Afgjorte retssager ved EU-Domstolen

Nedenfor finder du en oversigt over de sager, der på databeskyttelsesområdet er afgjort ved EU-Domstolen fra og med 2019, samt en kort beskrivelse af hvad de enkelte sager handler om.

Oversigten er senest opdateret 19. maj 2021.

Sagsøger i hovedsagen:

Maximillan Schrems

Sagsøgte i hovedsagen:

Facebook Ireland Limited

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af High Court (Irland). Efter at EU-Domstolen i den første Schrems dom erklærede Safe Harbor-afgørelsen ugyldig, har Schrems indbragt spørgsmålet om gyldigheden af EU-Kommissionens afgørelse om standardkontraktbestemmelser for det irske datatilsyn og domstolene i Irland.

De præjudicielle spørgsmål:

  • Er der tale om en krænkelse af en privatpersons rettigheder ved videregivelsen af oplysninger fra EU til et tredjeland i henhold til afgørelsen om standardkontraktbestemmelser?
  • Ved afgørelsen af, om der er tale om en krænkelse af en privatpersons rettigheder ved videregivelsen af oplysninger til et tredjeland, hvor oplysninger kan undergå yderligere behandling af hensyn til den nationale sikkerhed, skal beskyttelsesniveauet i tredjelandet bedømmes ud fra Den Europæiske Unions Charter om grundlæggende rettigheder, TEU, TEUF, databeskyttelsesdirektivet, EMRK (eller andre EU-retlige bestemmelser) eller medlemsstaters nationale ret?
  • Henset til EU-Domstolens vurdering af beskyttelsesniveauet i Safe Harbor, krænker det da privatpersoners rettigheder, hvis personoplysninger videregives fra EU til USA i henhold til afgørelsen om standardkontraktbestemmelser?
  • Overholder beskyttelsesniveauet i USA kerneindholdet af en privatpersons ret til effektive retsmidler, der garanteres ved Chartrets artikel 47?
  • Hvilket beskyttelsesniveau kræves der for personoplysninger, som videregives til et tredjeland i medfør af standardkontraktbestemmelser vedtaget i forbindelse med afgørelsen om standardkontraktbestemmelser?
  • Hvilke forhold skal tages i betragtning ved bedømmelsen af, om beskyttelsesniveauet for oplysninger, der videregives til et tredjeland i henhold til afgørelsen om standardkontraktbestemmelser, opfylder kravene i direktivet og Chartret?
  • Er det forhold, at afgørelsen om standardkontraktbestemmelser finder anvendelse mellem dataeksportøren og dataimportøren og ikke er bindende for et tredjelands nationale myndigheder, til hinder for, at bestemmelserne yder de tilstrækkelige garantier som forudsat i databeskyttelsesdirektivet?
  • Hvis en dataimportør i et tredjeland er underlagt overvågningslovgivning, som efter databeskyttelsesmyndighedens opfattelse er i strid med bestemmelserne i bilaget til afgørelsen om standardkontraktbestemmelser, direktivets artikel 25 og 26 og/eller Chartret, skal databeskyttelsesmyndigheden da anvende sine håndhævelsesbeføjelser i henhold til direktivets artikel 28, stk. 3, til at suspendere datastrømme, eller er udøvelsen af disse beføjelser begrænset til undtagelsestilfælde, eller kan en databeskyttelsesmyndighed anvende sin skønsbeføjelse til at undlade at suspendere datastrømme?
  • Med henblik på anvendelsen af databeskyttelsesdirektivets artikel 25, stk. 6, finder Privacy Shield så generel anvendelse, og binder databeskyttelsesmyndigheder og medlemsstaternes retsinstanser, således at USA sikrer et tilstrækkeligt beskyttelsesniveau gennem landets nationale ret eller de internationale forpligtelser, USA har påtaget sig?
  • Overtræder afgørelsen om standardkontraktbestemmelser Chartrets artikel 7, 8 og/eller 47?

 

Udtalelse fra EU's generaladvokat

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 19. december 2019. Generaladvokaten konkluderer i sin udtalelse følgende:

"Analysis of the questions for a preliminary ruling has disclosed nothing to affect the validity of Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council, as amended by Commission Implementing Decision (EU) 2016/2297 of 16 December 2016".

Domsafsigelse

EU-domstolen har den 16. juli 2020 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 2, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en overførsel af personoplysninger, som foretages til forretningsmæssige formål af en erhvervsdrivende, der er etableret i en medlemsstat, til en anden erhvervsdrivende, der er etableret i et tredjeland, er omfattet af denne forordnings anvendelsesområde, uanset at disse oplysninger under eller efter overførslen kan blive behandlet af det pågældende tredjelands myndigheder af hensyn til den offentlige sikkerhed, forsvaret og statens sikkerhed.

  • Artikel 46, stk. 1, og artikel 46, stk. 2, litra c), i forordning 2016/679 skal fortolkes således, at de fornødne garantier, de rettigheder, som kan håndhæves, og de effektive retsmidler, som kræves ved disse bestemmelser, skal sikre, at der for de rettigheder, som tilkommer personer, hvis oplysninger overføres til et tredjeland på grundlag af standardbestemmelser om databeskyttelse, gælder et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der er sikret i Den Europæiske Union ved denne forordning, sammenholdt med Den Europæiske Unions charter om grundlæggende rettigheder. Med henblik herpå skal der ved vurderingen af det beskyttelsesniveau, som er sikret i forbindelse med en sådan overførsel, navnlig tages hensyn til både de kontraktvilkår, som er aftalt mellem den dataansvarlige eller dennes databehandler, der er etableret i Den Europæiske Union, og modtageren af overførslen, der er etableret i det pågældende tredjeland, og – for så vidt angår en eventuel adgang for dette tredjelands offentlige myndigheder til de således overførte personoplysninger – til de relevante forhold i dettes retssystem, herunder navnlig de elementer, som er opregnet i den nævnte forordnings artikel 45, stk. 2.

  • Artikel 58, stk. 2, litra f) og j), i forordning 2016/679 skal fortolkes således, at medmindre der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, som er gyldigt vedtaget af Europa-Kommissionen, har den kompetente tilsynsmyndighed pligt til at suspendere eller forbyde en overførsel af oplysninger til et tredjeland på grundlag af standardbestemmelser om databeskyttelse vedtaget af Kommissionen, såfremt denne tilsynsmyndighed i lyset af samtlige de omstændigheder, der kendetegner denne overførsel, finder, at disse standardbestemmelser ikke er overholdt eller ikke kan overholdes i dette tredjeland, og at det ikke er muligt ved andre midler at sikre den beskyttelse af de overførte oplysninger, som kræves efter EU-retten, herunder navnlig denne forordnings artikel 45 og 46 og chartret om grundlæggende rettigheder, hvis den dataansvarlige eller dennes databehandler, som er etableret i Unionen, ikke selv har suspenderet overførslen eller bragt den til ophør.

  • Undersøgelsen af Kommissionens afgørelse 2010/87/EU af 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF, som ændret ved Kommissionens gennemførelsesafgørelse (EU) 2016/2297 af 16. december 2016, i lyset af artikel 7, 8 og 47 i chartret om grundlæggende rettigheder har intet frembragt, der kan påvirke gyldigheden af denne afgørelse.

