighederne?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 3. september 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

”Jeg foreslår, at Domstolen fastslår, at den savner kompetence til at besvare de præjudicielle spørgsmål fra Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland).”

Domsafsigelse:

EU-domstolen har den 10. december 2020 afsagt dom i sagen, hvoraf følgende fremgår:

Domstolen har ikke kompetence til at besvare de spørgsmål, der er forelagt af Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland) ved afgørelse af 4. juli 2019.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

H.K.

Sagsøgte:

Anklagemyndigheden i Estland

Faktum i hovedsagen:

H.K er estisk statsborger, som blev dømt efter estisk straffelov i en sag, hvor retten i første instans støttede domfældelsen, foruden andre beviser, på protokoller, der var blevet udfærdigt på grundlag af data, som var blevet udleveret af en telekommunikationsvirksomhed i forbindelse med efterforskningen.

De præjudicielle spørgsmål:

• Skal artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002, sammenholdt med artikel 7, 8, 11 og 52, stk. 1, i Den Europæiske Unions Charter om grundlæggende rettigheder fortolkes således, at statslige myndigheders adgang i en straffesag til data, som gør det muligt at fastslå udgangs- og destinationssted, dato, klokkeslæt og varighed, kommunikationstjenestens art, det anvendte terminaludstyr og stedet for anvendelsen af mobilt terminaludstyr for så vidt angår en sigtets telefon- eller mobiltelefonkommunikation, udgør et så alvorligt indgreb i de grundlæggende rettigheder, der er fastsat i de nævnte artikler i chartret, at denne adgang i forbindelse med forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager skal begrænses til bekæmpelse af grov kriminalitet, uanset hvilken periode de lagrede data, som de statslige myndigheder har adgang til, vedrører?

• Skal artikel 15, stk. 1, i direktiv 2002/58/EF med udgangspunkt i proportionalitetsprincippet, som kommer til udtryk i Den Europæiske Unions Domstols dom af 2. oktober 2018 (C-207/16, præmis 55-57), fortolkes således, at når mængden af de i det første spørgsmål nævnte data, som de statslige myndigheder har adgang til, ikke er stor (hverken med hensyn til dataenes art eller tidsmæssige udstrækning), kan det dertil knyttede indgreb i de grundlæggende rettigheder være begrundet i formålet forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager generelt, og at de strafbare handlinger, som skal bekæmpes med indgrebet, skal være så meget desto grovere, jo større den mængde data er, som de statslige myndigheder har adgang til?

• Betyder det i Domstolens dom af 21. december 2016 i de forenede sager C-203/15 og C-698/15, domskonklusionens punkt 2, nævnte krav om, at de kompetente statslige myndigheders adgang skal være underlagt en forudgående kontrol foretaget af en domstol eller af en uafhængig administrativ myndighed, at artikel 15, stk. 1, i direktiv 2002/58/EF skal [org. s. 2] fortolkes således, at anklagemyndigheden, som leder efterforskningen, og som i denne forbindelse ifølge loven er forpligtet til at handle uafhængigt og kun er bundet af loven og under efterforskningen opklarer såvel omstændigheder, der belaster den tiltalte, som omstændigheder, der er diskulperende for den pågældende, men senere i retssagen repræsenterer den offentlige anklage, kan anses for en uafhængig administrativ myndighed?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 21. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"1) Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at de kriterier, der giver mulighed for at bedømme alvoren af det indgreb i de grundlæggende rettigheder, som udgøres af de kompetente nationale myndigheders adgang til personoplysninger, som udbyderne af elektroniske kommunikationstjenester i henhold til en national lovgivning har pligt til at opbevare, omfatter de pågældende kategorier af data samt varigheden af den periode, for hvilken der er anmodet om denne adgang. Det tilkommer den forelæggende ret på grundlag af indgrebets alvor at vurdere, om den pågældende adgang var strengt nødvendig for at nå målet om at sikre forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager.

2) Artikel 15, stk. 1, i direktiv 2002/58, som ændret ved direktiv 2009/136, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i chartret om grundliggende rettigheder, skal fortolkes således, at kravet om, at de kompetente nationale myndigheders adgang til de lagrede data skal være underlagt en forudgående kontrol foretaget af en domstol eller af en uafhængig administrativ myndighed, ikke er opfyldt, når en national lovgivning bestemmer, at en sådan kontrol udføres af den offentlige anklager, der har til opgave at lede efterforskningen og samtidig kan udøve den offentlige påtalekompetence for retten."

Domsafsigelse

EU-domstolen har den 2. marts afsagt dom i sagen, hvoraf følgene fremgår:

Det første og det andet spørgsmål, som Domstolen behandlede samlet, besvares med, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, der giver offentlige myndigheder adgang til en samling af trafikdata eller lokaliseringsdata, som kan tilvejebringe oplysninger om den kommunikation, som en bruger har foretaget ved hjælp af et elektronisk kommunikationsmiddel, eller om placeringen af det terminaludstyr, som den pågældende gør brug af, og som kan gøre det muligt at drage præcise slutninger om den pågældendes privatliv, med henblik på at foretage forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager, uden at denne adgang er begrænset til de procedurer, der har til formål at bekæmpe grov kriminalitet eller at forebygge alvorlige trusler mod den offentlige sikkerhed, og uafhængigt af varigheden af den periode, for hvilken der er anmodet af adgang til de nævnte data, og mængden eller arten af de data, der er tilgængelige i en sådan periode.

Det tredje spørgsmål besvares med, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, der tillægger anklagemyndigheden, der har til opgave at lede den strafferetlige efterforskning og i givet fald at udøve den offentlige påtalekompetence i en senere retssag, beføjelse til at give en offentlig myndighed adgang til trafikdata og lokaliseringsdata i forbindelse med den strafferetlige efterforskning.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Ordre des barreaux francophones et germanophone, Académie Fiscale ASBL, UA, Liga voor Mensenrechten ASBL, Ligue des Droits de l’Homme ASBL, VZ, WY og XX.

Sagsøgte i hovedsagen:

Den belgiske regering.

Faktum i hovedsagen:

Samme problemstilling som i de forenede sager C-511/18 og C-512/18. Den belgiske forfatningsdomstol har forelagt EU-Domstolen tre præjudicielle spørgsmål ved-rørende de EU-retlige rammer for nationale bestemmelser, der forpligter teleudbydere mv. at lagre trafik- og lokaliseringsdata.

De præjudicielle spørgsmål:

• Skal e-databeskyttelsesdirektivets artikel 15, stk. 1, sammenholdt med Den Europæiske Unions Charter om grundlæggende rettigheder artikel 6, 7, 8 og artikel 52, stk. 1, fortolkes således, at bestemmelsen er til hinder for national lovgivning, der fastsætter en generel pligt for operatører og udbydere af elektroniske kommunikationstjenester til at lagre trafik- og lokaliseringsdata, der genereres og behandles af dem inden for rammerne af udbuddet af disse tjenester, som ikke kun har efterforskning, afsløring og retsforfølgning af grov kriminalitet som formål, men ligeledes sikring af den nationale sikkerhed, forsvar af territoriet, den offentlige sikkerhed, efterforskning, afsløring og retsforfølgning af andre grunde end grov kriminalitet eller forebyggelse af ulovlig brug af elektroniske kommunikationssystemer eller gennemførelse af et andet formål i henhold til artikel 23, stk. 1, i databeskyttelsesforordningen, og som endvidere er undergivet præcise garantier i denne lovgivning vedrørende lagring af data og adgangen dertil?
• Skal e-databeskyttelsesdirektivets artikel 15, stk. 1, sammenholdt med Chartrets artikel 4,7, 8, 11 og artikel 52, stk. 1, fortolkes således, at bestemmelsen er til hinder for en national lovgivning, der fastsætter en generel pligt for operatører og udbydere af elektroniske kommunikationstjenester til at lagre trafik- og lokaliseringsdata, der genereres og behandles af dem inden for rammerne af udbuddet af disse tjenester, såfremt denne lovgivning bl.a. har til formål at opfylde de positive forpligtelser, der påhviler myndigheden i henhold til Chartrets artikel 4 og 8, der består i at fastsætte en retlig ramme, der muliggør en effektiv strafferetlig efterforskning af og en effektiv retshåndhævelse over for seksuelt misbrug af mindreårige, og som rent faktisk gør det muligt at identificere gerningsmanden bag overtrædelsen, selv i tilfælde, hvor der gøres brug af elektroniske kommunikationsmidler?
• Såfremt den belgiske forfatningsdomstol på grundlag af besvarelserne af det første og det andet præjudicielle spørgsmål konkluderer, at den anfægtede lov er i strid med en eller flere af de forpligtelser, der følger af de i disse spørgsmål nævnte bestemmelser, kan forfatningsdomstolen da midlertidigt opretholde virkningerne af den national lov om indsamling og lagring af data i den elektroniske kommunikationssektor med henblik på at undgå retsusikkerhed og muliggøre, at data, der forinden er blevet indsamlet og lagret, stadig kan anvendes til de formål, der er omhandlet i loven?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 15. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"1) Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at:

– Den er til hinder for en national lovgivning, som pålægger operatører og udbydere af elektroniske kommunikationstjenester en pligt til generelt og udifferentieret at lagre trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og brugere i forbindelse med samtlige midler til elektronisk kommunikation.

– Ovenstående berøres ikke af den omstændighed, at denne nationale lovgivning ikke blot har efterforskning, afsløring og retsforfølgning af grov eller ikke grov kriminalitet til formål, men derimod også den nationale sikkerhed, forsvar af territoriet, den offentlige sikkerhed, forebyggelse af ulovlig brug af elektroniske kommunikationssystemer eller et andet formål i henhold til artikel 23, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

– Ovenstående berøres heller ikke af den omstændighed, at adgangen til lagrede data er undergivet præcise lovgivningsmæssige garantier. Det tilkommer den forelæggende ret at efterprøve, om den nationale lovgivning, der regulerer betingelserne for de kompetente myndigheders adgang, begrænser den til de specifikke tilfælde, hvis grad af alvor gør det nødvendigt at foretage et indgreb, betinger den af en forudgående kontrol (undtagen i hastende tilfælde) fra en retsinstans eller en uafhængig myndighed, og foreskriver, at de berørte personer underrettes om denne adgang, såfremt denne underretning ikke bringer disse myndigheders indsats i fare.

2) Artikel 4 og 6 i Den Europæiske Unions charter om grundlæggende rettigheder berører ikke fortolkningen af artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med de øvrige førnævnte artikler i chartret, således at de forhindrer, at det fastslås, at en national lovgivning som den i hovedsagen omtvistede er uforenelig med EU-retten.

3) En national retsinstans kan, hvis dette er tilladt i henhold til national ret, undtagelsesvis og midlertidigt opretholde virkningerne af en lovgivning som den i hovedsagen omhandlede, selv om den er uforenelig med EU-retten, såfremt denne opretholdelse er begrundet i tvingende hensyn vedrørende trusler mod den offentlige sikkerhed eller den nationale sikkerhed, som ikke er mulige at håndtere ved hjælp af andre midler eller alternativer. Nævnte opretholdelse kan kun omfatte den tidsperiode, som er strengt nødvendig for at afhjælpe den pågældende uforenelighed med EU-retten."

Domsafsigelse:

EU-domstolen har den 6. oktober 2020 afsagt dom i sagen, hvoraf følgende fremgår:

Ad spørgsmål 1 og 2:

• Artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for lovgivningsmæssige foranstaltninger, der med henblik på de formål, der er fastsat i denne artikel 15, stk. 1, i forebyggende øjemed foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata. Den nævnte artikel 15, stk. 1, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, er derimod ikke til hinder for lovgivningsmæssige foranstaltninger
  • der med henblik på beskyttelse af den nationale sikkerhed gør det muligt at pålægge udbydere af elektroniske kommunikationstjenester et påbud om at foretage generel og udifferentieret lagring af trafikdata og lokaliseringsdata i de situationer, hvor den pågældende medlemsstat står over for en alvorlig trussel mod den nationale sikkerhed, som må anses for at være reel og aktuel eller forudsigelig, når den afgørelse, der fastsætter dette påbud, kan gøres til genstand for en effektiv prøvelse enten ved en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser, med henblik på at kontrollere, om en af disse situationer foreligger, samt om de betingelser og garantier, der skal være fastsat, er overholdt, og når det nævnte påbud kun kan udstedes for en periode, der er tidsmæssigt begrænset til det strengt nødvendige, men som kan forlænges i tilfælde af, at denne trussel består
  • der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver målrettet lagring af de trafikdata og lokaliseringsdata, som på grundlag af objektive og ikke-diskriminerende forhold er afgrænset ud fra kategorier af berørte personer eller ved hjælp af et geografisk kriterium, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige, men som kan forlænges
  • der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver generel og udifferentieret lagring af de IP-adresser, der er tildelt kilden til en forbindelse, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige
  • der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og beskyttelse af den offentlige sikkerhed foreskriver generel og udifferentieret lagring af de data, der vedrører identiteten på brugerne af elektroniske kommunikationsmidler, og
  • der med henblik på bekæmpelse af grov kriminalitet og a fortiori med henblik på beskyttelsen af den nationale sikkerhed, gør det muligt ved en afgørelse fra den kompetente myndighed, som er underlagt en effektiv domstolsprøvelse, at pålægge udbydere af elektroniske kommunikationstjenester et påbud om i en begrænset periode at foretage hurtig lagring af de trafikdata og lokaliseringsdata, som disse tjenesteudbydere råder over
• for så vidt som disse foranstaltninger ved klare og præcise regler sikrer, at lagringen af de omhandlede data er underlagt overholdelsen af de dermed forbundne materielle og proceduremæssige betingelser, og at de berørte personer råder over effektive garantier mod risikoen for misbrug

Ad spørgsmål 3:

• Det tredje spørgsmål i sag C-520/18 besvares med, at en national ret ikke kan anvende en bestemmelse i den nationale lovgivning, som giver den bemyndigelse til tidsmæssigt at begrænse virkningerne af en afgørelse om ulovlighed, som det i medfør af denne lovgivning påhviler denne ret at træffe, med hensyn til en national lovgivning, der pålægger udbydere af elektroniske kommunikationstjenester navnlig med henblik på beskyttelse af den nationale sikkerhed og bekæmpelse af kriminalitet, at foretage en generel og udifferentieret lagring af trafikdata og lokaliseringsdata, som er uforenelig med artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1. Denne artikel 15, stk. 1, som fortolket i lyset af effektivitetsprincippet, pålægger den nationale ret i straffesager at se bort fra de oplysninger og de beviser, der er opnået ved hjælp af en generel og udifferentieret lagring af trafikdata og lokaliseringsdata, som er uforenelig med EU-retten, inden for rammerne af en straffesag, der er indledt mod personer, som er mistænkt for at have begået kriminelle handlinger, hvis disse personer ikke er i stand til effektivt at udtale sig om disse oplysninger og disse beviser, som henhører under et område, der ligger uden for rettens sagkundskab, og som kan have afgørende indflydelse på vurderingen af de faktiske omstændigheder.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøgere i hovedsagen:

WS

Sagsøgte i hovedsagen:

Bundesrepublik Deutschland

Faktum i hovedsagen:

Den konkrete sag drejer sig om, at Interpol har registreret en efterlysning (en såkaldt "Red Notice"), som hidrører fra en stat uden for EU, og hvor efterforskningen af den person, som efterlysningen vedrører (sagsøger i den tyske sag), blev indstillet af en tysk anklagemyndighed mod betaling af et pålagt beløb.

Sagsøger har bl.a. gjort gældende, at medlemsstaternes behandling af personoplysninger om ham registreret hos Interpol som en "Red Notice" er i strid med retshåndhævelsesdirektivet, idet behandling efter direktivets artikel 8, stk. 1, kun er lovlig, hvis den sker på grundlag af EU-retten. Det følger endvidere af 25. betragtning til retshåndhævelsesdirektivet, at grundlæggende rettigheder og frihedsrettigheder med hensyn til elektronisk behandling af personoplysninger skal sikres ved udvekslingen af personoplysninger med Interpol. På den baggrund anfører sagsøger, at medlemsstaterne alene må behandle oplysninger registreret hos Interpol, der er i overensstemmelse med EU-retten.

Det bemærkes i den forbindelse, at der ikke foreligger en afgørelse fra EU-Kommissionen om tilstrækkeligheden af Interpols databeskyttelsesniveau, jf. retshåndhævelsesdirektivets artikel 36

De præjudicielle spørgsmål:

• Skal Schengenkonventionens 1 artikel 54, sammenholdt med artikel 50 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«), fortolkes således, at allerede indledningen af en straffesag i alle lande omfattet af Schengenaftalen på grund af den samme lovovertrædelse er udelukket, når en tysk anklagemyndighed indstiller en indledt straffesag, efter at den sigtede har opfyldt bestemte vilkår, herunder navnlig har betalt et bestemt af anklagemyndigheden fastsat pengebeløb?

• Gælder der som følge af artikel 21, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde et forbud mod medlemsstaters efterkommelse af anmodninger om anholdelse fra tredjelande inden for rammerne af en international organisation som Den Internationale Kriminalpolitiorganisation – Interpol – når den af anholdelsesanmodningen omfattede person er unionsborger, og når den medlemsstat, hvori den pågældende er statsborger, har underrettet både den internationale organisation og dermed også de øvrige medlemsstater om sin betænkelighed ved anholdelsesanmodningens forenelighed med forbuddet mod dobbeltstraf?

• Er allerede indledningen af en straffesag og en foreløbig anholdelse i de medlemsstater, hvori den pågældende ikke er statsborger, i strid med artikel 21, stk. 1, TEUF, såfremt dette er i strid med forbuddet mod dobbeltstraf?

• Skal artikel 4, stk. 1, litra a), og artikel 8, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 2 , sammenholdt med Schengenkonventionens artikel 54 og chartrets artikel 50, fortolkes således, at medlemsstaterne er forpligtet til at fastsætte retsregler, som kan sikre, at det i tilfælde af en sag, der fører til ophør af adgangen til strafforfølgning, i alle stater omfattet af Schengenaftalen vil være forbudt at behandle en såkaldt (»Red Notice)« fra Den Internationale Kriminalpolitiorganisation – Interpol – med henblik på på ny at indlede en straffesag?

• Råder en international organisation som Den Internationale Kriminalpolitiorganisation – Interpol – over et tilstrækkeligt databeskyttelsesniveau, når der ikke er truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet i medfør af artikel 36 i direktiv (EU) 2016/680 og/eller fastsat bestemmelser om fornødne garantier i medfør af artikel 37 i direktiv (EU) 2016/680?

• Må medlemsstaterne kun behandle oplysninger, som indgår i en til Den Internationale Kriminalpolitiorganisation – Interpol – af tredjelande indgivet efterlysning (»Red Notice«), hvis et tredjeland med efterlysningen formidler en anholdelses- og udleveringsanmodning og samtidig fremsætter en anholdelsesanmodning, der ikke strider mod EU-retten, herunder navnlig forbuddet mod dobbeltstraf?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 19. november 2020. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

Ad det første, andet og tredje spørgsmål

’’Artikel 54 i konventionen om gennemførelse af Schengenaftalen af 14. juni 1985 mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, sammenholdt med artikel 50 i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 21, stk. 1, TEUF, er til hinder for, at medlemsstaterne kan gennemføre en af Interpol udstedt Red Notice efter anmodning fra et tredjeland og dermed begrænse en persons frie bevægelighed, forudsat at den kompetente myndighed i en medlemsstat har truffet en endelig afgørelse om den konkrete anvendelse af princippet ne bis in idem for så vidt angår de specifikke anklager, som var baggrunden for udstedelsen af den omhandlede Red Notice.’’

Ad det fjerde og sjette spørgsmål

’’Bestemmelserne i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger , sammenholdt med gennemførelseskonventionens artikel 54 og chartrets artikel 50, er ikke til hinder for behandling af personoplysninger, der indgår i en Red Notice udstedt af Interpol, selv hvis princippet ne bis in idem kunne finde anvendelse på anklager, som var baggrunden for udstedelsen af denne Red Notice, forudsat at behandlingen foretages i overensstemmelse med reglerne i dette direktiv.’’

Ad det femte spørgsmål

’’Det femte spørgsmål (om hvorvidt en international organisation som Den Internationale Kriminalpolitiorganisation – Interpol – råder over et tilstrækkeligt databeskyttelsesniveau red.) afvises.’’

Domsafsigelse:

EU-domstolen har den 12. maj 2021 afsagt dom i sagen, hvoraf følgende fremgår:

1)      Artikel 54 i konventionen om gennemførelse af Schengen-aftalen af 14. juni 1985 mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, der blev undertegnet i Schengen den 19. juni 1990 og trådte i kraft den 26. marts 1995, og artikel 21, stk. 1, TEUF, sammenholdt med artikel 50 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at bestemmelserne ikke er til hinder for, at myndighederne i en stat, der er part i aftalen indgået mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, undertegnet i Schengen den 14. juni 1985, eller en medlemsstats myndigheder efter anmodning fra en tredjestat foretager en midlertidig anholdelse af en person, der er omfattet af et efterlysningsblad (rødt hjørne) offentliggjort af Den Internationale Kriminalpolitiorganisation (INTERPOL), medmindre det i en endelig retsafgørelse truffet i en stat, der er part i denne aftale, eller i en medlemsstat er godtgjort, at der over for denne person allerede er afsagt endelig dom i en stat, som er part i nævnte aftale, eller i en medlemsstat for de samme strafbare handlinger som dem, der udgør grundlaget for det nævnte efterlysningsblad (rødt hjørne).

2)      Bestemmelserne i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA, sammenholdt med artikel 54 i konventionen om gennemførelse af Schengenaftalen, undertegnet den 19. juni 1990, og med artikel 50 i chartret om grundlæggende rettigheder, skal fortolkes således, at de ikke er til hinder for en behandling af de personoplysninger, som er indeholdt i et efterlysningsblad (rødt hjørne) udsendt af Den Internationale Kriminalpolitiorganisation (INTERPOL), så længe det ikke ved en endelig retsafgørelse truffet i en stat, der er part i aftalen indgået mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, undertegnet i Schengen den 14. juni 1985, eller i en medlemsstat er blevet godtgjort, at princippet ne bis in idem finder anvendelse for så vidt angår de strafbare handlinger, hvorpå dette efterlysningsblad er støttet, og forudsat at en sådan behandling opfylder de i direktivet fastsatte betingelser, herunder navnlig at den er nødvendig for, at en kompetent myndighed kan udføre en opgave som omhandlet i direktivets artikel 8, stk. 1.

3)      Det femte præjudicielle spørgsmål kan ikke antages til realitetsbehandling

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Facebook Ireland Ltd, Facebook Inc og Facebook Belgien Bvba

Sagsøgte i hovedsagen:

Det Belgiske Datatilsyn

Faktum i hovedsagen:

Sagens faktum er endnu ikke offentliggjort.

De præjudicielle spørgsmål:

• Skal artikel [55, stk. 1], artikel 56-58 og artikel 60-66 i forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF i forbindelse med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder fortolkes således, at en tilsynsmyndighed i henhold til nationale regler vedtaget til gennemførelse af denne forordnings artikel [58, stk. 5] har kompetence til at indlede en retssag ved en ret i denne myndigheds medlemsstat, ikke må udøve denne kompetence i forbindelse med en grænseoverskridende behandling, hvis den ikke er den ledende tilsynsmyndighed ved den grænseoverskridende behandling?

• Har det herved nogen betydning, hvis den behandlingsansvarlige for den grænseoverskridende behandling ikke har sin hovedvirksomhed i denne medlemsstat men dog et andet etableringssted?

• Har det herved nogen betydning, hvis den nationale tilsynsmyndighed indleder retssagen mod den behandlingsansvarliges hovedvirksomhed eller mod etableringsstedet i myndighedens egen medlemsstat?

• Har det herved nogen betydning, hvis den nationale tilsynsmyndighed allerede har indledt retssagen før den dato, fra hvilken forordningen fandt anvendelse (25. maj 2018)?

• Såfremt det første spørgsmål besvares bekræftende, har artikel [58, stk. 5], i forordning 2016/679 da direkte virkning, således at en national tilsynsmyndighed kan støtte ret på denne artikel for at indlede eller fortsætte en retssag mod enkelte parter, uanset denne forordnings artikel [58, stk. 5] ikke specifikt er blevet gennemført i medlemsstatens lovgivning, selv om der var pligt hertil?

• Såfremt de foregående spørgsmål besvares bekræftende, ville udfaldet af sådanne retssager kunne være til hinder for, at den ledende tilsynsmyndighed drager den modsatte konklusion i det tilfælde, at den ledende tilsynsmyndighed undersøger de samme eller lignende grænseoverskridende behandlingsaktiviteter i overensstemmelse med den mekanisme, der er fastsat i artikel 56 og 60 i forordning 2016/679?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 13. januar 2021. Generaladvokaten konkluderer i sin udtalelse følgende:

• Bestemmelserne databeskyttelsesforordningen giver en medlemsstats tilsynsmyndighed mulighed for at anlægge sag ved en domstol i den pågældende medlemsstat om en påstået overtrædelse af databeskyttelsesforordningen som følge af grænseoverskridende databehandling, selv om den ikke er den ledende tilsynsmyndighed, såfremt dette sker i de situationer og i henhold til den fremgangsmåde, der er fastsat i databeskyttelsesforordningen.
• Databeskyttelsesforordningen er til hinder for, at en tilsynsmyndighed fortsætter behandlingen af en retssag, der blev indledt før forordningens ikrafttrædelse, men som vedrører adfærd, der ligger efter denne dato.
• Databeskyttelsesforordningens artikel 58, stk. 5, har direkte virkning, for så vidt som en national tilsynsmyndighed kan støtte ret på denne bestemmelse for at indlede eller fortsætte behandlingen af retssager ved de nationale domstole, selv om denne bestemmelse ikke specifikt er blevet gennemført i national lovgivning.«

Domsafsigelse:

EU-domstolen har den 15. juni 2021 afsagt dom i sagen, hvoraf følgende fremgår:

1)      Artikel 55, stk. 1, artikel 56-58 og artikel 60-66 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at en medlemsstats tilsynsmyndighed, som i henhold til den nationale lovgivning, der er vedtaget til gennemførelse af denne forordnings artikel 58, stk. 5, har beføjelse til at indbringe alle angivelige overtrædelser af nævnte forordning for en retsinstans i denne medlemsstat og om nødvendigt indlede eller deltage i retssager, kan udøve denne beføjelse for så vidt angår en grænseoverskridende behandling af oplysninger, selv om den ikke er den »ledende tilsynsmyndighed« som omhandlet i samme forordnings artikel 56, stk. 1, for så vidt angår denne behandling af oplysninger, for så vidt som der er tale om en af de situationer, hvor forordning 2016/679 tillægger denne tilsynsmyndighed en kompetence til at vedtage en afgørelse, hvorved det fastslås, at nævnte behandling tilsidesætter de regler, som den indeholder, og overholder de procedurer for samarbejde og sammenhæng, der er fastsat i denne forordning.

2)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at det, for at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kan gøre brug af beføjelsen til at indlede eller deltage i retssager som omhandlet i denne bestemmelse, i forbindelse med grænseoverskridende behandling af personoplysninger, ikke kræves, at den dataansvarlige eller databehandleren for den grænseoverskridende behandling af personoplysninger, som dette søgsmål er rettet mod, har en hovedvirksomhed eller en anden etablering på denne medlemsstats område.

3)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kan gøre brug af beføjelsen til at indbringe alle angivelige overtrædelser af denne forordning for en retsinstans i denne medlemsstat og om nødvendigt at indlede eller deltage i retssager som omhandlet i denne bestemmelse, både med hensyn til den dataansvarliges hovedvirksomhed, der ligger i den medlemsstat, som henhører under denne myndighed, og med hensyn til en anden af den ansvarliges etableringer, for så vidt som søgsmålet omhandler en behandling af oplysninger, der er foretaget inden for rammerne af denne etablerings aktiviteter, og at nævnte myndighed er kompetent til at udøve denne beføjelse i overensstemmelse med det, der er anført som svar på det første spørgsmål.

4)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at når en tilsynsmyndighed i en medlemsstat, som ikke er den »ledende tilsynsmyndighed« som omhandlet i denne forordnings artikel 56, stk. 1, har anlagt et søgsmål om grænseoverskridende behandling af personoplysninger inden den 25. maj 2018, dvs. inden den dato, hvor den nævnte forordning fandt anvendelse, kan dette søgsmål, set fra et EU-retligt synspunkt, opretholdes på grundlag af bestemmelserne i direktiv 95/46, som fortsat finder anvendelse for så vidt angår overtrædelser af de regler, som det fastsætter, der er begået indtil datoen for dette direktivs ophævelse. Nævnte søgsmål kan desuden anlægges af denne myndighed for overtrædelser, der er begået efter denne dato på grundlag af artikel 58, stk. 5, i forordning 2016/679, for så vidt som det er i en af de situationer, hvor denne forordning undtagelsesvis tillægger en tilsynsmyndighed i en medlemsstat, som ikke er den »ledende tilsynsmyndighed«, en kompetence til at vedtage en afgørelse, hvori det fastslås, at den omhandlede behandling af oplysninger tilsidesætter de regler, der er fastsat i nævnte forordning for så vidt angår beskyttelsen af fysiske personers rettigheder i forbindelse med behandling af personoplysninger og under overholdelse af de samarbejds- og sammenhængsprocedurer, der er fastsat i denne forordning, hvilket det tilkommer den forelæggende ret at efterprøve.

5)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at denne bestemmelse har direkte virkning, således at en national tilsynsmyndighed kan påberåbe sig den nævnte bestemmelse for at anlægge eller genoptage en sag mod private, selv om den samme bestemmelse ikke specifikt er blevet gennemført i den pågældende medlemsstats lovgivning.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

M.I.C.M. Mircom International Content Management & Consulting Limited.

Sagsøgte i hovedsagen:

Telenet BVBA.

Faktum i hovedsagen:

I hovedsagen kræver selskabet Mircom, at Telenet fremlægger identifikationsoplysninger for tusindvis af sine kunder, hvilket Telenet har afvist. Ifølge Mircom har de pågældende kunder ved hjælp af BitTorrent-teknologi uploadet film fra dets katalog, hvilket ifølge Mircom er en ulovlig overføring af dets film til almenheden.

De præjudicielle spørgsmål:

• Kan downloading via et peer-to-peer netværk af en fil med tilhørende underdele ("pieces") (nogle gange meget fragmentarisk i forhold til hele filen) med henblik på at uploade til tilrådighedsstillelse ("seede"), betragtes som en overføring til almenheden som omhandlet i artikel 3, stk. 1, i direktiv 2001/29, til trods for, at disse individuelle pieces i sig selv er uanvendelige?
• gælder der en bagatelgrænse for, hvornår seeding af disse pieces udgør en overførsel til almenheden?
• er det en relevant omstændighed, at seeding'en (som en følge af indstillingerne i kundens BitTorrent-program) kan ske automatisk og således uden brugerens viden? 

• Kan en person, der i henhold til aftale er indehaver af ophavsrettigheder (eller beslægtede rettigheder), men som ikke selv udnytter disse rettigheder men blot kræver skadeserstatning af formentlige krænkere – og hvis økonomiske model for indtjening således er afhængig af piratvirksomhed i stedet for at bekæmpe den – nyde de samme rettigheder, som efter kapitel II i direktiv 2004/48 tilkommer ophavsmænd eller licenshavere, som udnytter ophavsrettigheder på normal vis? 
• Hvorledes kan disse licenshavere i dette tilfælde have lidt et "tab" som følge af krænkelsen (som omhandlet i artikel 13 i direktiv 2004/48)? 

• Er de konkrete omstændigheder, der er beskrevet i spørgsmål 1 og 2 relevante ved bedømmelsen af afvejningen af den korrekte ligevægt mellem på den ene side håndhævelsen af intellektuelle ejendomsrettigheder og på den anden side de rettigheder og friheder, der sikres af grundrettighedschartret så som beskyttelse af privatlivet og personoplysninger, særligt i forbindelse med proportionalitetsbedømmelsen? 

• Er systematisk registrering og påfølgende generel behandling af IP-adresser på en swarm af seeders (foretaget af licenshaver selv eller af tredjemand på opdrag af licenshaver) under disse omstændigheder lovlig efter den generelle forordning om databeskyttelse, nærmere bestemt artikel 6, stk. 1, litra f), i denne forrodning? 

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 17. december 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

1) Artikel 3 i Europa-Parlamentets og Rådets direktiv 2001/29/EF af 22. maj 2001 om harmonisering af visse aspekter af ophavsret og beslægtede rettigheder i informationssamfundet skal fortolkes således, at den omstændighed, at delelementer af en fil, der indeholder et beskyttet værk, stilles til rådighed til downloading via et peer-to-peer-netværk, selv inden den pågældende bruger har downloadet hele den pågældende fil, er omfattet af retten til tilrådighedsstillelse for almenheden som omhandlet i denne artikel, uden at det er afgørende, om denne bruger havde fuldt kendskab til omstændighederne.

2) Artikel 4, litra b), i Europa-Parlamentets og Rådets direktiv 2004/48/EF af 29 april 2004 om håndhævelsen af intellektuelle ejendomsrettigheder skal fortolkes således, at en organisation, som, selv om den har erhvervet visse rettigheder til beskyttede værker, ikke udnytter dem og blot kræver erstatning fra personer, som krænker disse rettigheder, ikke har mulighed for at gøre brug af de i dette direktivs kapitel II omhandlede foranstaltninger, procedurer og retsmidler, i det omfang den nationale ret finder, at denne organisations erhvervelse af rettighederne alene havde til formål at opnå denne mulighed. Direktiv 2004/48 kræver ikke og er ikke til hinder for, at en medlemsstat i sin nationale lovgivning giver en erhverver af fordringer, der er forbundet med krænkelser af intellektuelle ejendomsrettigheder, denne mulighed.