  • Kommissionens gennemførelsesafgørelse (EU) 2016/1250 af 12. juli 2016 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU’s og USA’s værn om privatlivets fred, er ugyldig.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

VQ

Sagsøgte:

Land Hessen

Sagsøgernes påstand:

Efter at VQ havde indgivet et andragende til udvalget for andragender ved Land Hessens parlament, anmodede han på grundlag af artikel 15 i forordning 2016/679 dette udvalg om indsigt i personoplysninger, som vedrørte ham, og som udvalget havde registreret i forbindelse med behandlingen af hans andragende. Formanden for Land Hessens parlament besluttede at afslå denne anmodning med den begrundelse, at proceduren for andragender udgør en parlamentarisk opgave, og at det nævnte parlament ikke henhører under anvendelsesområdet for forordning 2016/679. VQ anlagde den 22. marts 2013 sag ved Verwaltungsgericht Wiesbaden (forvaltningsret i Wiesbaden, Tyskland) til prøvelse af denne afgørelse fra formanden for Land Hessens parlament om afslag på hans anmodning. Den tyske forvaltningsret ønskede bl.a. i sagen at få oplyst, om udvalget for andragender ved Land Hessens parlament kunne kvalificeres som en »offentlig myndighed« som omhandlet i artikel 4, nr. 7), i forordning 2016/679, og i det foreliggende tilfælde kan anses for at være »dataansvarlig« for VQ’s personoplysninger. I dette tilfælde vil sidstnævnte kunne påberåbe sig en ret til indsigt i henhold til den nævnte forordnings artikel 15.

Den tyske forvaltningsret, Verwaltungsgericht Wiesbaden, besluttede at udsætte sagen og forlægge Domstolen følgende præjudicielle spørgsmål: 

  • Finder databeskyttelsesforordningens artikel 15 anvendelse på et udvalg under et parlament i en delstat i en medlemsstat, der er ansvarlig for behandlingen af [andragender] fra borgere, her udvalget for andragender ved Hessicher Landtag, og skal dette udvalg i så henseende behandles som en offentlig myndighed som omhandlet i forordningens artikel 4, nr. 7?
  • Er den forelæggende ret en uafhængig og upartisk ret som omhandlet i artikel 267 TEUF, sammenholdt med chartrets artikel 47, stk. 2?

Domsafsigelse

EU-domstolen har den 9. juli 2020 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

  •  Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at for så vidt som et udvalg for andragender ved parlamentet i en delstat i en medlemsstat alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, skal dette udvalg kvalificeres som »dataansvarlig« som omhandlet i denne bestemmelse, således at den behandling af personoplysninger, der foretages af et sådant udvalg, henhører under denne forordnings anvendelsesområde, navnlig denne forordnings artikel 15.

Link til sagen på EU-Domstolens hjemmeside.

Sagsøgere:

Verbraucherzentrale NRW eV

Sagsøgte:

Fashion ID GmbH & Co.KG

Sagsøgernes påstand:

Fashion ID er en onlinedetailhandler, der sælger modeartikler. Selskabet integrerede et plug-in på sin hjemmeside: Facebook's "synes godt om"-knap. Når en bruger havner på Fashion ID's hjemmeside, overføres denne brugers IP-adresse og browserstring som følge heraf til Facebook. Denne overførsel sker automatisk, når Fashion ID's hjemmeside er indlæst, uafhængigt af om brugeren har klikket på ”synes godt om”-knappen, og uanset om brugeren har en Facebook-konto.

Den tyske forbrugerbeskyttelsesorganisation, Verbraucherzentrale NRW e.V, anlagde sag mod Fashion ID med påstand om, at dette plug-in udgør et brud på reglerne i databeskyttelsesdirektivet.

Væsentligste argumenter:

  • Giver databeskyttelsesdirektivet mulighed for, at national lovgivning indrømmer en forbrugerorganisation søgsmålsret til at indbringe en sag som den omhandlede?
  • Er Fashion ID dataansvarlig for den databehandling, der finder sted, når behandlingen sker automatisk og uden Fashion ID's indflydelse?
  • Er afvejningen af en ”legitim interesse”, jf. databeskyttelsesdirektivet art. 7, litra f, henvendt til interessen i at integrere eksternt indhold eller tredjemands interesse?
  • Over for hvem skal samtykket erklæres?
  • Gælder oplysningspligten også operatøren af en hjemmeside, som har integreret en tredjemans indhold og dermed etablerer årsagen til tredjemandens behandling af personoplysninger?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 19. december 2018 afgivet en udtagelelse i sagen, hvoraf følgende bl.a. fremgår:

  • Databeskyttelsesdirektivet er ikke til hinder for en national bestemmelse, som giver almennyttige organisationer beføjelse til at anlægge sag med det formål at sikre forbrugernes interesser.
  • En person, der har integreret en tredjepartsplug-in på sin hjemmeside, som forårsager indsamling og videresendelse af brugerens personoplysninger, skal anses som værende delt dataansvarlig sammen med tredjeparten.
  • Imidlertid er Fashion ID's (fælles) ansvar begrænset til de operationer, hvor virksomheden effektivt er medbestemmende i forhold til hjælpemidlerne og formålet med behandlingen af personoplysningerne.

Domsafsigelse:

EU-domstolen har den 29. juli 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

  • Direktiv 95/46 er ikke til hinder for en national lovgivning, der giver forbrugerbeskyttelsesorganisationer mulighed for at anlægge sag mod den person, der formodes at have begået en krænkelse.
  • Operatøren for et websted (Fashion ID), som har integreret et socialt modul på deres websted, kan anses for at være den dataansvarlige. Dette ansvar begrænses imidlertid til den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilken eller hvilke denne operatør rent faktisk fastlægger til hvilket formål og på hvilken måde dette må finde sted, dvs. den i hovedsagen omhandlede indsamling og videregivelse ved transmission af personoplysninger.
  • Det er nødvendigt at både operatøren og udbyderen af modulet, hver især forfølger en legitim interesse som omhandlet i databeskyttelsesdirektivets art. 7, litra f, for at disse operationer kan retfærdiggøres i forhold til dem.
  • Samtykke skal indhentes af operatøren alene for den operation, der omfatter behandling af personoplysninger, for hvilke denne operatør fastlægger til hvilket formål og på hvilken måde dette må finde sted. I disse situationer påhviler oplysningspligten ligeledes operatøren.

 

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

G.C., A.F., B.H., E.D. (fire franske statsborgere)

Sagsøgte:

Det franske datatilsyn (Commission nationale de l’informatique et des libertés (CNIL))

Sagsøgernes påstand:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Conseil d’État (øverste domstol i forvaltningsretlige sager) (Frankrig). De fire franske statsborgere har anlagt sag mod det franske datatilsyn, efter at tilsynsmyndigheden – ud fra en afvejning af hensynene til de fire franske statsborgere og hensynet til offentlighedens interesse – har afvist at give dem medhold i, at links på Google til artikler om dem skal slettes. De fire franske statsborgere mener, at retten til at blive glemt er en universel ret til at få link fjernet, hvorfor der ikke skal foretages en videre afvejning af offentlighedens interesse. Sagen drejer sig om en person, der har været talsmand for Scientology, en person der er idømt en længere fængselsstraf for sek-suel omgang med børn, en person der slap med et tiltalefrafald i en sag om ulovlig finansiering af et politisk parti og en politiker, som gerne vil have fjernet en satirisk video.

Væsentligste argumenter:

  • Finder reglerne om behandling af følsomme personoplysninger, jf. databeskyttelses-direktivets artikel 8, stk. 1 og 5, anvendelse på søgemaskineudbydere?
  • Hvis ja, skal bestemmelserne fortolkes således, at søgemaskineudbydere er forpligtet til konsekvent at efterkomme anmodninger om at fjerne links til websider, der behandler sådanne oplysninger?
  • Kan en søgemaskineudbyder foretage en afvejning af artikel 8, stk. 2, hensyn?
  • Kan en søgemaskineudbyder nægte sletning, jf. artikel 9?
  • Hvis nej, hvilke specifikke krav i databeskyttelsesdirektivet skal en søgemaskineudbyder opfylde?

Uanset hvorledes de første spørgsmål skal besvares:

  • Når den anmodende person godtgør, at disse oplysninger er blevet ufuldstændige eller ukorrekte, eller at de ikke længere er ajourførte, skal en søgemaskineudbyder efterkomme anmodningen om at fjerne det omhandlede link?
  • Og mere specifikt, når den anmodende person godtgør, at oplysningerne vedrørende en afsluttet retslig procedure, der ikke længere afspejler vedkommendes reelle aktuelle situationen, har en søgemaskineudbyder pligt til at fjerne links til websider, der indeholder sådanne oplysninger?
  • Er oplysninger om, at en person er blevet gjort til genstand for en undersøgelse, eller dømt i en retssag omfattet af direktivets artikel 8, stk. 5? Er en webside, når den indeholder oplysninger om domme og retslige procedurer, som vedrører en fysisk person, generelt omfattet af denne bestemmelsers anvendelsesområde?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 10. januar 2019 afgivet en udtalelse i sagen, hvoraf følgende bl.a. fremgår:

  • Artikel 8, stk. 1 og 5 finder som udgangspunkt anvendelse på søgemaskineudbydere.
  • I medfør af artikel 8, stk. 1 og 5, i direktivet har en søgemaskineudbyder pligt til konsekvent at efterkomme anmodninger om fjernelse af links til websider, der behandler følsomme oplysninger som omhandlet i denne bestemmelse, med forbehold af de i direktivet fastsatte undtagelser, f.eks. de undtagelser, der er omfattet af dette direktivets artikel 8, stk. 2, litra a og e.
  • Hvis oplysningerne er omfattet af direktivets artikel 9, bliver søgemaskineudbyderen nødt til at foretage en afvejning mellem på den ene side retten til respekt for privatlivet og retten til databeskyttelse og på den anden side offentlighedens ret til at få adgang til de pågældende oplysninger samt retten til ytringsfrihed for afsenderen af oplysningerne.

Domsafsigelse:

EU-domstolen har den 24. september 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

  1. Bestemmelserne i artikel 8, stk. 1 og 5, i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at det forbud eller de restriktioner for behandling af særlige kategorier af personoplysninger, der er omfattet af disse bestemmelser, ligeledes finder anvendelse med forbehold af de i dette direktiv fastsatte undtagelser på en søgemaskineudbyder inden for rammerne af dennes ansvar, kompetencer og muligheder som registeransvarlig for den behandling, der foretages ved denne søgemaskines aktivitet, i forbindelse med en efterprøvelse, som udbyderen foretager under de kompetente nationale myndigheders kontrol på grundlag af en anmodning fremsat af den registrerede.
  2. Bestemmelserne i artikel 8, stk. 1 og 5, i direktiv 95/46 skal fortolkes således, at en søgemaskineudbyder i henhold til disse bestemmelser med forbehold af de i direktivet fastsatte undtagelser i princippet er forpligtet til at efterkomme anmodninger om fjernelse af links til websider, hvor der forekommer personoplysninger, som henhører under de særlige kategorier i disse bestemmelser.
    Artikel 8, stk. 2, litra e), i direktiv 95/46 skal fortolkes således, at en sådan udbyder i medfør af denne bestemmelse kan afvise at efterkomme en anmodning om fjernelse, hvis udbyderen konstaterer, at de pågældende links fører til indhold, som omfatter personoplysninger, der henhører under de særlige kategorier i artikel 8, stk. 1, men hvis behandling er omfattet af en af undtagelserne i artikel 8, stk. 2, litra e), forudsat at denne behandling opfylder alle de øvrige lovlighedsbetingelser, der er fastsat i dette direktiv, og medmindre den registrerede i medfør af nævnte direktivs artikel 14, stk. 1, litra a), ikke har ret til at modsætte sig nævnte behandling af vægtige legitime grunde, der vedrører den pågældendes særlige situation.
    Bestemmelserne i direktiv 95/46 skal fortolkes således, at søgemaskineudbyderen, når denne forelægges en anmodning om fjernelse af et link til en webside, hvor personoplysninger, som henhører under de særlige kategorier i direktivets artikel 8, stk. 1 eller 5, offentliggøres, på grundlag af alle relevante forhold i den pågældende sag og under hensyntagen til, hvor alvorligt indgrebet er i den registreredes grundlæggende rettigheder til privatlivets fred og beskyttelsen af personoplysninger som knæsat i artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, ud fra de vigtige samfundsmæssige interesser i direktivets artikel 8, stk. 4, og under overholdelse af de heri fastsatte betingelser, skal prøve, om medtagelsen af dette link på resultatlisten, som vises efter en søgning på den registreredes navn, er strengt nødvendig for at beskytte den i chartrets artikel 11 knæsatte informationsfrihed for de internetbrugere, som potentielt kunne være interesserede i at få adgang til denne webside ved en sådan søgning.
  3. Bestemmelserne i direktiv 95/46 skal fortolkes således
    • at oplysninger om retslige procedurer, som en fysisk person har været genstand for, og i givet fald oplysninger om den domfældelse, der fulgte heraf, for det første udgør oplysninger vedrørende »lovovertrædelser« og »straffedomme« som omhandlet i direktivets artikel 8,    stk. 5, og
    • at søgemaskineudbyderen for det andet er forpligtet til at efterkomme en anmodning om fjernelse af links til websider, hvor sådanne oplysninger forekommer, når disse oplysninger vedrører et tidligere trin i den pågældende retslige procedure og – henset til denne procedures forløb – ikke længere afspejler den aktuelle situation, for så vidt som det i forbindelse med prøvelsen af de vigtige samfundsmæssige interesser i direktivets artikel 8, stk. 4, konstateres, at den registreredes grundlæggende rettigheder, der er sikret ved artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, henset til samtlige omstændigheder i det konkrete tilfælde, går forud for de potentielt interesserede internetbrugeres grundlæggende rettigheder, som er beskyttet i chartrets artikel 11

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Google Inc

Sagsøgte i hovedsagen:

Det franske datatilsyn (Commission nationale de l’informatique et des libertés (CNIL))

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Conseil d’État (øverste domstol i forvaltningsretlige sager) (Frankrig). EU-Domstolen fastslog i Google Spain-afgørelsen fra maj 2014 en ”ret til at blive glemt”, idet en person på visse betingelser har ret til at få søgemaskineudbyderen til at fjerne links. I den foreliggende sag anmodes EU-Domstolen om at præcisere den territoriale rækkevidde af fjernelse af links og fastslå, om forpligtelsen til at slette links kræver en fjernelse på nationalt, europæisk eller globalt plan