3) Artikel 8, stk. 1, i direktiv 2004/48, sammenholdt med dette direktivs artikel 3, stk. 2, skal fortolkes således, at den nationale ret skal nægte adgangen til at gøre brug af den i dette direktivs artikel 8 omhandlede ret til information, hvis den under hensyn til sagens omstændigheder finder, at anmodningen om oplysninger er ubegrundet eller uretmæssig.

4) Artikel 6, stk. 1, litra f), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at registrering af IP-adresser, der er tildelt personer, hvis internetforbindelser er blevet brugt til deling af beskyttede værker via peer-to-peer-netværk, udgør en lovlig behandling af personoplysninger, når denne registrering foretages som led i den dataansvarliges eller en tredjemands forfølgelse af en legitim interesse, navnlig med henblik på at indgive en begrundet anmodning om udlevering af navnene på indehaverne af de internetforbindelser, der er identificeret ved hjælp af IP-adresserne i henhold til artikel 8, stk. 1, litra c), i direktiv 2004/48.«

Domsafsigelse:

EU-Domstolen har den 17. juni 2021 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1) Artikel 3, stk. 1 og 2, i Europa-Parlamentets og Rådets direktiv 2001/29/EF af 22. maj 2001 om harmonisering af visse aspekter af ophavsret og beslægtede rettigheder i informationssamfundet skal fortolkes således, at uploading fra terminaludstyr tilhørende en bruger af et peer-to-peer-netværk til terminaludstyr tilhørende andre brugere af dette netværk, af delelementer, som denne bruger først har downloadet, af en mediefil, der indeholder et beskyttet værk, udgør en tilrådighedsstillelse for almenheden i denne bestemmelses forstand, selv om disse delelementer kun er anvendelige i sig selv, når en vis andel er downloadet. Det er uden betydning, at uploadingen foretages automatisk af delingssoftwaren BitTorrent-klient som følge af denne softwares indstillinger, når brugeren fra det terminaludstyr, hvorfra uploadingen sker, har tegnet abonnement på denne software ved at give samtykke til anvendelse heraf efter at være blevet behørigt informeret om dens egenskaber.

2) Europa-Parlamentets og Rådets direktiv 2004/48/EF af 29. april 2004 om håndhævelsen af intellektuelle ejendomsrettigheder skal fortolkes således, at en person, der i henhold til aftale er indehaver af visse intellektuelle ejendomsrettigheder, som denne person dog ikke selv udnytter, idet den pågældende blot kræver erstatning fra de formodede krænkende parter, principielt kan gøre brug af de foranstaltninger, procedurer og retsmidler, der er fastsat i dette direktivs kapitel II, medmindre det i henhold til den generelle forpligtelse, der er fastsat i direktivets artikel 3, stk. 2, og på grundlag af en samlet og indgående undersøgelse godtgøres, at den pågældende persons begæring er udtryk for misbrug. Hvad særligt angår en begæring om oplysninger på grundlag af dette direktivs artikel 8 skal en sådan ligeledes afslås, hvis den ikke er velbegrundet eller ikke er forholdsmæssigt afpasset, hvilket det tilkommer den forelæggende ret at efterprøve.

3)  Artikel 6, stk. 1, første afsnit, litra f), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, skal fortolkes således, at denne bestemmelse principielt hverken er til hinder for, at indehaveren af intellektuelle ejendomsrettigheder og en tredjemand på dennes vegne foretager systematisk registrering af IP-adresser på brugere af peer-to-peer-netværk, hvis internetforbindelser angiveligt er blevet brugt til krænkende aktiviteter, eller at disse brugeres navne og postadresser videregives til denne indehaver eller en tredjemand med henblik på at gøre det muligt for den pågældende at anlægge et erstatningssøgsmål ved en civil domstol vedrørende tab, som de nævnte brugere angiveligt har forvoldt, dog på betingelse af, at den nævnte indehavers eller en sådan tredjemands initiativer og begæringer i denne henseende er velbegrundede, forholdsmæssigt afpassede og ikke udtryk for misbrug, og at der er et retsgrundlag herfor i en national retsforskrift som omhandlet i artikel 15, stk. 1, i direktiv 2002/58, som ændret ved direktiv 2009/136, der indskrænker rækkevidden af reglerne i artikel 5 og 6 i dette direktiv, som ændret.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

B.

Sagsøgte i hovedsagen:

Latvijas Republikas Saeima (Republikken Letlands parlament).

Faktum i hovedsagen:

På grundlag af artikel 267 TEUF anmoder den forelæggende ret om en fortolkning af forordning nr. 2016/679 og direktiv 2003/98 for at kunne afgøre, om det er forbudt for medlemsstaterne i deres retsorden at fastsætte bestemmelser, hvorefter oplysninger om de point, som førere er pålagt for færdselsforseelser, er tilgængelige for offentligheden, således at de omhandlede personoplysninger kan behandles ved formidling og overførsel med henblik på videreanvendelse.

Subsidiært ønsker den forelæggende ret ligeledes oplysning om fortolkningen af princippet om EU-rettens forrang og retssikkerhedsprincippet med henblik på at præcisere anvendeligheden af den nationale bestemmelse i tvisten i hovedsagen og muligheden for at opretholde retsvirkningerne heraf, indtil den forelæggende rets endelige afgørelse om, at den er i overensstemmelse med forfatningen, bliver retskraftig.

De præjudicielle spørgsmål:

• Bør begrebet "behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger" i artikel 10 i forordning 2016/679 1 , fortolkes således, at det omfatter behandling af oplysninger om de point, som førere pålægges for færdselsforseelser i henhold til den omtvistede bestemmelse?
• Uanset svaret på det første spørgsmål, kan bestemmelserne i forordning 2016/679, navnlig princippet om "integritet og fortrolighed", jf. nævnte forordnings artikel 5, stk. 1, litra f), fortolkes som et forbud mod, at medlemsstaterne fastsætter, at oplysninger om de point, der pålægges førere for færdselsforseelser, er tilgængelige for offentligheden, og at de pågældende oplysninger kan behandles ved at videregives?
• Bør 50. og 154. betragtning til, artikel 5, stk. 1, litra b), og artikel 10 i direktiv 2003/98/EF 2 samt artikel 1, stk. 2, litra cc), i forordning 2016/679 fortolkes således, at de er til hinder for en ordning i en medlemsstat, der tillader videregivelse af oplysninger om de point, der pålægges førere for trafikforseelser, med henblik på videreanvendelse?
• Såfremt nogen af de ovennævnte spørgsmål besvares bekræftende, skal princippet om EU-rettens forrang og retssikkerhedsprincippet da fortolkes således, at det kan være tilladt at anvende den omtvistede bestemmelse og opretholde dens retsvirkninger, indtil forfatningsdomstolens endelige afgørelse bliver retskraftig?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 17. december 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

1) Databeskyttelsesforordningens artikel 10 skal fortolkes således, at den ikke omfatter situationer med behandling af oplysninger om strafpoint, som bilister er pålagt for færdselsforseelser, som fastsat i en national lovgivning, såsom færdselslovens artikel 141, stk. 2.

2) Databeskyttelsesforordningens artikel 5, stk. 1, litra c), er til hinder for en national lovgivning, såsom færdselslovens artikel 141, stk. 2, som giver mulighed for behandling og formidling af oplysninger om strafpoint, som bilister er pålagt for færdselsforseelser.

3) En national lovgivning, såsom færdselslovens artikel 141, stk. 2, som giver mulighed for behandling og formidling, herunder med henblik på videreanvendelse, af oplysninger om strafpoint, der er pålagt bilister for færdselsforseelser, ikke reguleres af bestemmelserne i direktiv 2003/98. GDPR-forordningens artikel 5, stk. 1, litra c), er endvidere til hinder herfor.

4) Det er ikke muligt at anvende den omtvistede bestemmelse og opretholde dens retsvirkninger, indtil Satversmes tiesas (forfatningsdomstol) endelige afgørelse bliver retskraftig.

Den 16. februar 2021 blev en ny version af generaladvokatens forslag til afgørelse forkyndt. Generaladvokaten konkluderer i sin udtalelse følgende:

1) Artikel 10 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den ikke omfatter situationer med behandling af personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser, som fastsat i en national lovgivning, såsom artikel 141, stk. 2, i Ceļu satiksmes likums (færdselsloven).

2) Artikel 5, stk. 1, litra c), i forordning 2016/679 er til hinder for, at en medlemsstat behandler og formidler personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser.

3) Artikel 5, stk. 1, litra b) og c), i forordning 2016/679 er til hinder for, at en medlemsstat behandler og formidler personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser, når denne formidling sker med henblik på videreanvendelse.

4) Europa-Parlamentets og Rådets direktiv 2003/98/EF af 17. november 2003 om videreanvendelse af den offentlige sektors informationer regulerer ikke behandlingen og formidlingen, herunder med henblik på videreanvendelse, af personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser.

5) Det er ikke muligt at anvende den omtvistede bestemmelse og opretholde dens retsvirkninger, indtil Satversmes tiesas (forfatningsdomstolen) endelige afgørelse bliver retskraftig.

Domsafsigelse:

EU-Domstolen har den 22. juni 2021 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1) Artikel 10 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne bestemmelse finder anvendelse på behandling af personoplysninger vedrørende de strafpoint, der pålægges førere af motorkøretøjer for færdselsforseelser.

2) Bestemmelserne i forordning (EU) 2016/679, navnlig denne forordnings artikel 5, stk. 1, artikel 6, stk. 1, litra e), og artikel 10, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, som pålægger et offentligt organ, der fører det register, hvori de strafpoint, som pålægges førere af motorkøretøjer for færdselsforseelser, er indført, at gøre disse oplysninger tilgængelige for offentligheden, uden at den person, der anmoder om aktindsigt, skal godtgøre en særlig interesse i at få de nævnte oplysninger.

3) Bestemmelserne i forordning (EU) 2016/679, navnlig denne forordnings artikel 5, stk. 1, artikel 6, stk. 1, litra e), og artikel 10, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, som tillader et offentligt organ, der fører det register, hvori de strafpoint, som pålægges førere af motorkøretøjer for færdselsforseelser, er indført, at videregive disse oplysninger til erhvervsdrivende med henblik på videreanvendelse.

4) Princippet om EU-rettens forrang skal fortolkes således, at dette princip er til hinder for, at en medlemsstats forfatningsdomstol, som er forelagt et søgsmål til prøvelse af en national lovgivning, der i lyset af en præjudiciel afgørelse fra Domstolen er uforenelig med EU-retten, beslutter i medfør af retssikkerhedsprincippet, at retsvirkningerne af denne lovgivning opretholdes indtil afsigelsen af den dom, hvorved denne forfatningsdomstol træffer endelig afgørelse i forfatningssøgsmålet.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

La Quadrature du Net, French Data Network, Fédération des Fournisseurs d'Accès à Internet Associatifs

Sagsøgte:

EU-Kommissionen

Sagsøgernes påstand:

EU-Kommissionens gennemførelsesafgørelse 2016/1250 af 12. juli 2016 (Privacy Shield) er uforenelig med artikel 7, 8 og 47 i Den Europæiske Unions Charter om grundlæggende rettigheder (2000/C 364/01), og skal derfor annulleres.

Væsentligste argumenter:

• Den generelle karakter af indsamlingen af personoplysninger, som er tilladt i henhold til amerikansk lovgivning, indebærer, at Privacy Shield-afgørelsen udgør et uberettiget indgreb i det væsentligste indhold af den grundlæggende ret til respekt for privatlivet
• Beskyttelsesniveauet efter amerikansk lovgivning svarer ikke til det niveau, der er sikret inden for Unionen, da indsamlingen af personoplysninger i USA ikke er begrænset til det strengt nødvendige
• Privacy Shield-afgørelsen tager ikke højde for, at der ikke er fastsat effektive retsmidler i den amerikanske lovgivning
• Der er ikke fastsat nogen uafhængig kontrol af beskyttelsesniveauet i USA

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Det er ikke længere fornødent at træffe afgørelse i den foreliggende sag.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Sergejs Buivids

Sagsøgte i hovedsagen:

Datu valsts inspeckcija

Faktum i hovedsagen:

Denne forelæggelse fra Latvijas Augstākā tiesa (Republikken Letlands øverste domstol) vedrører filmningen og offentliggørelsen på websteder af en videooptagelse af polititjenestemænd, som udøver deres embede på en politistation. Den forelæggende ret ønsker vejledning om anvendelsesområdet for direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (2) og om fortolkningen af undtagelsen i direktivets artikel 9 (»undtagelsen om journalistisk øjemed«).

De præjudicielle spørgsmål:

• Er aktiviteter som de i den foreliggende sag omhandlede, dvs. optagelse på en politistation af polititjenestemænd, der udfører proceduremæssige foranstaltninger, og offentliggørelse af videooptagelsen på webstedet www.youtube.com, omfattet af anvendelsesområdet for direktiv 95/46?
• Skal direktiv 95/46 fortolkes således, at de nævnte aktiviteter kan anses for behandling af personoplysninger i journalistisk øjemed som omhandlet i nævnte direktivs artikel 9?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 27. september 2018. Generaladvokaten konkluderer i sin udtalelse følgende:

• Aktiviteter såsom filmning og optagelser af tjenestemænd, som udøver deres embede på deres arbejdsplads, og den efterfølgende offentliggørelse af videooptagelsen på internettet udgør behandling af personoplysninger, der helt eller delvis foretages ved hjælp af EDB som omhandlet i artikel 3, stk. 1, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.
• Når en person, der ikke er journalist af profession, foretager videooptagelser, som vedkommende offentliggør på et websted, kan disse videooptagelser være omfattet af begrebet »journalistisk øjemed« som omhandlet i artikel 9 i direktiv 95/46, hvis det fastslås, at disse aktiviteter fandt sted udelukkende i dette øjemed.
• I hvert enkelt tilfælde tilkommer det i henhold til artikel 9 i direktiv 95/46 de nationale myndigheder, under de nationale retters kontrol, at undersøge og forene den grundlæggende ret til privatlivets fred i forbindelse med behandling af den eller de registreredes personoplysninger og den registeransvarliges grundlæggende ret til ytringsfrihed. Ved foretagelsen af afvejningen skal disse myndigheder tage hensyn til, i) om det offentliggjorte materiale bidrager til en debat af almen interesse, ii) hvor kendt den eller de berørte personer er, iii) emnet for rapporteringen, iv) den omhandledes persons tidligere adfærd, v) den omhandlede offentliggørelses indhold, form og konsekvenser samt vi) omstændighederne, hvorunder oplysningerne blev indsamlet.«

Domsafsigelse:

EU-Domstolen har den 14. februar 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1) Artikel 3 i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at en videooptagelse af politifolk på en politistation i forbindelse med en afgivelse af forklaring og offentliggørelsen af den således optagede video på et videowebsted, hvor brugerne kan sende, se eller dele disse videoer, er omfattet af dette direktivs anvendelsesområde.

2) Artikel 9 i direktiv 95/46 skal fortolkes således, at faktiske omstændigheder som de i hovedsagen foreliggende, dvs. videooptagelse af politifolk på en politistation i forbindelse med en afgivelse af forklaring og offentliggørelsen af den således optagede video på et videowebsted, hvor brugerne kan sende, se og dele disse videoer, udgør behandling af personoplysninger i journalistisk øjemed som omhandlet i denne bestemmelse, for så vidt som det fremgår af nævnte video, at nævnte optagelse og nævnte offentliggørelse udelukkende har til formål at udbrede oplysninger, synspunkter eller idéer til offentligheden, hvilket det påhviler den forelæggende ret at vurdere.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

X, Y

Sagsøgte i hovedsagen:

Autoriteit Persoonsgegevens

Faktum i hovedsagen:

I hovedsagen er spørgsmålet, om sagsøgte »Autoriteit Persoonsgegevens«, der er den nederlandske tilsynsmyndighed i henhold til artikel 51 i den generelle forordning om databeskyttelse (herefter den generelle databeskyttelsesforordning), er beføjet til at afgøre spørgsmålet, om den omstændighed, at afdelingen for forvaltningsretssager ved Raad van State (øverste domstol i forvaltningsretlige sager) giver journalister aktindsigt i procesdokumenter, er i overensstemmelse med den generelle databeskyttelsesforordning.

De præjudicielle spørgsmål:

• Skal artikel 55, stk. 3, i den generelle databeskyttelsesforordning fortolkes således, at der ved »domstoles behandlingsaktiviteter, når disse handler i deres egenskab af domstol«, kan forstås den omstændighed, at en domstol giver aktindsigt i procesdokumenter, der indeholder personoplysninger, hvorved aktindsigten sker ved, at der stilles kopier af procesdokumenterne til rådighed for en journalist, således som det er beskrevet i nærværende forelæggelsesafgørelse?
  • Har det for besvarelsen af dette spørgsmål nogen betydning, om den nationale tilsynsmyndigheds udøvelse af tilsyn med denne form for databehandling i konkrete sager berører domstolenes uafhængighed ved beslutningstagningen?
• • Har det for besvarelsen af dette spørgsmål nogen betydning, at arten af og formålet med databehandlingen ifølge den pågældende retsinstans er at informere en journalist for at sætte denne i stand til at give en bedre dækning af det offentlige retsmøde i et retssag, og det således tilstræbes at tjene hensynet til offentlighed og gennemsigtighed vedrørende retspraksis?
  • Har det for besvarelsen af dette spørgsmål nogen betydning, om databehandlingen beror på en udtrykkelig nationalretlig hjemmel?