De præjudicielle spørgsmål:

  • Skal ”retten til at blive glemt” som beskrevet i Google Spain afgørelsen, fortolkes således at links skal fjernes fra alle søgemaskiners domæner, også uden for det territoriale anvendelsesområde af direktivet, eller skal der i stedet anvendes geoblokering, eller er det kun fra søgeresultaterne i det land, hvor klageren bor, resultaterne skal fjernes, alternativt fra alle søgeresultaterne i søgemaskinens EU-domæner?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 10. januar 2019 afgivet en udtalelse i sagen, hvoraf følgende bl.a. fremgår:

  • Der kan ikke af direktivet udledes krav om den territoriale rækkevidde af retten til at blive glemt. Søgemaskineudbydere har derfor ikke, når denne efterkommer en anmodning om at få fjernet links, pligt til at foretage fjernelse af links på globalt plan.
  • Generaladvokaten understreger dog samtidig, at når der først er truffet en afgørelse om sletning i EU, så skal søgemaskineudbyderen sikre komplet og effektiv sletning inden for EU, herunder ved hjælp af geoblokering af IP-adresser der ser ud til at komme fra EU uafhængigt af domænet søgningen kommer fra.

Domsafsigelse:

EU-domstolen har den 24. september 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 12, litra b), og artikel 14, stk. 1, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og artikel 17, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en søgemaskineudbyder, når denne efterkommer en anmodning om at få fjernet links i henhold til disse bestemmelser, er forpligtet til at foretage denne fjernelse på de udgaver af søgemaskinen, som svarer til alle medlemsstaterne, og dette om nødvendigt i kombination med foranstaltninger, som under overholdelse af alle retlige krav gør det muligt effektivt at forhindre eller i den mindste i høj grad at afholde de internetbrugere, der foretager en søgning på den registreredes navn fra en af medlemsstaterne, fra – ud fra de resultater, der vises efter denne søgning – at få adgang til de links, som er genstand for denne anmodning, men søgemaskineudbyderen er ikke forpligtet til at foretage denne fjernelse på alle udgaver af udbyderens søgemaskine.

 

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Planet49 GmBH

Sagsøgte i hovedsagen:

Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.(Tyskland)

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Bundesgerichtshof (for-bundsdomstolen) (Tyskland). Sagen omhandler et onlinelotteri, som var organiseret af virksomheden Planet49. For at kunne deltage i lotteriet skulle brugeren sætte kryds i den første boks af to bokse på virksomhedens hjemmeside. Ved afkrydsningen gav brugeren samtykke og bekræftede sin deltagelse i lotteriet. Det fremgik også klart, at brugeren, med sit kryds, gav en række firmaer lov til at kontakte brugeren. Den anden boks var derimod allerede afkrydset på forhånd. Dette kryds gav tilladelse til, at virksomheden kunne installere cookies på brugerens browser. For at kunne deltage i lotteriet var det dog ikke et krav, at denne boks var krydset af.

De præjudicielle spørgsmål:

  • Er der tale om et gyldigt samtykke, når lagringen af oplysninger eller adgang til oplysninger, som allerede er lagret på brugerens enhed, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke?
  • Gør det en forskel om de oplysninger, der lagres eller hentes, er personoplysninger? 
  • Foreligger der under de omstændigheder samtykke efter reglerne i databeskyttelses-forordningen?
  • Hvilke oplysninger skal tjenesteudbyderen give brugeren i forbindelse med de klare og fyldestgørende oplysninger, der skal gives i henhold til e-databeskyttelsesdirektivet? Omfatter disse også cookiernes funktionsvarighed og spørgsmålet om, hvorvidt tredjemand får adgang til cookierne?

Retsmøde:

Der har den 9. juli 2019 været afholdt retsmøde i sagen, hvor bl.a. formanden fra Det Europæiske Databeskyttelsesråd på opfordring fra EU-Domstolen afgav et mundtligt indlæg i sagen.

Udtalelse fra EU's generaladvokat

EU’s generaladvokat har den 21. marts 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at der efter hans opfattelse ikke er tale om gyldigt samtykke (efter databeskyttelses-direktivet eller e-databeskyttelsesdirektivet), når lagringen af oplysninger eller adgangen til op-lysninger, der allerede er lagret på brugerens enhed, tillades ved hjælp af en forudindstillet afkrydsningsrubrik, som brugeren skal vælge fra for at nægte sit samtykke, og hvor samtykket ikke gives særskilt, men på samme tid som bekræftelsen på deltagelse i en konkurrence på internettet. Det gør ingen forskel, om de oplysninger, der lagres eller hentes, er personoplysninger.

Domsafsigelse:

EU-Domstolen har den 1. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

  1. Artikel 2, litra f), og artikel 5, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med artikel 2, litra h), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og med artikel 4, nr. 11), og artikel 6, stk. 1, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46 (generel forordning om databeskyttelse), skal fortolkes således, at det samtykke, der er omhandlet i disse bestemmelser, ikke er gyldigt afgivet, når lagring af oplysninger eller adgang til oplysninger, som allerede er lagret på brugeren af et internetwebsteds terminaludstyr, via cookies tillades ved hjælp af et forudafkrydset felt, som denne bruger skal vælge fra for at nægte at give sit samtykke.
  2. Artikel 2, litra f), og artikel 5, stk. 3, i direktiv 2002/58, som ændret ved direktiv 2009/136, sammenholdt med artikel 2, litra h), i direktiv 95/46, og med artikel 4, nr. 11), samt artikel 6, stk. 1, litra a), i forordning 2016/679, skal ikke fortolkes forskelligt, alt efter om de lagrede eller konsulterede oplysninger i brugeren af et internetwebsteds terminaludstyr udgør personoplysninger som omhandlet i direktiv 95/46 og forordning 2016/679 eller ej.
  3. Artikel 5, stk. 3, i direktiv 2002/58, som ændret ved direktiv 2009/136, skal fortolkes således, at de oplysninger, som tjenesteudbyderen skal give brugeren af et internetwebsted, omfatter oplysninger om cookiernes funktionsvarighed og oplysninger om, hvorvidt tredjemand har mulighed for at få adgang til disse cookies eller ej.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i de forende hovedsager:

Dr. Eva Glawischning-Piesczek

Sagsøgte i de forenede hovedsager:

Facebook Ireland Limited

Faktum i de forenede hovedsager:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Oberster Gerichtshof (Østrig) i en sag, hvor en østrigsk politiker ved navn Dr. Eva Glawischning-Piesczek i 2016 fandt et opslag med billede af hende på Facebook med diverse hadefulde kommentarer. Da Facebook ikke ville slette billedet, anlagde Dr. Eva Glawischning-Piescze en sag ved de østrigske domstole, som fandt, at Facebook var forpligtet til at slette billedet og identiske billeder i fremtiden. Det følger i den forbindelse af e-handelsdirektivet4 artikel 14, stk. 1, litra b, at ”host providers” (i dette tilfælde Facebook) skal tage skridt til at fjerne ulovlig information fra det øjeblik de får kendskab til ulovligheden. Ifølge direktivets artikel 15 har ”host providers” dog ingen generel overvågningsforpligtelse og kan ikke pålægges en sådan forpligtelse.

De præjudicielle spørgsmål:

• Er e-handelsdirektivets artikel 15 generelt til hinder for, at en ”host provider” ikke kun skal fjerne anmeldt ulovlig information, men også anden identisk information på et nationalt eller globalt plan?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 4. juni 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at e-handelsdirektivets artikel 15 efter hans opfattelse ikke er til hinder for, at en ”host provider”, som Facebook, bliver pålagt en pligt til at søge efter information, som er identisk med den anmeldte ulovlige information, og fjerne denne. Dette samme gælder for global sletning.

Domsafsigelse:

EU-Domstolen har den 3. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår

Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked (»Direktivet om elektronisk handel«), navnlig dets artikel 15, stk. 1, skal fortolkes således, at det ikke er til hinder for, at en ret i en medlemsstat kan:

  • pålægge en hosting-udbyder at fjerne information, som den pågældende oplagrer, og som er identisk med information, der tidligere er erklæret ulovlig, eller at hindre adgangen til den, uanset hvem der anmoder om at få den oplagret
  • pålægge en hosting-udbyder at fjerne information, som den pågældende oplagrer, og som har samme betydning som information, der tidligere er erklæret ulovlig, eller at hindre adgangen til den, forudsat at den overvågning og undersøgelse, som kræves ifølge dette påbud, er begrænset til information, der formidler et budskab, hvis indhold i det væsentlige er det samme som det, der førte til ulovlighedskonstateringen, og som indeholder de oplysninger, som er angivet i påbuddet, og forudsat at forskellen i formuleringen af det indhold, som anses for at have samme betydning som det indhold, der tidligere er erklæret ulovlig, ikke forpligter den pågældende hosting-udbyder til at foretage en selvstændig vurdering af nævnte indhold, og
  • pålægge en hosting-udbyder at fjerne information, som er genstand for et påbud, eller hindre adgangen til den i hele verden inden for rammerne af den relevante folkeret.

 

Link til dommen på EU-Domstolens hjemmeside.

 

Sagsøgere i hovedsagen:

A, B og P (tre tyrkiske statsborgere)

Sagsøgte i hovedsagen:

Staatssecretaris van Justitie en Veiligheid (Holland)

Faktum i hovedsagen:

Sagen vedrører lovligheden af, at tyrkiske statsborgere i forbindelse med udstedelse af visum til indrejse i Holland blev mødt med krav om, at de skulle afgive digital ansigtsoptagelse og fingeraftryk. Formålet med at optage og opbevare de biometriske data er, at disse efterfølgende kan anvendes til at fastslå, registrere og efterprøve udlændinges identitet og således forhindre og bekæmpe identitets- og dokumentsvig. Sagsøgers påstand er, at dette krav er i strid med afgørelsen fra Associeringsrådet, der blev oprettet ved aftalen om oprettelse af en associering mellem Det Europæiske Økonomiske Fællesskab og Tyrkiet fra 1963 (Ankara-aftalen).

De præjudicielle spørgsmål:

  • Er Ankara-aftalen til hinder for en national ordning om almindelig behandling og op-bevaring af biometriske data om tredjelandsstatsborgere, herunder tyrkiske statsborgere, når den nationale ordning ikke går videre end nødvendigt for at gennemføre det ifølge direktivet tilstræbte lovlige formål om at forhindre og bekæmpe identitets- og dokumentsvig?
  • Har det nogen betydning, at varigheden af opbevaringen af de biometriske data er knyttet til varigheden af tredjelandsstatsborgeres lovlige og/eller ulovlige ophold?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 2. maj 2019 afgivet en udtalelse i sagen, hvoraf det bl.a. fremgår, at Ankara-aftalen efter hans opfattelse skal fortolkes således, at den ikke er til hinder for en ordning, hvorefter det kræves, at ansigtsbillede og fingeraftryk fra tyrkiske arbejdstagere, lagres og behandles i et udlændingeregister, som værtsstatens myndigheder kan konsultere med henblik på forebyggelse og bekæmpelse af identitets- og dokumentsvig.

Domsafsigelse:

EU-Domstolen har den 3. oktober 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 13 i afgørelse nr. 1/80 af 19. september 1980 om udvikling af associeringen, vedtaget af associeringsrådet, der blev oprettet ved aftalen om oprettelse af en associering mellem Det Europæiske Økonomiske Fællesskab og Tyrkiet, som blev undertegnet den 12. september 1963 i Ankara dels af Republikken Tyrkiet, dels af EØF’s medlemsstater og Fællesskabet, og som blev indgået, godkendt og bekræftet på Fællesskabets vegne ved Rådets afgørelse 64/732/EØF af 23. december 1963, skal fortolkes således, at en national ordning som den i hovedsagen omhandlede, der gør udstedelse af en midlertidig opholdstilladelse til tredjelandsstatsborgere, herunder tyrkiske statsborgere, betinget af, at deres biometriske data optages, registreres og opbevares i et centralregister, udgør en »ny begrænsning« i den forstand, hvori dette begreb anvendes i denne bestemmelse. En sådan begrænsning er imidlertid begrundet i formålet om at forebygge og bekæmpe identitets- og dokumentsvig.

 

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere:

TK

Sagsøgte:

Asociaţia de Proprietari bloc M5A Scara-A

Faktum i hovedsagen:

Byretten i Bukarest (Rumænien) har i en sag om videoovervågning af fællesarealer i en bolig-blok og gyldigheden af rumænsk lovgivning forelagt EU-Domstolen fire præjudicielle spørgs-mål. I den konkrete sag havde boligforeningen installeret et videoovervågningssystem i bolig-blokken. I den forbindelse gav bl.a. sagsøgeren samtykke til installation af videoovervågnings-systemet. Sagsøgeren trak efterfølgende sit samtykke til installation af overvågningssystemet tilbage. Sagsøgte nægtede dog at afinstallere videooptagelsessystemet.

De præjudicielle spørgsmål:

  • Skal Den Europæiske Unions Charter om grundlæggende rettigheder artikel 8 og 52 i samt databeskyttelsesdirektivets artikel 7, litra f, fortolkes således, at de er til hinder for en national ordning som den i hovedsagen omhandlede, hvorefter videoovervågning uden den registreredes samtykke kan anvendes dels for at tilvejebringe sikkerhed for og beskyttelse af personer, genstande og værdier, dels for at forfølge legitime interesser?
  • Skal Chartrets artikel 8 og 52 i fortolkes således, at den begrænsning i udøvelsen af rettigheder og friheder, som følger af videoovervågning, er i overensstemmelse med proportionalitetsprincippet, opfylder nødvendighedskravet og forfølger almene hensyn eller svarer til behovet for at beskytte andres rettigheder og friheder, såfremt operatøren kan træffe andre foranstaltninger for at beskytte den omhandlede legitime interesse?
  • Skal databeskyttelsesdirektivets artikel 7, litra f, fortolkes således, at den dataansvar-liges ”legitime interesse” skal være dokumenteret, eksisterende og effektiv på tidspunktet for behandlingen?
  • Skal databeskyttelsesdirektivets artikel 6, stk. l, litra e, fortolkes således, at en bestemt form for behandling (videoovervågning) er uforholdsmæssig eller uhensigtsmæssig, hvis operatøren kan træffe

Udtalelse fra EU's generaladvokat:

Domstolen har efter at have hørt generaladvokaten besluttet, at sagen skal pådømmes uden forslag til afgørelse

Domsafsigelse:

EU-Domstolen har den 11. december 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

Artikel 6, stk. 1, litra c), og artikel 7, litra f), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, sammenholdt med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at de ikke er til hinder for nationale bestemmelser, som tillader indførelse af et videoovervågningssystem som det i hovedsagen omhandlede, der er installeret i fællesarealerne i en beboelsesejendom, for at forfølge legitime interesser bestående i at tilvejebringe sikkerhed for og beskyttelse af personer og ejendom, uden de registreredes samtykke, hvis behandlingen af personoplysninger ved hjælp af det pågældende videoovervågningssystem opfylder betingelserne i nævnte direktivs artikel 7, litra f), hvilket det påhviler den forelæggende ret at efterprøve.