Udtalelse fra EU´s generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 6. oktober 2021. Generaladvokaten konkluderer i sin udtalelse følgende:

Spørgsmål 1

Artikel 55, stk. 3, i Europa-Parlamentets og Rådets forordning af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at videregivelse af procesdokumenter til en journalist med henblik på en bedre dækning af et offentligt retsmøde er en praksis, som domstole udfører »i deres egenskab af domstol«.

Spørgsmål 1a

Artikel 55, stk. 3, i forordning 2016/679 kræver ikke, at det afgøres, om en behandlingsaktivitet udført af de nationale domstole »i deres egenskab af domstol« påvirker domstolenes uafhængighed ved den retslige beslutningstagning i hver enkelt sag.

Spørgsmål 1b

Afgørelsen af en bestemt behandlingsaktivitets art og formål er ikke en del af de kriterier, der skal tages i betragtning i henhold til artikel 55, stk. 3, i forordning 2016/679, når det fastslås, om de nationale domstole »handle[de] i deres egenskab af domstol«.

Spørgsmål 1c

Ved afgørelsen af, om en af de nationale domstoles behandlingsaktiviteter blev udført »i deres egenskab af domstol« i den i artikel 55, stk. 3, i forordning 2016/679 omhandlede forstand, er det ikke relevant, om disse domstole handlede i medfør af en udtrykkelig hjemmel i national ret. 

Domsafsigelse:

EU-domstolen har den 24. marts 2022 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

• Artikel 55, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den omstændighed, at en domstol midlertidigt stiller procesdokumenter, der indeholder personoplysninger, til rådighed for journalister med henblik på bedre at gøre disse i stand til at dække den omhandlede sag, henhører under denne domstols virksomhed, når den handler i sin »egenskab af domstol« som omhandlet i denne bestemmelse.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Bundesverband der Verbraucherzentralen og Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.

Sagsøgte i hovedsagen:

Facebook Ireland Limited

Faktum i hovedsagen:

Sagens faktum er endnu ikke offentliggjort.

De præjudicielle spørgsmål:

• Er bestemmelserne i kapitel VIII, navnlig i artikel 80, stk. 1 og 2, samt artikel 84, stk. 1, i forordning (EU) 2016/679 til hinder for nationale bestemmelser, som – foruden den beføjelse til at gribe ind, der er tillagt tilsynsmyndighederne med kompetence til at føre kontrol og håndhæve forordningen, og de registreredes muligheder for retsbeskyttelse – indrømmer dels konkurrenter dels organisationer, organer og kamre med beføjelser i henhold til national ret beføjelse til at anlægge søgsmål ved de civile domstole mod den krænkende part vedrørende overtrædelser af forordning (EU) 2016/679, uanset om enkelte registreredes konkrete rettigheder er blevet krænket, og uden bemyndigelse fra en registreret under påberåbelse af forbuddet mod urimelig handelspraksis, en overtrædelse af en lov om forbrugerbeskyttelse eller forbuddet mod at anvende ugyldige almindelige forretningsbetingelser?

Udtalelse fra EU´s generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 2. december 2021. Generaladvokaten konkluderer i sin udtalelse følgende:

Article 80(2) of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), must be interpreted as meaning that it does not preclude national legislation which allows consumer protection associations to bring legal proceedings against the person alleged to be responsible for an infringement of the protection of personal data, on the basis of the prohibition of unfair commercial practices, the infringement of a law relating to consumer protection or the prohibition of the use of invalid general terms and conditions, provided that the objective of the representative action in question is to ensure observance of the rights which the persons affected by the contested processing derive directly from that regulation.

Domsafsigelse:

EU-domstolen har den 28. april 2022 afsagt dom i sagen, hvoraf følgende bl.a. fremgår:

• Artikel 80, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den ikke er til hinder for en national lovgivning, som gør det muligt for en sammenslutning, der varetager beskyttelsen af forbrugernes interesser – uden bemyndigelse, som er blevet givet denne med henblik herpå, og uafhængigt af en krænkelse af en registrerets konkrete rettigheder – at anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger, ved at gøre gældende, at der foreligger en tilsidesættelse af forbuddet mod urimelig handelspraksis, en lov om forbrugerbeskyttelse eller forbuddet mod at anvende ugyldige almindelige forretningsbetingelser, når den pågældende behandling af oplysninger kan påvirke de rettigheder, som identificerede eller identificerbare fysiske personer har i henhold til denne forordning.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Ligue des droits humains

Sagsøgte i hovedsagen:

Conseil des ministres

Faktum i hovedsagen:

Sagens faktum er endnu ikke offentliggjort.

De præjudicielle spørgsmål:

• Skal artikel 23 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) 1 , sammenholdt med denne forordnings artikel 2, stk. 2, litra d), fortolkes således, at den finder anvendelse på en national lovgivning såsom lov af 25. december 2016 om behandling af passageroplysninger, som gennemfører Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet 2 samt Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer 3 og Europa-Parlamentets og Rådets direktiv 2010/65/EU af 20. oktober 2010 om meldeformaliteter for skibe, der ankommer til eller afgår fra havne i medlemsstaterne, og om ophævelse af direktiv 2002/6/EF 4 ?

• Er bilag I til direktiv 2016/681 (EU) foreneligt med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som de deri opregnede oplysninger er meget omfattende – bl.a. hvad angår de oplysninger, som er omhandlet i punkt 18 i bilag I til direktiv 2016/681, og som er mere vidtrækkende end de oplysninger, der er omhandlet i artikel 3, stk. 2, i direktiv 2004/82 – og for så vidt som de samlet set kan afsløre følsomme oplysninger og dermed overskride grænserne for det »strengt nødvendige«?

• Er punkt 12 og 18 i bilag I til direktiv (EU) 2016/681 forenelige med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som de deri omhandlede oplysninger henset til udtrykket »herunder« er angivet illustrativt og ikke udtømmende, hvilket indebærer, at kravet om, at regler, der gør indgreb i retten til respekt for privatlivet og i retten til beskyttelse af personoplysninger, skal være præcise og klare, ikke er opfyldt?

• Er artikel 3, nr. 4), i direktiv (EU) 2016/681 og bilag I til dette direktiv forenelige med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som det system for generel indsamling, overførsel og behandling af passageroplysninger, der er indført ved disse bestemmelser, omfatter enhver person, der anvender det pågældende transportmiddel, uanset om der foreligger noget objektivt forhold, som gør det muligt at antage, at denne person kan frembyde en risiko for den offentlige sikkerhed?

• Skal artikel 6 i direktiv (EU) 2016/681, sammenholdt med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, fortolkes således, at den er til hinder for en national lovgivning såsom den anfægtede lov, hvorefter et af formålene med behandlingen af PNR-oplysninger kan være efterretnings- og sikkerhedstjenesternes overvågning af de omfattede aktiviteter, og dette formål dermed indgår i forebyggelse, opdagelse, efterforskning og retsforfølgning af terrorhandlinger og grov kriminalitet?

• Er artikel 6 i direktiv (EU) 2016/681 forenelig med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som den deri omhandlede forudgående vurdering ved korrelation med databaser og forud fastsatte kriterier finder systematisk og generel anvendelse på oplysninger om passagerer, uanset om der foreligger noget objektivt forhold, som gør det muligt at antage, at disse passagerer kan frembyde en risiko for den offentlige sikkerhed?

• Kan begrebet »anden [kompetent] national myndighed« i artikel 12, stk. 3, i direktiv (EU) 2016/681 fortolkes således, at det omfatter den passageroplysningsenhed, som er oprettet ved lov af 25. december 2016, og som derfor kan give adgang til PNR-oplysninger efter en periode på seks måneder i forbindelse med ad hoc-efterforskninger?

• Skal artikel 12 i direktiv (EU) 2016/681, sammenholdt med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, fortolkes således, at den er til hinder for en national lovgivning såsom den anfægtede lov, hvori der er fastsat en generel dataopbevaringsperiode på fem år, uden at der sondres mellem, hvorvidt den forudgående vurdering har vist, at de pågældende passagerer kan udgøre en risiko for den offentlige sikkerhed eller ej?

a) Er direktiv 2004/82/EF foreneligt med artikel 3, stk. 2, i traktaten om Den Europæiske Union og med artikel 45 i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som de deri fastsatte forpligtelser finder anvendelse på flyvninger inden for EU?

b) Skal direktiv 2004/82/EF, sammenholdt med artikel 3, stk. 2, i traktaten om Den Europæiske Union og med artikel 45 i Den Europæiske Unions charter om grundlæggende rettigheder, fortolkes således, at det er til hinder for en national lovgivning såsom den anfægtede lov, der med henblik på at bekæmpe ulovlig indvandring og at forbedre grænsekontrollen gør det muligt at indføre et system til indsamling og behandling af oplysninger om passagerer »på vej til, fra og gennem det nationale område«, hvilket indirekte kan føre til genindførelse af kontrollen ved de indre grænser?

• Såfremt Cour constitutionnelle (forfatningsdomstol) på grundlag af besvarelserne af de foregående præjudicielle spørgsmål konkluderer, at den anfægtede lov, der bl.a. gennemfører direktiv (EU) 2016/681, er i strid med en eller flere af de forpligtelser, der følger af de i disse spørgsmål nævnte bestemmelser, kan Cour constitutionnelle (forfatningsdomstol) da midlertidigt opretholde virkningerne af lov af 25. december 2016 om behandling af passageroplysninger med henblik på at undgå retsusikkerhed og muliggøre, at oplysninger, der forinden er blevet indsamlet og lagret, stadig kan anvendes til de formål, der er omhandlet i loven?

Domsafsigelse

EU-domstolen har den 21. juni 2022 afsagt dom i sagen, hvoraf følgende fremgår:

• Artikel 2, stk. 2, litra d), og artikel 23 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne forordning finder anvendelse på behandling af personoplysninger, som er fastsat i en national lovgivning, der tager sigte på at gennemføre bestemmelserne i både Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer, i Europa-Parlamentets og Rådets direktiv 2010/65/EU af 20. oktober 2010 om meldeformaliteter for skibe, der ankommer til eller afgår fra havne i medlemsstaterne, og om ophævelse af direktiv 2002/6/EF og i Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet i national ret, med hensyn til dels private operatørers behandling af oplysninger, dels offentlige myndigheders behandling af oplysninger, som alene eller ligeledes er omfattet af direktiv 2004/82 eller direktiv 2010/65. Denne forordning finder derimod ikke anvendelse på behandling af oplysninger som fastsat i en sådan lovgivning, der alene er omfattet af direktiv 2016/681, og som foretages af passageroplysningsenheden eller de kompetente myndigheder med henblik på de formål, som er omhandlet i dette direktivs artikel 1, stk. 2.

• Eftersom en fortolkning af direktiv 2016/681 i lyset af artikel 7, 8 og 21 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder sikrer dette direktivs overensstemmelse med disse bestemmelser i chartret om grundlæggende rettigheder, har undersøgelsen af det andet til det fjerde og det sjette præjudicielle spørgsmål intet frembragt, der kan rejse tvivl om dette direktivs gyldighed.

• Artikel 6 i direktiv 2016/681, sammenholdt med artikel 7 og 8 samt artikel 52, stk. 1, i chartret om grundlæggende rettigheder, skal fortolkes således, at den er til hinder for en national lovgivning, der tillader behandling af passagerlisteoplysninger (PNR-oplysninger), der er indsamlet i overensstemmelse med dette direktiv, til andre formål end dem, der udtrykkeligt er omhandlet i direktivets artikel 1, stk. 2.

• Artikel 12, stk. 3, litra b), i direktiv 2016/681 skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, hvorefter den myndighed, der er oprettet som passageroplysningsenhed, ligeledes har egenskab af kompetent national myndighed med bemyndigelse til at godkende videregivelsen af PNR-oplysningerne ved udløbet af seksmånedersperioden efter videregivelsen af disse oplysninger til passageroplysningsenheden.

• Artikel 12, stk. 1, i direktiv 2016/681, sammenholdt med artikel 7 og 8 samt artikel 52, stk. 1, i chartret om grundlæggende rettigheder, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, som fastsætter en generel dataopbevaringsperiode for PNR-oplysninger på fem år, der finder anvendelse uden forskel på alle flypassagerer, herunder på dem, med hensyn til hvilke hverken den forudgående vurdering som omhandlet i dette direktivs artikel 6, stk. 2, litra a), eventuelle kontroller foretaget i den seksmånedersperiode, der er omhandlet i direktivets artikel 12, stk. 2, eller nogen anden omstændighed har afsløret, at der foreligger objektive forhold, som kan godtgøre en risiko i forbindelse med terrorhandlinger eller grov kriminalitet, der har en – i det mindste indirekte – objektiv forbindelse med luftbefordring af passagerer.

• Direktiv 2004/82 skal fortolkes således, at det ikke finder anvendelse på flyvninger, uanset om det er ruteflyvninger eller ikke-ruteflyvninger, der foretages af et luftfartsselskab, som flyver fra en medlemsstats område og med planlagt landing på en eller flere andre medlemsstaters område og uden mellemlandinger på et tredjelands område (flyvninger inden for EU).

• EU-retten, herunder navnlig artikel 2 i direktiv 2016/681, sammenholdt med artikel 3, stk. 2, TEU, artikel 67, stk. 2, TEUF og artikel 45 i chartret om grundlæggende rettigheder, skal fortolkes således, at den er til hinder for:
  1. En national lovgivning, der, uden at den pågældende medlemsstat står over for en reel og aktuel eller forudsigelig terrortrussel, fastsætter et system, i henhold til hvilket luftfartsselskaber og rejseselskaber videregiver, og de kompetente myndigheder behandler, PNR-oplysninger vedrørende samtlige flyvninger inden for EU og transporter med andre midler inden for EU fra eller til denne medlemsstat eller gennem denne, med henblik på bekæmpelse af terrorhandlinger og grov kriminalitet. I en sådan situation skal anvendelsen af det system, der er indført ved PNR-direktivet, begrænses til at omfatte videregivelse og behandling af PNR-oplysninger for flyvninger og/eller transporter vedrørende bl.a. bestemte flyforbindelser eller rejseruter eller bestemte lufthavne, banegårde eller havne, for hvilke der foreligger oplysninger, der kan begrunde denne anvendelse. Det tilkommer den pågældende medlemsstat at udvælge de pågældende flyvninger inden for EU og de transporter, der gennemføres med andre midler inden for EU, for hvilke sådanne oplysninger foreligger, og regelmæssigt foretage en ny vurdering af denne anvendelse i lyset af udviklingen i de forhold, der har begrundet valget af de pågældende flyvninger og transporter, med henblik på at sikre, at anvendelsen af dette system på disse flyvninger og/eller disse transporter altid er begrænset til det strengt nødvendige.
  2. En national lovgivning, der fastsætter et sådant system for videregivelse og behandling af de nævnte oplysninger med henblik på at forbedre grænsekontrollen og bekæmpe ulovlig indvandring.

• EU-retten skal fortolkes således, at den er til hinder for, at en national ret tidsmæssigt begrænser virkningerne af en ulovlighedserklæring, som det i henhold til national ret påhviler denne ret at afsige med hensyn til en national lovgivning, der pålægger luftfartsselskaber, jernbanetransportører og vejtransportselskaber samt rejseselskaber at videregive PNR-oplysninger og foreskriver en behandling og opbevaring af disse oplysninger, som er uforenelig med PNR-direktivets bestemmelser, sammenholdt med artikel 3, stk. 2, TEU, artikel 67, stk. 2, TEUF og artikel 7, 8 og 45 samt artikel 52, stk. 1, i chartret om grundlæggende rettigheder. Spørgsmålet om antageligheden af beviser, der er fremskaffet på denne måde, henhører i overensstemmelse med princippet om medlemsstaternes procesautonomi under national ret, dog under overholdelse af bl.a. ækvivalensprincippet og effektivitetsprincippet.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Leistritz AG

Sagsøgte i hovedsagen:

LH

Faktum i hovedsagen:

Sagsøger var tidligere ansat som teamleder og udpeget som databeskyttelsesrådgiver hos sagsøgte, der er en privatretligt organiseret virksomhed. Sagen omhandler parternes uenighed om gyldigheden af en ordinær opsigelse af ansættelsesforholdet imellem dem.

De præjudicielle spørgsmål:

• Skal artikel 38, stk. 3, andet punktum, i forordning (EU)2016/679 (generel forordning om databeskyttelse, herefter »forordning 2016/679«) fortolkes således, at denne bestemmelse er til hinder for en bestemmelse i national lovgivning, i den foreliggende sag § 38, stk. 1 og 2, sammenholdt med § 6, stk. 4,andet punktum, i Bundesdatenschutzgesetz (den tyske forbundslov om databeskyttelse, BDSG), hvorefter den dataansvarliges ordinære opsigelse af databeskyttelsesrådgiverens ansættelsesforhold, idet den dataansvarlige er dennes arbejdsgiver, er ulovlig, uafhængigt af, om opsigelsen skyldes udførelsen af dennes opgaver?
  
  
• Såfremt det første spørgsmål besvares bekræftende: 2. Er artikel 38, stk. 3, andet punktum, i forordning 2016/679 også til hinder for en sådan bestemmelse i national lovgivning, såfremt udpegelsen af databeskyttelsesrådgiveren ikke er obligatorisk i henhold til artikel 37, stk. 1, i forordning 2016/679, men kun i henhold til medlemsstatens lovgivning?
  
  
• Såfremt det første spørgsmål besvares bekræftende: 3. Hviler artikel 38, stk. 3, andet punktum, i forordning 2016/679 på et tilstrækkeligt bemyndigelsesgrundlag, navnlig for så vidt som denne bestemmelse omfatter databeskyttelsesrådgivere, der står i et ansættelsesforhold til den dataansvarlige?

Udtalelse fra EU´s generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 27. januar 2022. 

Henset til samtlige ovenstående betragtninger foreslår Generaladvokaten Domstolen at besvare de af Bundesarbeitsgericht (forbundsdomstol i arbejdsretlige sager, Tyskland) forelagte præjudicielle spørgsmål som følger:

Principalt:

• Artikel 38, stk. 3, andet punktum, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne bestemmelse ikke er til hinder for en national ordning, som fastsætter, at en databeskyttelsesrådgivers arbejdsgiver kun kan opsige denne af en vægtig grund, selv når opsigelsen ikke er forbundet med databeskyttelsesrådgiverens udførelse af sine opgaver.

 Subsidiært, såfremt Domstolen besvarer det første spørgsmål bekræftende:

• Artikel 38, stk. 3, andet punktum, i forordning 2016/679 finder anvendelse, uden at der skal sondres i forhold til, om databeskyttelsesrådgiveren er obligatorisk udpeget i henhold til EU-retten eller i henhold til national ret.
•  Der er ved undersøgelsen af det tredje præjudicielle spørgsmål ikke blevet klarlagt noget forhold, som kan påvirke gyldigheden af artikel 38, stk. 3, andet punktum, i forordning 2016/679.

Domsafsigelse:

EU-domstolen har den 22. juni 2022 afsagt dom i sagen, hvoraf følgende fremgår:

Artikel 38, stk. 3, andet punktum, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne bestemmelse ikke er til hinder for en national lovgivning, der fastsætter, at en dataansvarlig eller en databehandler kun kan afskedige en databeskyttelsesrådgiver, der er ansat hos den pågældende, af en vægtig grund, selv om afskedigelsen ikke er forbundet med denne rådgivers udførelse af sine opgaver, for så vidt som en sådan lovgivning ikke bringer gennemførelsen af databeskyttelsesforordningens formål i fare.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

OT

Sagsøgte i hovedsagen:

Vyriausioji tarnybinės etikos komisija (den centrale etiske kommission)

Faktum i hovedsagen:

Offentligt ansatte personers pligt til i henhold til national ret at angive private interesser. Offentliggørelsen af oplysninger vedrørende erklæringer på internettet. Eventuel tilsidesættelse af retten til respekt for privatlivet.

De præjudicielle spørgsmål:

• Skal den betingelse, der er fastsat i forordningens artikel 6, stk. 1, litra e), hvorefter behandling skal være nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, henset til kravene i forordningens artikel 6, stk. 3, herunder kravet om, at medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges, og ligeledes henset til chartrets artikel 7 og 8, fortolkes således, at der i national ret ikke kan fastsættes krav om videregivelse af private interesser og disse erklæringers offentliggørelse på webstedet for den dataansvarlige, Vyriausioji tarnybinės etikos komisija (den øverste etiske kommission), hvorved alle personer med adgang til internettet gives adgang til disse oplysninger?
• Skal forbuddet mod behandling af særlige kategorier af personoplysninger i forordningens artikel 9, stk. 1, under hensyntagen til de betingelser, der er fastsat i forordningens artikel 9, stk. 2, herunder betingelsen i denne bestemmelses litra g), om at behandling skal være nødvendig af hensyn til væsentlige samfundsinteresser på grundlag af EU-retten eller medlemsstaternes nationale ret og stå i rimeligt forhold til det mål, der forfølges, skal respektere det væsentligste indhold af retten til databeskyttelse og sikre passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser, ligeledes henset til chartrets artikel 7 og 8, fortolkes således, at der i national ret ikke kan fastsættes krav om videregivelse af oplysninger vedrørende erklæringer om private interesser, der kan videregive personoplysninger, herunder oplysninger, som giver mulighed for at fastslå en persons politiske holdninger, fagforeningsmæssige tilhørsforhold, seksuelle orientering og andre personlige oplysninger, og disse oplysningers offentliggørelse på webstedet for den dataansvarlige, Vyriausioji tarnybinės etikos komisija, hvorved alle personer med adgang til internettet gives adgang til disse oplysninger?

Udtalelse fra EU´s generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 9. december 2021. Generaladvokaten konkluderer i sin udtalelse følgende:

1)      Artikel 6 og 7 i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og artikel 5 og 6 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, i medfør af hvilken en del af de personoplysninger, der er indeholdt i den erklæring om interesser, som enhver direktør for en offentlig institution, der modtager offentlige midler, er forpligtet til at indgive, skal offentliggøres på webstedet for den statslige myndighed, der har til opgave at indsamle disse erklæringer og kontrollere indholdet heraf, når en sådan foranstaltning ikke er passende og nødvendig af hensyn til gennemførelsen af målene om at forebygge interessekonflikter og korruption i den offentlige sektor, at øge garantierne for offentlige beslutningstageres hæderlighed og upartiskhed og at styrke borgernes tillid til den offentlige myndighedsudøvelse.

2)      Artikel 8, stk. 1, i direktiv 95/46 og artikel 9, stk. 1, i forordning 2016/679, sammenholdt med chartrets artikel 7 og 8, skal fortolkes således, at offentliggørelsen af indholdet af erklæringer om interesser på webstedet for den offentlige myndighed, der har til opgave at indsamle erklæringerne og kontrollere indholdet heraf, og hvorved der indirekte kan blive videregivet følsomme oplysninger, såsom i de to første af ovennævnte bestemmelser omhandlede, udgør en behandling af særlige kategorier af personoplysninger.

Domsafsigelse:

EU-domstolen har den 1. august 2022 afsagt dom i sagen, hvoraf følgende fremgår:

1)      Artikel 7, litra c), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger samt artikel 6, stk. 1, første afsnit, litra c), og artikel 6, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 7 og 8 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, der fastsætter, at den erklæring om private interesser, som enhver direktør for et organ, der modtager offentlige midler, har pligt til at indgive, skal offentliggøres online, navnlig for så vidt som denne offentliggørelse vedrører navneoplysninger om den pågældendes ægtefælle, samlever eller partner og om nærtstående personer eller bekendte til den, der afgiver en erklæring, og som vil kunne føre til en interessekonflikt, eller enhver transaktion, der er indgået i løbet af de seneste 12 måneder, og hvis værdi overstiger 3 000 EUR.

2)      Artikel 8, stk. 1, i direktiv 95/46 og artikel 9, stk. 1, i forordning 2016/679 skal fortolkes således, at offentliggørelse af personoplysninger på webstedet for den offentlige myndighed, der har til opgave at indsamle og kontrollere indholdet af erklæringer om private interesser, som indirekte kan medføre videregivelse af oplysninger om en fysisk persons seksuelle orientering, udgør en behandling af særlige kategorier af personoplysninger i disse bestemmelsers forstand.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Digi Távközlési és Szolgáltató Kft.

Sagsøgte i hovedsagen:

Nemzeti Adatvédelmi és Információszabadság Hatóság

De præjudicielle spørgsmål:

1. Skal begrebet »formålsbegrænsning« som defineret i artikel 5, stk. 1, litra b), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (herefter »forordningen«) fortolkes således, at det er i overensstemmelse hermed, at den dataansvarlige parallelt i en anden database opbevarer personoplysninger, der i øvrigt er blevet indsamlet og opbevaret med et begrænset legitimt formål, eller er det begrænsede legitime formål med dataindsamlingen, for så vidt angår den parallelle database, ikke længere gyldigt?

2. Såfremt det første præjudicielle spørgsmål besvares således, at den parallelle opbevaring af oplysninger i sig selv er uforenelig med princippet om »formålsbegrænsning«, er det da foreneligt med princippet om »opbevaringsbegrænsning«, der er fastsat i forordningens artikel 5, stk. 1, litra e), at den dataansvarlige parallelt i en anden database opbevarer personoplysninger, der i øvrigt er blevet indsamlet og opbevaret med et begrænset legitimt formål?

Udtalelse fra EU´s generaladvokat:

Generaladvokaten har den 31. marts 2022 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

• Artikel 5, stk. 1, litra b), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at det heri omhandlede princip ikke er til hinder for opbevaringen af personoplysninger, der er indsamlet og lagret lovligt, i en ekstra intern database, for så vidt som denne behandling har de samme formål som indsamlingen eller, i modsat fald, er forenelig med indsamlingens formål, hvilket det påhviler den dataansvarlige at godtgøre, herunder når den dataansvarlige foretager behandlingen for at overholde sin pligt til at sikre tilstrækkelig sikkerhed for personoplysningerne, som fastsat i den nævnte forordnings artikel 5, stk. 1, litra f).
  
  Når den nævnte behandling til et andet formål end det, som oplysningerne er indsamlet til, ikke er baseret på den registreredes samtykke eller EU-retten eller medlemsstaternes nationale ret som omhandlet i artikel 23, stk. 1, i forordning 2016/679, skal dens forenelighed fastslås på grundlag af navnlig de kriterier, der er fastsat i denne forordnings artikel 6, stk. 4.
• Artikel 5, stk. 1, litra e), i forordning 2016/679 skal fortolkes således, at det heri omhandlede princip er til hinder for, at oplysninger, der er indsamlet og lagret lovligt, opbevares på en sådan måde, at det er muligt at identificere de registrerede, i en ekstra intern database, der har til formål at afhjælpe en teknisk fejl og sikre disse oplysninger midlertidigt, i et længere tidsrum end det, der er nødvendigt til opfyldelsen af dette formål, og dermed efter at denne forstyrrelse er blevet afhjulpet, herunder når det nævnte direkte og primære formål kan knyttes til det indirekte og sekundære mål om at gennemføre leveringen af den aftalte tjeneste.«

Domsafsigelse:

EU-domstolen har den 20. oktober 2022 afsagt dom i sagen, hvoraf følgende fremgår:

• Artikel 5, stk. 1, litra b), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at princippet om »formålsbegrænsning«, der er fastsat i denne bestemmelse, ikke er til hinder for, at den dataansvarlige registrerer og opbevarer personoplysninger i en database, der er oprettet med henblik på at foretage test og korrektion af fejl, når disse oplysninger er indsamlet forinden og opbevaret i en anden database, såfremt en sådan viderebehandling er forenelig med de specifikke formål, hvortil oplysningerne oprindeligt blev indsamlet, hvilket skal afgøres på baggrund af de kriterier, der er omhandlet i artikel 6, stk. 4, i denne forordning.
• Artikel 5, stk. 1, litra e), i forordning 2016/679 skal fortolkes således, at princippet om »opbevaringsbegrænsning«, der er fastsat i denne bestemmelse, er til hinder for, at den dataansvarlige opbevarer personoplysninger i en database, der er oprettet med henblik på at foretage test og korrigere fejl, i en længere periode end den, der er nødvendig for at udføre disse test og korrigere disse fejl, når disse oplysninger er indsamlet forinden til andre formål.

Link til sagen på EU-Domstolens hjemmeside

Appellant:

Proximus NV

Indstævnt:

Gegevensbeschermingsautoriteit

De præjudicielle spørgsmål:

1. Skal artikel 12, stk. 2, i e-databeskyttelsesdirektivet 2002/58/EF, sammenholdt med dette direktivs artikel 2, litra f), og med artikel 95 i den generelle forordning om databeskyttelse, fortolkes således, at det er tilladt for en national tilsynsmyndighed et kræve et »samtykke« fra abonnenten i den generelle forordnings forstand som grundlag for at kunne offentliggøre dennes personoplysninger i offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, såvel dem der offentliggøres af operatøren selv som dem, der offentliggøres af andre udbydere, når den nationale lovgivning på området ikke bestemmer andet?

2. Skal retten til sletning i henhold artikel 17 i den generelle forordning om databeskyttelse fortolkes således, at denne ret er til hinder for, at en national tilsynsmyndighed kvalificerer en anmodning fra en abonnent om at blive fjernet fra offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, som en anmodning om sletning som omhandlet i artikel 17 i den generelle forordning om databeskyttelse?

3. Skal artikel 24 og artikel 5, stk. 2, i den generelle forordning om databeskyttelse fortolkes således, at de er til hinder for, at en national tilsynsmyndighed af det der forankrede ansvarlighedsprincip udleder, at den dataansvarlige skal træffe passende tekniske og organisatoriske forholdsregler for at det meddeles andre dataansvarlige, det vil sige udbydere af offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, som har modtaget data fra denne dataansvarlige, at den pågældende i henhold til forordningens artikel 6, jf. artikel 7, har trukket sit samtykke tilbage?

4. Skal artikel 17, stk. 2, i den generelle forordning om databeskyttelse fortolkes således, at den er til hinder for, at en national tilsynsmyndighed pålægger en udbyder af offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, som anmodes om ikke længere at offentliggøre en persons data, at træffe alle rimelige foranstaltninger til, at søgemaskiner får kendskab til denne anmodning om sletning?

Udtalelse fra EU's generaladvokat:

Generaladvokaten har den 28. april 2022 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

• I medfør af artikel 12, stk. 2, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), sammenholdt med artikel 2, litra f), deri, og artikel 95 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) er en abonnents »samtykke« som defineret i artikel 4, nr. 11), i den generelle forordning om databeskyttelse påkrævet for, at den pågældendes kontaktoplysninger kan medtages i telefonnummerfortegnelser, som en teleoperatør og/eller af andre udbydere af telefonnummerfortegnelser offentliggør.
• En abonnents anmodning om at få sine oplysninger fjernet fra telefonnummerfortegnelser udgør en udøvelse af »retten til sletning«, der er fastsat i artikel 17 i den generelle forordning om databeskyttelse.
• I medfør af artikel 5, stk. 2, og artikel 24 i den generelle forordning om databeskyttelse kan en national tilsynsmyndighed konkludere, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger til at underrette andre dataansvarlige, nemlig teleoperatøren og andre udbydere af telefonnummerfortegnelser, som har modtaget oplysninger fra den første dataansvarlige, om tilbagetrækningen af den registreredes samtykke i overensstemmelse med artikel 6 i den generelle forordning om databeskyttelse, sammenholdt med samme forordnings artikel 7.
• Artikel 17, stk. 2, i den generelle forordning om databeskyttelse er ikke til hinder for, at en national tilsynsmyndighed pålægger en udbyder af telefonnummerfortegnelser at underrette søgemaskineudbydere om anmodninger om sletning, som den har modtaget.

Domsafsigelse:

EU-domstolen har den 27. oktober 2022 afsagt dom i sagen, hvoraf følgende fremgår:

• Artikel 12, stk. 2, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor, som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med dette direktivs artikel 2, stk. 2, litra f), og artikel 95 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at der kræves »samtykke« som omhandlet i denne forordnings artikel 4, nr. 11), fra abonnenten hos en telefontjenesteoperatør, for at denne abonnents personoplysninger kan fremgå af de telefonnummerfortegnelser og nummeroplysningstjenester, som er gjort offentligt tilgængelige af andre udbydere end denne operatør, idet dette samtykke kan være givet udelukkende til den nævnte operatør eller til en af disse udbydere.
• Artikel 17 i forordning 2016/679 skal fortolkes således, at en abonnents anmodning om at få sine personoplysninger slettet fra offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester udgør udøvelse af »retten til sletning« i denne artikels forstand.
• Artikel 5, stk. 2, og artikel 24 i forordning 2016/679 skal fortolkes således, at en national tilsynsmyndighed kan kræve, at udbyderen af offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester i sin egenskab af dataansvarlig skal træffe passende tekniske og organisatoriske foranstaltninger for at underrette andre dataansvarlige – dvs. den telefontjenesteoperatør, som har sendt personoplysninger om sin abonnent til udbyderen, og de andre udbydere af offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, som den førstnævnte udbyder har fremsendt sådanne oplysninger til – om, at denne abonnent har trukket sit samtykke tilbage.
• Artikel 17, stk. 2, i forordning 2016/679 skal fortolkes således, at denne bestemmelse ikke er til hinder for, at en national tilsynsmyndighed pålægger en udbyder af offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, som en abonnent hos en telefontjenesteoperatør har anmodet om ikke længere at offentliggøre de personoplysninger, der vedrører den pågældende, at træffe »rimelige foranstaltninger« i denne bestemmelses forstand med henblik på at underrette udbydere af søgemaskiner om denne anmodning om sletning af oplysninger.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Komisia za zashtita na lichnite danni og Tsentralna isbiratelna komisia

Sagsøgte i hovedsagen:

Koalitsia »Demokratichna Bulgaria – Оbedinenie« 

De præjudicielle spørgsmål:

1. Skal artikel 2, stk. 2, litra a), i den generelle forordning om databeskyttelse 1 fortolkes således, at den er til hinder for, at denne forordning anvendes på et tilsyneladende internt anliggende såsom gennemførelsen af valg til nationalforsamlingen, hvis genstanden for beskyttelsen er personoplysninger om personer – borgere i Den Europæiske Union – og behandlingen af oplysningerne ikke er begrænset til indsamling af oplysninger i forbindelse med den pågældende aktivitet?