 

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøger i hovedsagen:

VQ.

Sagsøgte i hovedsagen:

Land Hessen.

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Verwaltungsgericht Wiesbaden (Tyskland) i en sag vedrørende omfanget af indsigtsretten efter databeskyttelsesforordningen.

De præjudicielle spørgsmål:

  • Finder databeskyttelsesforordningens artikel 15, den registreredes indsigtsret, anvendelse på et udvalg under et parlament i en delstat i en medlemsstat, der er ansvarlig for behandlingen af henvendelser fra borgere, og skal dette udvalg i sådan henseende behandles som en offentlig myndighed som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7?
  • Er den forelæggende ret en uafhængig og upartisk ret som omhandlet i artikel 267 TEUF sammenholdt med Den Europæiske Unions Charter om grundlæggende rettigheder artikel 47, stk. 2?

Udtalelse fra EU's generaladvokat:

Der foreligger ikke nogen udtalelse fra EU's generaladvokat.

Domsafsigelse:

EU-domstolen har den 9. juli 2020 afsagt dom i sagen, hvoraf følgende fremgår:

”Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at for så vidt som et udvalg for andragender ved parlamentet i en delstat i en medlemsstat alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, skal dette udvalg kvalificeres som »dataansvarlig« som omhandlet i denne bestemmelse, således at den behandling af personoplysninger, der foretages af et sådant udvalg, henhører under denne forordnings anvendelsesområde, navnlig denne forordnings artikel 15.”

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Privacy International

Sagsøgte i hovedsagen:

Secretary of State for Foreign and Commonwealth Affairs, Secretary of State for the Home Department, Government Communications Headquarters, Security Service Srl og Secret Intelligence Service (UK)

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Investigatory Powers Tribunal — London (UK). Sagsøgte mener, at massindsamling af data er afgørende for beskyttelsen af den national sikkerhed, herunder som led i bekæmpelse af terrorisme, kontraspionage og bekæmpelse af spredningen af atomvåben. Som følge af Tele2/Sverige og Watson afgørelsen er udbyderen af elektroniske kommunikationsnetværk ikke efterfølgende forpligtet til at lagre kommunikationsdata (efter det tidsrum, der stilles krav om i forbindelse med deres almindelige virksomhed), men de opbevares alene af de offentlige myndigheder (sikkerheds- og efterretningsagenturerne). Sagsøgte mener derved, at de overholder kravene i EMRK og Den Europæiske Unions Charter om grundlæggende rettigheder.

De præjudicielle spørgsmål:

  • Er en myndigheds afgørelse, om at en udbyder af et elektronisk kommunikationsnetværk skal udlevere massekommunikationsdata til en medlemsstats sikkerheds- og efterretningsagenturer, omfattet af EU-retten og e-databeskyttelsesdirektivet?
  • Hvis første spørgsmål besvares bekræftende: Finder Tele2/Sverige og Watson-kravene, eller eventuelle andre krav ud over kravene i EMRK, anvendelse på en sådan afgørelse? Hvis det er tilfældet, hvordan og i hvilket omfang finder de pågældende krav anvendelse, idet der tages højde for, at det er tvingende nødvendigt, at sikkerheds- og efterretningsagenturerne kan indsamle massekommunikationsdata og bruge automatiserede behandlingsteknikker for at beskytte den nationale sikkerhed, og for, i hvor høj grad denne mulighed, såfremt den i øvrigt er i overensstemmelse med EMRK, risikerer at blive begrænset i et kritisk omfang ved indførelsen af sådanne krav?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 15. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"Artikel 4 TEU og artikel 1, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) skal fortolkes således, at de er til hinder for en national lovgivning, der pålægger en udbyder af elektroniske kommunikationsnet en pligt til at udlevere "bulk-kommunikationsdata" til en medlemsstats sikkerheds- og efterrefatningsagenturer, som indebærer en forudgående generel og udifferentieret indsamling".

Subsidiært:

"En medlemsstats sikkerheds- og efterretningsagenturers adgang til de data, som udbydere af elektronisk kommunikationsnet overfører, skal opfylde de betingelser, der er fastsat i dom af 21. december 2016, Tele2 Sverige og Watson (C-203/15 og C-698/15, EU:C:2016:970)".

Domsafsigelse:

EU-domstolen har den 6. oktober 2020 afsagt dom i sagen, hvoraf følgende fremgår:

  • "Having regard to the foregoing considerations, the answer to the first question is that Article 1(3), Article 3 and Article 15(1) of Directive 2002/58, read in the light of Article 4(2) TEU, must be interpreted as meaning that national legislation enabling a State authority to require providers of electronic communications services to forward traffic data and location data to the security and intelligence agencies for the purpose of safeguarding national security falls within the scope of that directive."
  • "The answer to the second question is that Article 15(1) of Directive 2002/58, read in the light of Article 4(2) TEU and Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as precluding national legislation enabling a State authority to require providers of electronic communications services to carry out the general and indiscriminate transmission of traffic data and location data to the security and intelligence agencies for the purpose of safeguarding national security."

 

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i de forende hovedsager:

La Quadrature du Net, French Data Network.

Sagsøgte i de forenede hovedsager:

Den franske regering.

Faktum i de forenede hovedsager:

I EU-Domstolens dom af 21. december 2016 i de forenede sager, Tele2/Sverige og Watson, C-203/15 og C-698/15, blev det b.la. fastslået, at de nationale regler om logning var i strid med e-databeskyttelsesdirektivet sammenholdt med Den Europæiske Unions Charter om grund-læggende rettigheder, idet de medførte en generel og udifferentieret lagring af trafikdata og lokaliseringsdata. Siden Tele2/Sverige og Watson dommen har flere medlemsstater valgt ikke at ophæve deres nationale lovgivning vedrørende lagring af trafikdata og lokaliseringsdata, men i stedet forholdt sig afventende. På baggrund af dette skal den franske Conseil D'État nu foretage afgørelse i to sager, omhandlende gyldigheden af fransk lovgivning og fortolkningen af e-databeskyttelsesdirektivet. Conseil d'État i Frankrig har i den forbindelse forelagt EU-Domstolen fem præjudicielle spørgsmål – hvoraf to er enslydende – om bl.a. fortolkningen af e-databeskyttelsesdirektivet.