2. Såfremt det første spørgsmål besvares bekræftende: Fritager afslutningen af gennemførelsen af valgene til nationalforsamlingen, som tilsyneladende ikke er omfattet af EU-rettens anvendelsesområde, de ansvarlige, registerførerne og de personer, der opbevarer personoplysninger, fra deres forpligtelser i henhold til forordningen, som er det eneste middel til beskyttelse af EU-borgernes personoplysninger på EU-niveau? Afhænger forordningens anvendelighed alene af den aktivitet, hvortil personoplysningerne er blevet tilvejebragt eller indsamlet, idet dette også fører til den konklusion, at den ikke finder anvendelse senere?

3. Såfremt det første spørgsmål besvares benægtende: Er artikel 6, stk. 1, litra e), i den generelle forordning om databeskyttelse og proportionalitetsprincippet, som er forankret i 4. og 129. betragtning til forordningen, til hinder for en national lovgivning om gennemførelsen af forordningen som den omhandlede, der på forhånd udelukker og begrænser muligheden for, at der foretages nogen form for videooptagelser ved registreringen af valgresultaterne i valglokalerne, ikke tillader nogen differentiering mellem og regulering af enkelte bestanddele af registreringsprocessen og udelukker muligheden for at opfylde forordningens formål – beskyttelsen af personers personoplysninger – med andre midler?

4. Alternativt og i forbindelse med EU-rettens anvendelsesområde – ved gennemførelsen af kommunalvalg og valg til Europa-Parlamentet: Er artikel 6, stk. 1, litra e), i den generelle forordning om databeskyttelse og proportionalitetsprincippet, som er forankret i 4. og 129. betragtning til forordningen, til hinder for en national lovgivning om gennemførelsen af forordningen som den omhandlede, der på forhånd udelukker og begrænser muligheden for, at der foretages nogen form for videooptagelser ved registreringen af valgresultaterne i valglokalerne, hverken foretager eller blot tillader nogen differentiering mellem og regulering af enkelte bestanddele af registreringsprocessen og udelukker muligheden for at opfylde forordningens formål – beskyttelsen af personers personoplysninger – med andre midler?

5. Er artikel 6, stk. 1, litra e), i den generelle forordning om databeskyttelse til hinder for, at aktiviteter vedrørende kontrol af den retmæssige gennemførelse af afholdte valg og registreringen af resultaterne heraf kvalificeres som udførelse af en opgave i samfundets interesse, der berettiger et specifikt indgreb, som er underlagt proportionalitetsprincippet, vedrørende personoplysningerne om de personer, der er tilstede i valglokalerne, såfremt disse personer udfører en officiel, offentlig og lovfastsat opgave?

6. Såfremt det femte spørgsmål besvares bekræftende: Er beskyttelsen af personoplysninger til hinder for indførelsen af et nationalt retligt forbud mod indsamling og behandling af personoplysninger, som begrænser muligheden for at foretage sideløbende aktiviteter vedrørende videooptagelse af materialer, objekter eller genstande, der ikke indeholder personoplysninger, hvis registreringsprocessen potentielt indebærer en mulighed for, at der også indsamles personoplysninger ved videooptagelsen af personer, der er tilstede i valglokalet og på det pågældende tidspunkt udfører en aktivitet i samfundets interesse? 

Domsafsigelse:

EU-domstolen har den 20. oktober 2022 afsagt dom i sagen, hvoraf følgende fremgår:

• Artikel 2, stk. 2, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at behandling af personoplysninger i forbindelse med afholdelse af valg i en medlemsstat ikke er udelukket fra denne forordnings anvendelsesområde.
• Artikel 6, stk. 1, litra e), og artikel 58 i forordning 2016/679 skal fortolkes således, at disse bestemmelser ikke er til hinder for, at de kompetente myndigheder i en medlemsstat vedtager en almengyldig forvaltningsakt, der begrænser, eller i givet fald forbyder, videooptagelse ved registreringen af valgresultaterne i valglokalerne i forbindelse med valg i den berørte medlemsstat.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

TU

RE

Sagsøgte i hovedsagen:

Google LLC

Faktum i hovedsagen:

Der er tale om en anmodning om fjernelse af bestemte links til en tredjeparts online-artikler, som gør det muligt at identificere sagsøgerne og delvist er illustreret med billeder af disse, og om undladelse af at vise disse billeder som såkaldte miniaturebilleder (»thumbnails«).

De præjudicielle spørgsmål:

1. Er det foreneligt med den registreredes ret til respekt for sit privatliv (artikel 7 i Den Europæiske Unions charter om grundlæggende rettigheder, EUT C 202 af 7.6.2016, s. 389) og til beskyttelse af personoplysninger, der vedrører den pågældende (chartrets artikel 8), hvis der ved den afvejning af modstridende rettigheder og interesser i medfør af chartrets artikel 7, 8, 11 og 16, som i henhold til artikel 17, stk. 3, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, EUT L 119 af 4.5.2016, s. 1) skal foretages i forbindelse med en prøvelse af vedkommendes anmodning til den dataansvarlige for en internetsøgetjeneste om fjernelse af links, i en situation, hvor det link, som anmodningen om fjernelse vedrører, leder til indhold, som indeholder erklæringer om fakta og værdidomme baseret på erklæringer om fakta, hvis sandhed bestrides af den registrerede, og hvor indholdets lovlighed afhænger af sandhedsværdien af de deri indeholdte erklæringer om fakta, også lægges afgørende vægt på, om den registrerede på rimelig måde – f.eks. ved et fogedforbud – kan opnå retsbeskyttelse over for indholdsudbyderen og dermed nå en i det mindste foreløbig afklaring af spørgsmålet om sandhedsværdien af det indhold, som den søgemaskineansvarlige formidler?

2. Skal der i tilfælde af en anmodning om fjernelse af links til den dataansvarlige for en internetsøgetjeneste, som ved en navnesøgning søger efter billeder af fysiske personer, som tredjeparter har lagt ud på internettet i sammenhæng med personens navn, og som viser de fundne billeder som miniaturebilleder (»thumbnails«) i sin resultatoversigt, i forbindelse med den afvejning af modstridende rettigheder og interesser i medfør af chartrets artikel 7, 8, 11 og 16, som skal foretages i henhold til artikel 12, litra b), og artikel 14, stk. 1, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesdirektivet, EFT L 281 af 23.11.1995, s. 31) / artikel 17, stk. 1, litra a), i den generelle forordning om databeskyttelse tages afgørende hensyn til konteksten for tredjepartens oprindelige offentliggørelse, også når der ved søgemaskinens visning af miniaturebilledet ganske vist linkes til tredjepartens webside, men denne ikke konkret nævnes, og internetsøgetjenesten ikke også viser den kontekst, der fremgår af websiden?

Udtalelse fra EU´s generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 7. april 2022. Generaladvokaten konkluderer i sin udtalelse følgende:

• Artikel 17, stk. 3, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at der ved den afvejning af de i chartrets artikel 7, 8, 11 og 16 sikrede modstridende grundlæggende rettigheder, som skal foretages i forbindelse med en prøvelse af en anmodning til søgemaskineudbyderen om fjernelse baseret på, at oplysningerne i det indekserede indhold, angiveligt er urigtige, ikke kan lægges afgørende vægt på, om den registrerede på rimelig måde – f.eks. ved et fogedforbud – kan opnå retsbeskyttelse over for indholdsudbyderen. Inden for rammerne af en sådan anmodning påhviler det den registrerede at fremlægge en vis evidens for urigtigheden af det indhold, som anmodes fjernet, såfremt dette, henset til bl.a. arten af de pågældende oplysninger, ikke viser sig at være åbenlyst umuligt eller uforholdsmæssigt vanskeligt. Det påhviler søgemaskineudbyderen at fastlægge, om de behandlede oplysninger reelt er urigtige, på grundlag af de undersøgelser, som henhører under dennes konkrete muligheder, bl.a. ved om muligt at henvende sig til udgiveren af den indekserede webside. Såfremt det under de konkrete omstændigheder synes at være hensigtsmæssigt for at undgå en uoprettelig skade for den berørte person, kan søgemaskineudbyderen suspendere indekseringen midlertidigt eller angive i søgeresultaterne, at rigtigheden af visse af oplysningerne i det indhold, hvortil det omhandlede link henviser, er bestridt.
• Artikel 12, litra b), og artikel 14, stk. 1, litra a), i direktiv 95/46 samt artikel 17, stk. 3, litra a), i forordning 2016/679 skal fortolkes således, at der ved den afvejning af de i chartrets artikel 7, 8, 11 og 16 sikrede modstridende grundlæggende rettigheder, som skal foretages i forbindelse med en prøvelse af en anmodning til en søgemaskineudbyder om fjernelse fra resultaterne af en billedsøgning på en fysisk persons navn af billeder af denne person, som vises i form af miniaturebilleder, ikke skal tages hensyn til konteksten for den offentliggørelse på internettet, hvor ovennævnte billeder oprindeligt er blevet vist.

Domsafsigelse:

EU-domstolen har den 8. december 2022 afsagt dom i sagen, hvoraf følgende fremgår:

• Artikel 17, stk. 3, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at i forbindelse med afvejningen af de rettigheder, der er omhandlet i artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder på den ene side, og de rettigheder, der er omhandlet i artikel 11 i chartret om grundlæggende rettigheder på den anden side, med henblik på behandlingen af en anmodning til en søgemaskineudbyder om fjernelse af et link fra listen over søgeresultater til indhold, der indeholder udsagn, som den person, der fremsætter anmodningen, finder urigtige, er denne fjernelse af links betinget af, at spørgsmålet om rigtigheden af det indhold, der linkes til, er blevet afgjort i det mindste foreløbigt i et søgsmål anlagt af den registrerede mod udbyderen af indholdet.
• Artikel 12, litra b), og artikel 14, første afsnit, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og artikel 17, stk. 3, litra a), i forordning 2016/679 skal fortolkes således, at retten i forbindelse med den afvejning, der skal foretages mellem de rettigheder, der er omhandlet i artikel 7 og 8 i chartret om grundlæggende rettigheder på den ene side, og de rettigheder, der er omhandlet i artikel 11 i chartret om grundlæggende rettigheder på den anden side, med henblik på behandlingen af en anmodning til en søgemaskineudbyder om at slette fotografier, der vises som miniaturebilleder af en fysisk person, fra resultaterne af en billedsøgning, der er foretaget på grundlag af denne persons navn, skal tage hensyn til disse fotografiers informative værdi uafhængigt af sammenhængen for deres offentliggørelse på det websted, hvorfra de er hentet, samtidig med at der tages hensyn til alle de tekstelementer, som direkte ledsager visningen af disse fotografier i søgeresultaterne, og som vil kunne kaste lys over deres informative værdi.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

VS

Sagsøgte i hovedsagen:

Inspektor v Inspektorata kam Visshia sadeben savet

De præjudicielle spørgsmål:

1. Skal artikel 1, stk. 1, i [direktiv 2016/680] fortolkes således, at begreberne »forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger« i forbindelse med angivelsen af formålet opregnes som aspekter af et generelt formål?

2. Finder bestemmelserne i [forordning 2016/679] anvendelse på Republikken Bulgariens anklagemyndighed, henset til det forhold, at oplysninger om en person, som anklagemyndigheden i sin egenskab af »dataansvarlig« som omhandlet i artikel 3, nr. 8), i [direktiv 2016/680] har indsamlet til en aktmappe om denne person med henblik på at undersøge, om der er grundlag for at antage, at der foreligger en strafbar handling, er blevet anvendt som en del af anklagemyndighedens retlige forsvar som part i en civil sag – idet det anføres, at denne aktmappe er blevet oprettet, eller idet dens indhold fremlægges?-

- Såfremt dette spørgsmål besvares bekræftende: Skal udtrykket »legitim interesse« i artikel 6, stk. 1, litra f), i [forordning 2016/679] fortolkes således, at det omfatter en fuldstændig eller delvis videregivelse af oplysninger om en person, som er blevet indsamlet af anklagemyndigheden til en aktmappe om denne person med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger, når denne videregivelse sker som led i den dataansvarliges forsvar som part i en civil sag, og er den registreredes samtykke udelukket?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 19. maj 2022 afgivet en udtalelse i sagen, hvoraf følgende fremgår:

• Artikel 4, stk. 2, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA skal fortolkes således, at oplysninger, der er indsamlet i forbindelse med en straffesag fra en person i dennes egenskab af formodet offer for en strafbar handling, behandles til samme formål som det, hvortil de blev indsamlet, i det tilfælde, hvor den pågældende person efterfølgende sigtes i samme straffesag.
• Artikel 9, stk. 1, i direktiv 2016/680 skal fortolkes således, at Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF finder anvendelse på anklagemyndighedens anvendelse af oplysninger, der er indhentet i straffesager, til brug for dens forsvar i civile sager.
• Videregivelse af personoplysninger, der er indsamlet under en straffesag, og som forud for videregivelsen er blevet registreret, opbevaret og konsulteret med henblik på anklagemyndighedens forsvar i en civil sag, hvori denne myndighed er sagsøgt med krav om erstatning for dennes adfærd under udøvelsen af sine opgaver, udgør »behandling af personoplysninger« som omhandlet i artikel 4, stk. 1, i forordning 2016/679.
• Lovligheden af en sådan behandling kan i princippet være baseret på artikel 6, stk. 1, litra e), i forordning 2016/679.

Domsafsigelse:

EU-domstolen har den 8. december 2022 afsagt dom i sagen, hvoraf følgende fremgår:

• Artikel 1, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA, sammenholdt med dette direktivs artikel 4, stk. 2, og artikel 6 skal fortolkes således, at en behandling af personoplysninger opfylder et andet formål end det, hvortil disse oplysninger er blevet indsamlet, når indsamlingen af sådanne oplysninger er foretaget med henblik på afsløring af en forbrydelse og efterforskning af denne, hvorimod den nævnte behandling foretages med henblik på at retsforfølge en person efter denne strafferetlige efterforskning, uanset den omstændighed, at personen blev betragtet som forurettet på tidspunktet for indsamlingen, og en sådan behandling er tilladt i medfør af dette direktiv artikel 4, stk. 2, for så vidt som den opfylder de betingelser, der er fastsat i denne bestemmelse.
• Artikel 3, stk. 8, og artikel 9, stk. 1 og 2, i direktiv 2016/680, samt artikel 2, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne forordning finder anvendelse på den behandling af personoplysninger, som anklagemyndigheden i en medlemsstat foretager med henblik på at udøve sin ret til forsvar i forbindelse med et erstatningssøgsmål mod staten, når den dels oplyser den kompetente ret om, at der findes sagsakter vedrørende en fysisk person, der er part i dette søgsmål, hvilke sagsakter er blevet oprettet med henblik på de formål, der er fastsat i artikel 1, stk. 1, i direktiv 2016/680, dels fremsender disse sagsakter til denne ret.
• Artikel 6, stk. 1, i forordning 2016/679 skal fortolkes således, at i det tilfælde, hvor et erstatningssøgsmål mod staten er baseret på de overtrædelser, som anklagemyndigheden er blevet foreholdt i forbindelse med udøvelsen af sine strafferetlige opgaver, kan en sådan behandling af personoplysninger anses for lovlig, hvis den er nødvendig for udførelsen af en opgave i samfundets interesse som omhandlet i denne forordnings artikel 6, stk. 1, første afsnit, litra e), med henblik på at beskytte statens retlige og økonomiske interesser, som i henhold til national ret er blevet overdraget til anklagemyndigheden i forbindelse med denne procedure, for så vidt som de nævnte behandlinger af personoplysninger opfylder alle de gældende krav i den nævnte forordning.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

BE

Sagsøgte i hovedsagen:

Nemzeti Adatvédelmi és Információszabadság Hatóság

De præjudicielle spørgsmål:

1. Skal artikel 77, stk. 1, og artikel 79, stk. 1, i [forordning 2016/679] fortolkes således, at den administrative klageadgang, der er fastlagt i artikel 77, udgør et instrument til udøvelse af offentlige rettigheder, mens den søgsmålsret, der er fastlagt i artikel 79, udgør et instrument til udøvelse af private rettigheder? Såfremt dette spørgsmål besvares bekræftende, følger det da deraf, at tilsynsmyndigheden, som det påhviler at påkende administrative klager, har den overordnede kompetence til at fastslå, at der foreligger en overtrædelse?

2. Såfremt den registrerede – som er af den opfattelse, at behandlingen af personoplysninger, som vedrører den pågældende, overtræder forordning 2016/679 – på samme tid udøver retten til at indgive en klage i henhold til denne forordnings artikel 77, stk. 1, og søgsmålsretten i henhold til samme forordnings artikel 79, stk. 1, kan det da fastslås, at en fortolkning, der er i overensstemmelse med artikel 47 i chartret om grundlæggende rettigheder, indebærer:

1. at tilsynsmyndigheden og retten uafhængigt af hinanden er forpligtede til at undersøge, om der foreligger en overtrædelse, og at de derfor kan nå til uoverensstemmende resultater, eller
2. at tilsynsmyndighedens afgørelse har forrang, for så vidt som den vedrører vurderingen af, om der er begået en overtrædelse, i betragtning af de kompetencer, der er omhandlet i artikel 51, stk. 1, i forordning 2016/679, og de beføjelser, der er tillagt ved samme forordnings artikel 58, stk. 2, litra b) og d)?

3. Skal tilsynsmyndighedens uafhængighed, som er sikret ved artikel 51, stk. 1, og artikel 52, stk. 1, i forordning 2016/679, fortolkes således, at den pågældende myndighed ved behandlingen og afgørelsen af den klageprocedure, der er fastlagt i artikel 77, er uafhængig af, hvad den kompetente ret fastslår ved endelig dom i henhold til artikel 79, således at den pågældende myndighed kan vedtage en uoverensstemmende afgørelse med hensyn til den samme hævdede overtrædelse?

Udtalelse fra EU's generaladvokat:

Generaladvokaten har den 8. september 2022 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

• Artikel 78, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 47 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at såfremt en registreret gør brug af de retsmidler, der er fastsat i forordningens artikel 77, stk. 1, og artikel 79, stk. 1, er den ret, der skal træffe afgørelse om en klage over en tilsynsmyndigheds afgørelse, ikke bundet af en afgørelse fra en ret, ved hvilken der er anlagt sag i henhold til sidstnævnte bestemmelse, med hensyn til spørgsmålet om, hvorvidt der foreligger en krænkelse af den registreredes rettigheder, som tilkommer vedkommende i henhold til denne forordning.
• Artikel 77, stk. 1, og artikel 79, stk. 1, i forordning 2016/679 skal fortolkes således, at de retsmidler, der er fastsat deri, kan anvendes parallelt, uden at det ene har prioritet frem for det andet i henhold til denne forordning.
• I mangel af EU-retlige bestemmelser om samspillet mellem de retsmidler, der er fastsat i artikel 77-79 i forordning 2016/679, påhviler det medlemsstaterne i medfør af princippet om procesautonomi og under hensynstagen til såvel formålet om at sikre et højt og ensartet beskyttelsesniveau for de rettigheder, der er tillagt ved forordningen, som retten til effektive retsmidler, der er fastsat i artikel 47 i Den Europæiske Unions charter om grundlæggende rettigheder, at indføre de nødvendige mekanismer på nationalt plan til at samordne disse retsmidler for at undgå, at der i den samme medlemsstat kan foreligge modstridende afgørelser om samme behandling af personoplysninger.

Domsafsigelse:

EU-domstolen har den 12. januar 2023 afsagt dom i sagen, hvoraf følgende fremgår:

• Henset til samtlige ovenstående betragtninger (for disse betragtninger følg linket til sagen på EU-domstolens hjemmeside nedenfor) skal de forelagte spørgsmål besvares med, at artikel 77, stk. 1, og artikel 78, stk. 1, samt artikel 79, stk. 1, i forordning 2016/679, sammenholdt med chartrets artikel 47, skal fortolkes således, at disse bestemmelser tillader en samtidig og uafhængig udøvelse af de retsmidler, der er fastsat dels i dennes artikel 77, stk. 1, og dennes artikel 78, stk. 1, dels i dennes artikel 79, stk. 1. Det tilkommer medlemsstaterne i overensstemmelse med princippet om procesautonomi at fastsætte de nærmere regler for forholdet mellem disse retsmidler, således at den effektive beskyttelse af de rettigheder, der sikres ved denne forordning, og den konsekvente og ensartede anvendelse af sidstnævnte forordnings bestemmelser tillige med adgangen til effektive retsmidler for en domstol, jf. chartrets artikel 47, sikres.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

RW

Sagsøgte i hovedsagen:

Österreichische Post AG

De præjudicielle spørgsmål:

Skal artikel 15, stk. 1, litra c), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, EUT 2016, L 119 […], s. 1 […]) fortolkes således, at retten til adgang er begrænset til oplysninger om kategorier af modtagere, såfremt konkrete modtagere ved planlagte videregivelser endnu ikke ligger fast, men at denne ret nødvendigvis også omfatter modtagere af disse videregivelser, når der allerede er blevet videregivet oplysninger?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 9. juni 2022 afgivet en udtalelse i sagen, hvoraf følgende bl.a. fremgår:

• Artikel 15, stk. 1, litra c), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den registreredes ret til indsigt i henhold til forordningen nødvendigvis omfatter en angivelse af de specifikke modtagere af den pågældendes personoplysninger, der videregives; hvis den registrerede anmoder herom. Denne ret til indsigt kan begrænses til blot at omfatte en angivelse af kategorier af modtagere, når det er materielt umuligt at identificere de specifikke modtagere af personoplysninger om den registrerede, der videregives, eller når den dataansvarlige godtgør, at den registreredes anmodninger er åbenbart grundløse eller overdrevne som omhandlet artikel 12, stk. 5, i forordning (EU) 2016/679.

Domsafsigelse:

EU-domstolen har den 12. januar 2023 afsagt dom i sagen, hvoraf følgende fremgår:

• Databeskyttelsesforordningens artikel 15, stk. 1, litra c), skal fortolkes således, at den ret, som den registrerede i medfør af denne bestemmelse har til indsigt i personoplysninger vedrørende den pågældende, indebærer, at den dataansvarlige skal oplyse den registrerede om modtageres konkrete identitet, når personoplysningerne er eller vil blive videregivet til disse modtagere, medmindre det ikke er muligt at identificere de pågældende modtagere, eller den dataansvarlige ikke er i stand til at godtgøre, at den registreredes anmodning er åbenbart grundløs eller overdreven som omhandlet i databeskyttelsesforordningens artikel 12, stk. 5, idet den dataansvarlige i givet fald kan nøjes med alene at oplyse den registrerede om kategorierne af de omhandlede modtagere.

Link til sagen på EU-Domstolens hjemmeside 

Sagsøger i hovedsagen:

X-FAB Dresden GmbH & Co. KG

Sagsøgte i hovedsagen:

FC

De præjudicielle spørgsmål:

1. Skal artikel 38, stk. 3, andet punktum, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF] (generel forordning om databeskyttelse herefter: »databeskyttelsesforordningen«) fortolkes således, at den er til hinder for en bestemmelse i national lovgivning, som § 38, stk. 1 og 2, sammenholdt med § 6, stk. 4, første punktum, i Bundesdatenschutzgesetz (databeskyttelsesloven), der finder anvendelse i den foreliggende sag, i henhold til hvilken afskedigelsen af databeskyttelsesrådgiveren, som foretages af den dataansvarlige i dennes egenskab af arbejdsgiver for databeskyttelsesrådgiveren, sker under henvisning til betingelserne i databeskyttelsesforordningen uafhængigt af, om databeskyttelsesrådgiveren afskediges for at udføre sine opgaver?

Såfremt det første spørgsmål besvares bekræftende:

2. Er databeskyttelsesforordningens artikel 38, stk. 3, andet punktum, også til hinder for en sådan bestemmelse i national lovgivning, hvis der ikke er pligt til at udpege en databeskyttelsesrådgiver i henhold til databeskyttelsesforordningens artikel 37, stk. 1, men alene i henhold til medlemsstatens nationale lovgivning?

Såfremt det første spørgsmål besvares bekræftende:

3. Er databeskyttelsesforordningens artikel 38, stk. 3, andet punktum, baseret på et tilstrækkeligt retsgrundlag, navnlig hvis bestemmelsen omfatter databeskyttelsesrådgivere, som indgår i et ansættelsesforhold med den dataansvarlige?

Såfremt det første spørgsmål besvares benægtende:

4. Er der tale om en interessekonflikt som omhandlet i databeskyttelsesforordningens artikel 38, stk. 6, andet punktum, hvis databeskyttelsesrådgiveren samtidig varetager hvervet som formand for den dataansvarliges samarbejdsudvalg? Forudsætter antagelsen af en sådan interessekonflikt en særlig opgavefordeling i samarbejdsudvalget?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger ikke.

Domsafsigelse:

EU-domstolen har den 9. februar 2023 afsagt dom i sagen, hvoraf følgende fremgår:

• Artikel 38, stk. 3, andet punktum, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne bestemmelse ikke er til hinder for en national lovgivning, der fastsætter, at en dataansvarlig eller en databehandler kun kan fjerne en databeskyttelsesrådgiver, der er ansat hos den pågældende, fra stillingen af en vægtig grund, selv om fjernelsen ikke er forbundet med denne databeskyttelsesrådgivers udførelse af sine opgaver, for så vidt som en sådan lovgivning ikke bringer gennemførelsen af databeskyttelsesforordningens formål i fare.
• Artikel 38, stk. 6, i forordning 2016/679 skal fortolkes således, at der kan foreligge en »interessekonflikt« som omhandlet i denne bestemmelse, når en databeskyttelsesrådgiver får overdraget andre opgaver eller pligter, der medfører, at vedkommende kan fastlægge formålene med og hjælpemidlerne til behandlingen af personoplysninger hos den dataansvarlige eller databehandleren, hvilket det tilkommer den nationale retsinstans at afgøre fra sag til sag på grundlag af en vurdering af alle relevante omstændigheder, navnlig den dataansvarliges eller databehandlerens organisatoriske struktur og i lyset af alle gældende regler, herunder disse sidstnævntes eventuelle interne regler.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

Norra Stockholm Bygg AB

Sagsøgte i hovedsagen:

Per Nycander AB

De præjudicielle spørgsmål:

1. Stiller databeskyttelsesforordningens artikel 6, stk. 3 og 4, også krav til national processuel lovgivning om editionspligt?

2. Såfremt det første spørgsmål besvares bekræftende, indebærer databeskyttelsesforordningen da, at der ved bedømmelse af spørgsmålet, om der skal træffes bestemmelse om edition af et dokument, der indeholder personoplysninger, også skal tages hensyn til de registreredes interesser? Stiller EU-retten i dette tilfælde nogen krav til den måde, hvorpå denne bedømmelse nærmere skal foretages?

Udtalelse fra EU´s generaladvokat:

Generaladvokaten har den 6. oktober 2022 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

• Artikel 6, stk. 3 og 4, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) stiller krav til national processuel lovgivning om editionspligt, når edition omfatter behandling af personoplysninger. Den nationale processuelle lovgivning skal i sådanne tilfælde give mulighed for, at de registreredes interesser indgår i vurderingen. Interesserne sikres, hvis de nationale retter overholder reglerne i forordning 2016/679, når de i en konkret sag træffer afgørelse om edition af bevismateriale.
• Når en national ret under en civil retssag træffer afgørelse om edition, der medfører behandling af personoplysninger, skal den nationale ret foretage en proportionalitetsvurdering, hvorunder retten tager hensyn til interesserne hos de registrerede, hvis personoplysninger behandles, og afvejer disser interesser med interesserne hos retssagens parter i relation til bevisførelse. Proportionalitetsvurderingen skal udføres på grundlag af de principper, der er oplistet i artikel 5 i forordningen 2016/679, herunder princippet om dataminimering.

Domsafsigelse:

EU-domstolen har den 2. marts 2023 afsagt dom i sagen, hvoraf følgende fremgår:

• Artikel 6, stk. 3 og 4, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at inden for rammerne af en civilretlig procedure finder disse bestemmelser anvendelse på edition af et personaleregister, der indeholder tredjemænds personoplysninger, der hovedsageligt er indsamlet med henblik på skattekontrol.
• Artikel 5 og 6 i forordning 2016/679 skal fortolkes således, at en national retsinstans ved vurderingen af spørgsmålet om edition af et dokument, der indeholder personoplysninger, skal tage hensyn til de berørte personers interesser og foretage en afvejning af de pågældende interesser på grundlag af omstændighederne i hver enkelt sag, hvilken type procedure der er tale om, og under hensyntagen til de krav, der følger af proportionalitetsprincippet, og navnlig de krav, der følger af princippet om dataminimering i denne forordnings artikel 5, stk. 1, litra c).

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Deutsche Wohnen SE

Sagsøgte i hovedsagen:

Staatsanwaltschaft Berlin

De præjudicielle spørgsmål:

1. Skal artikel 83, stk. 4-6, i databeskyttelsesforordningen fortolkes således, at den inkorporerer det funktionelle virksomhedsbegreb, som findes i artikel 101 TEUF og 102 TEUF, og princippet om den funktionelle enhed i national ret med den konsekvens, at en bødesag under udvidelse af princippet om den juridiske enhed, som ligger til grund for § 30 i Gesetz über Ordnungswidrigkeiten (lov om administrative forseelser), kan føres direkte mod en virksomhed, og bødepålæggelsen ikke kræver konstatering af en overtrædelse, som er begået af en fysisk og identificeret person, eventuelt under opfyldelse af alle subjektive og objektive kriterier for overtrædelsen?

2. Såfremt det første spørgsmål besvares bekræftende: Skal databeskyttelsesforordningens artikel 83, stk. 4-6, fortolkes således, at virksomheden skal have begået overtrædelsen, som er formidlet gennem en medarbejder, culpøst (jf. artikel 23 i Rådets forordning (EF) nr. 1/2003 ^[(4)^] […]), eller er det i princippet tilstrækkeligt for at pålægge virksomheden en bøde, at en objektiv tilsidesættelse af en pligt kan tilregnes denne (»strict liability«)?«

Udtalelse fra EU´s generaladvokat:

Generaladvokaten har den 27. april 2023 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

• »Artikel 58, stk. 2, litra i), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med samme forordnings artikel 4, nr. 7), og artikel 83,skal fortolkes således, at pålæggelse af en administrativ bøde til en juridisk person, der er ansvarlig for behandlingen af personoplysninger, ikke er betinget af, at der forud herfor konstateres en overtrædelse, der er begået af en eller flere individuelle fysiske personer, som er under den pågældende juridiske persons tjeneste
• De administrative bøder, der kan pålægges i henhold til forordning 2016/679, forudsætter, at den adfærd, der har udgjort den sanktionerede overtrædelse, har været af forsætlig eller uagtsom karakter.«

Domsafsigelse:

EU-domstolen har den 5. december 2023 afsagt dom i sagen, hvoraf følgende fremgår:

• Artikel 58, stk. 2, litra i), og artikel 83, stk. 1-6, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, hvorefter en administrativ bøde kun kan pålægges en juridisk person i dennes egenskab af dataansvarlig for en overtrædelse som omhandlet i artikel 83, stk. 4-6, for så vidt som denne overtrædelse forud herfor er blevet tilregnet en identificeret fysisk person.
  
  
• Artikel 83 i forordning 2016/679 skal fortolkes således, at en administrativ bøde kun kan pålægges i henhold til denne bestemmelse, hvis det godtgøres, at den dataansvarlige, som både er en juridisk person og en virksomhed, forsætligt eller uagtsomt har begået en overtrædelse som omhandlet i denne artikels stk. 4-6.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos 

Sagsøgte i hovedsagen:

Valstybinė duomenų apsaugos inspekcija 

De præjudicielle spørgsmål:

1. Skal begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), fortolkes således, at en person, der har til hensigt igennem et offentligt udbud at erhverve et værktøj til dataindsamling (mobilapplikation), også skal anses som dataansvarlig, selv om en offentlig indkøbskontrakt ikke er blev indgået, og det skabte produkt (mobilapplikation), til købet af hvilket et offentligt udbud var blevet anvendt, ikke er blevet overdraget?
2. Skal begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), fortolkes således, at en ordregivende myndighed, som ikke har erhvervet ejendomsretten til det skabte it-produkt, og som ikke har taget det i besiddelse, men hvor den endelige version af den skabte applikation indeholder links eller forbindelser til denne offentlige enhed og/eller hvor fortrolighedserklæringen, som ikke var officielt godkendt eller anerkendt af den pågældende offentlige myndighed, angav denne offentlige enhed som dataansvarlig, også skal anses for at være dataansvarlig? 
   
   
3. Skal begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), fortolkes således, at en person, der ikke har foretaget nogen egentlig databehandling som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), og/eller ikke har givet en klar tilladelse/samtykke til udførelsen af sådanne behandlinger, også skal anses for at være dataansvarlig? Har det betydning for fortolkningen af begrebet »dataansvarlig«, at det it-produkt, som blev anvendt til behandlingen af personoplysninger, blev udviklet i overensstemmelse med den ordregivende myndigheds formulering af opgaven?
   
   
4. Såfremt en fastlæggelse af de faktiske databehandlingsaktiviteter er relevant for fortolkningen af begrebet »dataansvarlig«, skal definitionen af »behandling« af personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), da fortolkes således, at den også omfatter situationer, hvor kopier af personoplysninger undervejs i forløbet omkring erhvervelsen af en mobilapplikation er blevet anvendt til testning af IT-systemer?
   