De præjudicielle spørgsmål:

  • Skal en forpligtelse til generel og udifferentieret lagring, som pålægges udbyderne på grundlag af e-databeskyttelsesdirektivets artikel 15, stk. 1, i en situation, der er præget af alvorlige og vedvarende trusler mod den nationale sikkerhed og navnlig af risikoen for terror, anses for et berettiget indgreb i retten til den personlige sikkerhed, jf. EU Chartrets art. 6, og hensynet til den nationale sikkerhed, som medlemsstaterne er eneansvarlige for i medfør af artikel 4 i traktaten om Den Europæiske Union?
  • Skal e-databeskyttelsesdirektivet sammenholdt med EU Chartret fortolkes således, at det tillader lovgivningsmæssige foranstaltninger, såsom foranstaltninger med henblik på indsamling af trafik- og lokaliseringsdata i realtid, hvilket påvirker rettigheder og forpligtelser for udbydere af en elektronisk kommunikationstjeneste, men dog ikke pålægger dem en specifik forpligtelse til lagring af deres data?
  • Skal e-databeskyttelsesdirektivet sammenholdt med EU Chartret fortolkes således, at det gør retmæssigheden af procedurer til indsamling af data betinget af opfyldelsen af krav om underretning af de berørte personer, når en sådan underretning ikke længere kan skade de kompetente myndigheders efterforskning, eller kan sådanne procedurer kun anses for at være retmæssige når samtlige øvrige eksisterende proceduremæssige garantier finder anvendelse, idet disse sikrer, at adgangen til retsmidler er effektiv?
  • Skal bestemmelserne i e-databeskyttelsesdirektivet sammenholdt med artikel 6, 7, 8, 11 og artikel 52, stk. 1, i EU Chartret fortolkes således, at de tillader en stat at indføre en national lovgivning, der pålægger personer, hvis virksomhed består i at tilbyde adgang til offentlige onlinekommunikationstjenester, og fysiske eller juridiske personer, der, selv vederlagsfrit, med henblik på tilrådighedsstillelse for offentligheden via offentlige onlinekommunikationstjenester varetager oplagring af signaler, skrift, billeder, lyd eller meddelelser af enhver art, der leveres af modtagere af disse tjenester, at lagre data, som vil kunne gøre det muligt at identificere enhver, der har bidraget til at skabe indholdet eller en del af indholdet af de tjenester, som de leverer, for at den retslige myndighed i påkommende tilfælde kan kræve videregivelse heraf med henblik på at sikre overholdelsen af reglerne om civil- eller strafferetligt ansvar?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 15. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om privatliv og elektronisk kommunikation), sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at:

1) Bestemmelsen er til hinder for en national lovgivning, som i en situation, der er præget af alvorlige og vedvarende trusler mod den nationale sikkerhed og navnlig af risikoen for terror, forpligter operatørerne og udbyderne af elektroniske kommunikationstjenester til at foretage en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter, samt af de data, der gør det muligt at identificere skaberne af det indhold, der leveres af udbyderne af disse tjenester.

2) Bestemmelsen er til hinder for en national lovgivning, som ikke fastsætter en pligt til at underrette de berørte personer om de kompetente myndigheders behandling af deres personoplysninger, medmindre en sådan underretning er til fare for de pågældende myndigheders efterforskning.

3) Bestemmelsen er ikke til hinder for en national lovgivning, hvorefter det er tilladt at indsamle specifikke personers trafik- og lokaliseringsdata i realtid, for så vidt som disse handlinger udføres i overensstemmelse med de fastsatte procedurer for adgang til lovligt lagrede personoplysninger og med samme garantier."

Domsafsigelse:

EU-domstolen har den 6. oktober 2020 afsagt dom i sagerne, hvoraf følgende fremgår:

Ad spørgsmål 1 i sag C-511/18 og C‑512/18 og spørgsmål 1 og 2 C‑520/18:

  • Article 15(1) of Directive 2002/58, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as precluding legislative measures which, for the purposes laid down in Article 15(1), provide, as a preventive measure, for the general and indiscriminate retention of traffic and location data. By contrast, Article 15(1), read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, does not preclude legislative measures that:
    • allow, for the purposes of safeguarding national security, recourse to an instruction requiring providers of electronic communications services to retain, generally and indiscriminately, traffic and location data in situations where the Member State concerned is confronted with a serious threat to national security that is shown to be genuine and present or foreseeable, where the decision imposing such an instruction is subject to effective review, either by a court or by an independent administrative body whose decision is binding, the aim of that review being to verify that one of those situations exists and that the conditions and safeguards which must be laid down are observed, and where that instruction may be given only for a period that is limited in time to what is strictly necessary, but which may be extended if that threat persists;
    • provide, for the purposes of safeguarding national security, combating serious crime and preventing serious threats to public security, for the targeted retention of traffic and location data which is limited, on the basis of objective and non-discriminatory factors, according to the categories of persons concerned or using a geographical criterion, for a period that is limited in time to what is strictly necessary, but which may be extended;
    • provide, for the purposes of safeguarding national security, combating serious crime and preventing serious threats to public security, for the general and indiscriminate retention of IP addresses assigned to the source of an Internet connection for a period that is limited in time to what is strictly necessary;
    • provide, for the purposes of safeguarding national security, combating crime and safeguarding public security, for the general and indiscriminate retention of data relating to the civil identity of users of electronic communications systems;
    • allow, for the purposes of combating serious crime and, a fortiori, safeguarding national security, recourse to an instruction requiring providers of electronic communications services, by means of a decision of the competent authority that is subject to effective judicial review, to undertake, for a specified period of time, the expedited retention of traffic and location data in the possession of those service providers,
  • Provided that those measures ensure, by means of clear and precise rules, that the retention of data at issue is subject to compliance with the applicable substantive and procedural conditions and that the persons concerned have effective safeguards against the risks of abuse.

Ad spørgsmål 2 og 3 i sag C‑511/18:

  • Article 15(1) of Directive 2002/58, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as not precluding national rules which requires providers of electronic communications services to have recourse, first, to the automated analysis and real-time collection, inter alia, of traffic and location data and, second, to the real-time collection of technical data concerning the location of the terminal equipment used, where:
    • recourse to automated analysis is limited to situations in which a Member State is facing a serious threat to national security which is shown to be genuine and present or foreseeable, and where recourse to such analysis may be the subject of an effective review, either by a court or by an independent administrative body whose decision is binding, the aim of that review being to verify that a situation justifying that measure exists and that the conditions and safeguards that must be laid down are observed; and where
    • recourse to the real-time collection of traffic and location data is limited to persons in respect of whom there is a valid reason to suspect that they are involved in one way or another in terrorist activities and is subject to a prior review carried out either by a court or by an independent administrative body whose decision is binding in order to ensure that such real-time collection is authorised only within the limits of what is strictly necessary. In cases of duly justified urgency, the review must take place within a short time.

Ad spørgsmål 2 i sag C‑512/18:

  • Directive 2000/31 must be interpreted as not being applicable in the field of the protection of the confidentiality of communications and of natural persons as regards the processing of personal data in the context of information society services, such protection being governed by Directive 2002/58 or by Regulation 2016/679, as appropriate. Article 23(1) of Regulation 2016/679, read in the light of Articles 7, 8 and 11 and Article 52(1) of the Charter, must be interpreted as precluding national legislation which requires that providers of access to online public communication services and hosting service providers retain, generally and indiscriminately, inter alia, personal data relating to those services.

Link til C-511/18 og C-512/18 på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Orange România S.A.

Sagsøgte i hovedsagen:

Det rumænske datatilsyn (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal)

Faktum i hovedsagen:

Der er tale om en anmodning om præjudiciel afgørelse indgivet af Tribunalul București (Rumænien). Sagen omhandler fortolkning af databeskyttelsesdirektivets regler om samtykke.