   
5. Skal fælles dataansvar i henhold til databeskyttelsesforordningens artikel 4, nr. 7), og artikel 26, stk. 1, fortolkes således, at det alene omfatter bevidst koordinerede handlinger i forbindelse med fastlæggelsen af formålet med og hjælpemidlerne til behandlingen af personoplysninger, eller kan dette begreb også fortolkes således, at fælles dataansvar også omfatter situationer, hvor der ikke foreligger en klar »ordning« vedrørende formålet med og hjælpemidlerne til databehandling og/eller handlinger ikke er koordineret mellem parterne? Er omstændighederne vedrørende det stadie i udviklingen af hjælpemidlerne til behandlingen af personoplysninger (IT-applikation) hvor personoplysninger blev behandlet og formålet med udviklingen af applikationen af juridisk betydning for fortolkningen af begrebet fælles dataansvar? Skal en »ordning« mellem fælles dataansvarlige forstås som udelukkende værende en klar og defineret fastlæggelse af de vilkår, som regulerer det fælles dataansvar?
   
   
6. Skal bestemmelsen i databeskyttelsesforordningens artikel 83, stk. 1, hvorefter »administrative bøder skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning«, fortolkes således, at den også omfatter tilfælde, hvor den »dataansvarlige« pålægges ansvar, når udvikleren i forbindelse med udviklingen af et IT-produkt også behandler personoplysninger, og fører de uretmæssige behandlinger af personoplysninger foretaget af databehandleren altid automatisk til, at den dataansvarlige ifalder et juridisk ansvar? Skal denne bestemmelse fortolkes således, at den også omfatter tilfælde, hvor den dataansvarlige har et objektivt ansvar?

Udtalelse fra EU's generaladvokat

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 4. maj 2023. Generaladvokaten konkluderer i sin udtalelse følgende:

1. Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en enhed, der iværksætter udviklingen af en mobilapplikation, kun kan anses for at være den »dataansvarlige« som omhandlet i denne bestemmelse, når der foreligger tilstrækkelige elementer af faktuel, snarere end af formel, art, på baggrund af hvilke nationale retter kan fastslå, at den pågældende enhed udøvede faktisk indflydelse med hensyn til både »formålene med og hjælpemidlerne ved« denne behandling og faktisk gav samtykke til offentliggørelsen af mobilapplikationen og dermed til behandlingen af personoplysninger.
   
   
2. Denne bestemmelse, sammenholdt med samme forordnings artikel 26, stk. 1 skal fortolkes således, at to betingelser skal være opfyldt for, at to eller flere dataansvarlige kan anses for at være »fælles dataansvarlige«: For det første skal hver af de enkelte fælles dataansvarlige selvstændigt opfylde de kriterier, der er opregnet i definitionen af »dataansvarlig« i denne forordnings artikel 4, nr. 7), og for det andet skal de dataansvarliges indflydelse på »formålene med og hjælpemidlerne til« behandling udøves i fællesskab. Desuden kan en manglende aftale eller endda manglende koordinering mellem de dataansvarlige i sig selv ikke være til hinder for, at disse anses for at være »fælles dataansvarlige« som omhandlet i disse bestemmelser.
   
   
3. Denne forordnings artikel 4, nr. 2), skal fortolkes således, at begrebet »behandling« omfatter en situation, hvor personoplysninger anvendes til testning af en mobilapplikation, medmindre sådanne oplysninger er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres. Spørgsmålet, om personoplysninger indsamles med henblik på at teste de IT-systemer, der er integreret i en mobilapplikation, eller med henblik på andre formål, har ingen betydning for spørgsmålet, om den pågældende aktivitet skal anses for at udgøre »behandling«.
   
   
4. Artikel 83 i forordning 2016/679 skal fortolkes således, at der kun kan pålægges en bøde med henblik på at pålægge sanktioner for en overtrædelse af denne forordnings regler, som er blevet begået »forsætligt eller uagtsomt«. Desuden kan en dataansvarlig blive pålagt en bøde i henhold til denne bestemmelse, selv om den ulovlige behandling foretages af en databehandler. Denne mulighed foreligger, så længe databehandleren kan anses for at have handlet på den dataansvarliges vegne. Hvis databehandleren behandler personoplysninger uden at følge eller i strid med den dataansvarliges lovlige instrukser og bruger de modtagne oplysninger til egne formål, og det står klart, at parterne ikke er »fælles dataansvarlige« i henhold til artikel 4, nr. 7), og artikel 21, stk. 6, i forordning 2016/679, kan den dataansvarlige imidlertid ikke pålægges en bøde i henhold til denne forordnings artikel 83 i forbindelse med den ulovlige behandling, der er blevet foretaget.«

Domsafsigelse

EU-domstolen har den 5. december 2023 afsagt dom i sagen, hvoraf følgende fremgår:

1. Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en enhed, der har givet en virksomhed til opgave at udvikle en IT-mobilapplikation, og som i denne forbindelse har deltaget i fastlæggelsen af formålene med og hjælpemidlerne til den behandling af personoplysninger, der foretages ved hjælp af denne applikation, kan anses for at være dataansvarlig som omhandlet i denne bestemmelse, selv om denne enhed ikke selv har foretaget behandling af oplysningerne, ikke udtrykkeligt har givet samtykke til gennemførelsen af de konkrete aktiviteter i forbindelse med en sådan behandling eller til overladelsen af denne mobilapplikation til offentligheden og ikke har erhvervet mobilapplikationen, medmindre enheden før denne overladelse til offentligheden udtrykkeligt har gjort indsigelse mod denne og mod den behandling af personoplysninger, der er fulgt heraf.
   
   
2. Artikel 4, nr. 7), og artikel 26, stk. 1, i forordning 2016/679 skal fortolkes således, at kvalificering af to enheder som fælles dataansvarlige hverken forudsætter, at der foreligger en ordning mellem disse enheder om fastlæggelse af formålene med og hjælpemidlerne til behandling af de omhandlede personoplysninger, eller at der foreligger en ordning, der fastlægger de vilkår, der regulerer det fælles dataansvar.
   
   
3. Artikel 4, nr. 2), i forordning 2016/679 skal fortolkes således, at brug af personoplysninger til IT-testning af en mobilapplikation udgør en »behandling« som omhandlet i denne bestemmelse, medmindre oplysningerne er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres, eller der er tale om fiktive oplysninger, som ikke vedrører en eksisterende fysisk person.
   
   
4. Artikel 83 i forordning 2016/679 skal fortolkes således dels, at en administrativ bøde kun kan pålægges i henhold til denne bestemmelse, hvis det godtgøres, at den dataansvarlige forsætligt eller uagtsomt har begået en overtrædelse som omhandlet i denne artikels stk. 4-6, dels at en sådan bøde kan pålægges en dataansvarlig med hensyn til aktiviteter til behandling af personoplysninger, der er gennemført af en databehandler på den dataansvarliges vegne, medmindre databehandleren i forbindelse med disse aktiviteter har behandlet oplysningerne til egne formål eller har behandlet dem på en måde, der er uforenelig med rammerne eller de nærmere regler for behandlingen, således som fastsat af den dataansvarlige, eller på en sådan måde, at det ikke med rimelighed kan antages, at den dataansvarlige har givet sit samtykke hertil.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

OQ

Sagsøgte i hovedsagen:

Delstaten Hessen

De præjudicielle spørgsmål:

1. Skal artikel 22, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, EUT 2016, L 119, s. 1[, berigtiget i EUT 2018, L 127, s 2]) fortolkes således, at allerede en automatisk udarbejdelse af en sandsynlighedsværdi om en registrerets evne til at tilbagebetale et lån udgør en afgørelse, der alene er baseret på automatisk behandling, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende, hvis denne værdi, som er beregnet ved hjælp af personoplysninger om den pågældende, af den dataansvarlige videregives til en dataansvarlig tredjemand, og denne tredjemand anvender denne værdi som det afgørende grundlag for sin beslutning om at indgå, gennemføre eller afslutte et aftaleforhold med den pågældende?

2. Såfremt det første spørgsmål besvares benægtende: Skal artikel 6, stk. 1, og artikel 22 i forordning (EU) 2016/679 (generel forordning om databeskyttelse) fortolkes således, at de er til hinder for en national bestemmelse, hvorefter anvendelsen af en sandsynlighedsværdi – i det foreliggende tilfælde vedrørende en fysisk persons betalingsevne og betalingsvilje under inddragelse af oplysninger om fordringer – vedrørende en bestemt fremtidig adfærd for en fysisk person med henblik på beslutningen om at indgå, gennemføre eller afslutte et aftaleforhold med denne person (scoring) kun er lovlig, hvis visse yderligere betingelser, som er nærmere beskrevet i begrundelsen for forelæggelsen, er opfyldt?

Udtalelse fra EU's generaladvokat:

Generaladvokaten har den 16. marts 2023 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

• Artikel 22, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at allerede en automatisk udarbejdelse af en sandsynlighedsværdi for en registrerets evne til at tilbagebetale et lån udgør en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende, hvis denne værdi, som er beregnet ved hjælp af personoplysninger om den pågældende, af den dataansvarlige videregives til en dataansvarlig tredjemand, og denne tredjemand i overensstemmelse med fast retspraksis anvender denne værdi som det afgørende grundlag for sin beslutning om at indgå, gennemføre eller afslutte et aftaleforhold med den pågældende.
• Artikel 6, stk. 1, og artikel 22 i forordning (EU) 2016/679 skal fortolkes således, at disse bestemmelser ikke er til hinder for en national lovgivning om profilering, når der er tale om en anden profilering end den, der er omhandlet i nævnte forordnings artikel 22, stk. 1. I dette tilfælde skal den nationale lovgiver imidlertid overholde betingelserne i den pågældende forordnings artikel 6. Den skal navnlig basere sig på et passende retsgrundlag, hvilket det påhviler den forelæggende ret at efterprøve.

Domsafsigelse:

EU-Domstolen har den 7. december 2023 afsagt dom i sagen, hvoraf følgende fremgår:

• Artikel 22, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at et kreditoplysningsbureaus automatiske fastsættelse af en sandsynlighedsværdi på grundlag af personoplysninger om en person og vedrørende dennes evne til at opfylde betalingsforpligtelser i fremtiden udgør en »automatisk individuel afgørelse« som omhandlet i denne bestemmelse, når denne sandsynlighedsværdi er afgørende for, om en tredjepart, som sandsynlighedsværdien videregives til, indgår, gennemfører eller afslutter et aftaleforhold med denne person.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

UF (C-26/22) & AB (C-64/22)

Sagsøgte i hovedsagen:

Delstaten Hessen

De præjudicielle spørgsmål:

1. Skal artikel 77, stk. 1, sammenholdt med artikel 78, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, herefter »databeskyttelsesforordningen«) (EUT 2016, L 119, s. 1) forstås således, at tilsynsmyndighedens resultat, som denne meddeler den registrerede,

a. har karakter af en afgørelse af et andragende? Dette med den konsekvens, at domstolsprøvelsen af en klageafgørelse truffet af en tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 78, stk. 1, principielt er begrænset til, om myndigheden har behandlet klagen, undersøgt klagens genstand i rimeligt omfang og underrettet klageren om resultatet af undersøgelsen, eller

b. skal forstås som en realitetsafgørelse truffet af en myndighed? Dette med den konsekvens, at domstolsprøvelsen af en klageafgørelse truffet af en tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 78, stk. 1, fører til, at domstolen skal prøve realitetsafgørelsens fulde indhold, idet tilsynsmyndigheden i det konkrete tilfælde – f.eks. hvis skønnet reduceres til nul – af domstolen også kan blive forpligtet til en konkret foranstaltning som omhandlet i databeskyttelsesforordningens artikel 58.

2. Er en opbevaring af oplysninger hos et privat kreditoplysningsbureau, hvor personoplysninger fra et offentligt register såsom »nationale databaser« som omhandlet i artikel 79, stk. 4 og 5, i Europa-Parlamentets og Rådets forordning (EU) 2015/848 af 20. maj 2015 om insolvensbehandling (EUT 2015, L 141, s. 19) opbevares uden konkret anledning med henblik på at kunne give oplysning i tilfælde af en forespørgsel, forenelig med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder af 12. december 2007 (herefter »chartret« – EUT 2007, C 303, s. 1)?

3a. Er private databaser (navnlig et kreditoplysningsbureaus databaser), som oprettes sideløbende med de statslige databaser, og hvori oplysningerne fra de statslige databaser (i den foreliggende sag insolvensbekendtgørelser) opbevares i længere tid, end det er reguleret inden for den snævre ramme i henhold til forordning 2015/848 sammenholdt med national ret, principielt lovlige?

3b. Såfremt det tredje spørgsmål besvares bekræftende: Følger det af retten til at blive glemt i henhold til databeskyttelsesforordningens artikel 17, stk. 1, litra d), at disse oplysninger skal slettes, når den fastsatte behandlingstid for det offentlige register er udløbet?

4. Såfremt databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), kommer i betragtning som eneste retsgrundlag for opbevaring af oplysninger hos private kreditoplysningsbureauer med hensyn til de oplysninger, der også opbevares i offentlige registre, foreligger der da allerede en legitim interesse for et kreditoplysningsbureau, hvis dette uden konkret anledning overtager oplysningerne fra det offentlige register, for at disse oplysninger kan stå til rådighed i tilfælde af en forespørgsel?

5. Må adfærdskodekser, som er godkendt af tilsynsmyndighederne i henhold til databeskyttelsesforordningens artikel 40 og indeholder frister for kontrol og sletning, som går ud over opbevaringsfristerne for offentlige registre, suspendere den afvejning, der skal finde sted i henhold til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f)?

Udtalelse fra EU's generaladvokat:

Generaladvokaten har den 16. marts 2023 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

• Artikel 78, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at det følger af denne bestemmelse, at en juridisk bindende afgørelse fra en tilsynsmyndighed er underlagt en domstols prøvelse af realitetsafgørelsens fulde indhold.
  
  
• Artikel 6, stk. 1, første afsnit, litra f), i forordning 2016/679 skal fortolkes således, at bestemmelsen er til hinder for, at et privat kreditoplysningsbureau opbevarer personoplysninger fra et offentligt register såsom »nationale databaser« som omhandlet i artikel 79, stk. 4 og 5, i Europa-Parlamentets og Rådets forordning (EU) 2015/848 af 20. maj 2015 om insolvensbehandling i en periode, der går ud over den periode, hvori oplysningerne opbevares i det offentlige register. Det tilkommer den forelæggende ret at efterprøve, om opbevaringen af oplysningerne i den periode, der er tilladt for det offentlige register, opfylder betingelserne i artikel 6, stk. 1, første afsnit, litra f), i forordning 2016/679.
  
  
• Artikel 17, stk. 1, litra d), i forordning 2016/679 skal fortolkes således, at den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, hvis disse oplysninger er blevet behandlet ulovligt i henhold til denne forordnings artikel 6, stk. 1.
  
  
• Artikel 17, stk. 1, litra c), i forordning 2016/679 skal fortolkes således, at den registrerede principielt har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, hvis vedkommende gør indsigelse mod behandlingen i henhold til denne forordnings artikel 21, stk. 1. Det tilkommer den forelæggende ret at undersøge, om der undtagelsesvis foreligger vægtige legitime grunde til behandlingen.
  
  
• Artikel 40, stk. 2 og 5, i forordning 2016/679 skal fortolkes således, at adfærdskodekser, der er udarbejdet i overensstemmelse med disse bestemmelser og eventuelt godkendt af tilsynsmyndigheden, ikke på juridisk bindende vis kan fastsætte betingelser for lovlig behandling af personoplysninger, der adskiller sig fra de betingelser, der er fastsat i denne forordnings artikel 6, stk. 1.«

Domsafsigelse:

EU-Domstolen har den 7. december 2023 afsagt dom i sagen, hvoraf følgende fremgår:

• Artikel 78, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en klageafgørelse, der er vedtaget af en tilsynsmyndighed, er underlagt en fuldstændig domstolsprøvelse.
  
  
• Artikel 5, stk. 1, litra a), i forordning 2016/679, sammenholdt med denne forordnings artikel 6, stk. 1, første afsnit, litra f), skal fortolkes således, at denne bestemmelse er til hinder for en praksis i private kreditoplysningsbureauer, der består i, at disse i deres egne databaser opbevarer oplysninger fra et offentligt register om gældssanering, der er indrømmet fysiske personer, med henblik på at kunne give oplysninger om disse personers kreditværdighed, i en periode, der går ud over den periode, hvori oplysningerne opbevares i det offentlige register.
  
  
• Artikel 17, stk. 1, litra c), i forordning 2016/679 skal fortolkes således, at den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, når vedkommende gør indsigelse mod behandlingen i overensstemmelse med denne forordnings artikel 21, stk. 1, og der ikke foreligger vægtige legitime grunde, der undtagelsesvis kan berettige den omhandlede behandling.
  
  
• Artikel 17, stk. 1, litra d), i forordning 2016/679 skal fortolkes således, at den dataansvarlige har pligt til uden unødig forsinkelse at slette personoplysninger, der er blevet behandlet ulovligt.

Link til sagen på EU-Domstolens hjemmeside