De præjudicielle spørgsmål:

  • Hvilke betingelser skal være opfyldt for, at en viljetilkendegivelse kan opfattes som en specifik og informeret viljetilkendegivelse som omhandlet i databeskyttelsesdirektivets artikel 2, litra h?
  • Hvilke betingelser skal være opfyldt for, at en viljetilkendegivelse kan opfattes som en frivillig viljetilkendegivelse som omhandlet i direktivets artikel 2, litra h?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 4. marts 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

”En registreret, som har til hensigt at indgå et aftaleforhold om leveringen af telekommunikationstjenester med en virksomhed, giver ikke sit »samtykke«, dvs. tilkendegiver ikke en »specifik og informeret« samt »frivillig« vilje som omhandlet i artikel 2, litra h), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og i artikel 4, nr. 11), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) til denne virksomhed, når den registrerede med håndskrift, på hvad der ellers er en standardaftale, skal anføre, at denne nægter at samtykke til fotokopieringen og opbevaringen af sine ID-dokumenter.”

Domsafsigelse

EU-domstolen har d. 11 november truffet afgørelse i sagen. Domstolen valgte i sin afgørelse at fremsætte både sin fortolkning af databeskyttelsesdirektivets artikel 2. litra h) som de præjudicielle spørgsmål oprindeligt omhandlede, samt sin fortolkning af databeskyttelsesforordningens artikel 4, stk. 11 og artikel 6, stk. 1, litra a) omhandlede den nu gældende databeskyttelsesforordnings definitionen af det databeskyttelsesretlige samtykke. 

Af Domstolens afgørelse fremgår følgende:

Artikel 2, litra h), og artikel 7, litra a), i databeskyttelsesdirektivet samt artikel 4, nr. 11), og artikel 6, stk. 1, litra a), databeskyttelsesforordningen  skal fortolkes således, at det påhviler den dataansvarlige at påvise, at den registrerede ved en aktiv adfærd har tilkendegivet sit samtykke til behandling af sine personoplysninger, og at den registrerede forud herfor har modtaget oplysninger om alle omstændigheder i forbindelse med behandlingen i en letforståelig og lettilgængelig form og i et klart og enkelt sprog, som sætter vedkommende i stand til uden besvær at bestemme konsekvenserne af dette samtykke, således at det sikres, at samtykket gives med fuldt kendskab til følgerne.

En aftale om levering af telekommunikationstjenester, der indeholder et vilkår om, at den registrerede er blevet informeret om og har givet samtykke til indsamling og opbevaring af en genpart af vedkommendes identitetsbevis med henblik på identifikation af den pågældende, kan ikke bevise, at den registrerede har givet et gyldigt samtykke til denne indsamling og opbevaring som omhandlet i disse bestemmelser, hvis

  • feltet vedrørende dette vilkår er blevet afkrydset af den dataansvarlige inden underskrivelsen af aftalen, eller
  • aftalevilkårene kan vildlede den registrerede med hensyn til muligheden for at indgå den pågældende aftale, selv om vedkommende nægter at give samtykke til behandlingen af sine oplysninger, eller
  • den dataansvarlige uretmæssigt påvirker det frie valg med hensyn til at modsætte sig denne indsamling og opbevaring ved at kræve, at den registrerede ved nægtelse af samtykke skal udfylde en supplerende formular om nægtelse.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

D.-H.T., som kurator for J & S Service UG (haftungsbeschränkt).

Sagsøgte i hovedsagen:

Land Nordrhein-Westfalen.

Faktum i hovedsagen:

Sagsøger er kurator. Han har anmodet om skattemæssige oplysninger vedrørende debitor, et kapitalselskab (Unternehmergesellschaft), fra det kompetente skattekontor med henblik på at kunne undersøge fremsatte krav om omstødelse ved insolvens.

Skattekontoret afslog imidlertid kurators anmodning, fremsat i henhold til Informationsfreiheitsgesetz (lov om informationsfrihed) i delstaten Nordrhein-Westfalen, om indsigt i oplysninger vedrørende trusler om tvangsfuldbyrdelsesforanstaltninger og om påbud om opfyldelse, modtagne betalinger og om tidspunktet, hvor det blev kendt, at debitor var insolvent, og endelig om udlevering af kontoudtog for alle forskellige typer af skattekonti i beskatningsperioden marts 2014 til juni 2015.

De præjudicielle spørgsmål:

  • Tjener artikel 23, stk. 1, litra j), i forordning (EU) 2016/679 ligeledes til beskyttelsen af skattemyndighedernes interesser?
  • Omfatter udtrykket »håndhævelse af civilretlige krav« i bekræftende fald også skattemyndighedernes forsvar mod civilretlige krav, og skal de pågældende krav i givet fald allerede være gjort gældende?
  • Giver bestemmelsen i artikel 23, stk. 1, litra e), i forordning (EU) 2016/679 om beskyttelse af en medlemsstats væsentlige finansielle interesser, herunder skatteanliggender, mulighed for at begrænse indsigtsretten i henhold til artikel 15 i forordning (EU) 2016/679 med henblik på at afværge civilretlige krav om omstødelse ved insolvens mod skattemyndighederne?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 3. september 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

”Jeg foreslår, at Domstolen fastslår, at den savner kompetence til at besvare de præjudicielle spørgsmål fra Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland).”

Domsafsigelse:

EU-domstolen har den 10. december 2020 afsagt dom i sagen, hvoraf følgende fremgår:

Domstolen har ikke kompetence til at besvare de spørgsmål, der er forelagt af Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland) ved afgørelse af 4. juli 2019.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere:

H.K.

Sagsøgte:

Anklagemyndigheden i Estland

Faktum i hovedsagen:

H.K er estisk statsborger, som blev dømt efter estisk straffelov i en sag, hvor retten i første instans støttede domfældelsen, foruden andre beviser, på protokoller, der var blevet udfærdigt på grundlag af data, som var blevet udleveret af en telekommunikationsvirksomhed i forbindelse med efterforskningen.

De præjudicielle spørgsmål:

  • Skal artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002, sammenholdt med artikel 7, 8, 11 og 52, stk. 1, i Den Europæiske Unions Charter om grundlæggende rettigheder fortolkes således, at statslige myndigheders adgang i en straffesag til data, som gør det muligt at fastslå udgangs- og destinationssted, dato, klokkeslæt og varighed, kommunikationstjenestens art, det anvendte terminaludstyr og stedet for anvendelsen af mobilt terminaludstyr for så vidt angår en sigtets telefon- eller mobiltelefonkommunikation, udgør et så alvorligt indgreb i de grundlæggende rettigheder, der er fastsat i de nævnte artikler i chartret, at denne adgang i forbindelse med forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager skal begrænses til bekæmpelse af grov kriminalitet, uanset hvilken periode de lagrede data, som de statslige myndigheder har adgang til, vedrører?

  • Skal artikel 15, stk. 1, i direktiv 2002/58/EF med udgangspunkt i proportionalitetsprincippet, som kommer til udtryk i Den Europæiske Unions Domstols dom af 2. oktober 2018 (C-207/16, præmis 55-57), fortolkes således, at når mængden af de i det første spørgsmål nævnte data, som de statslige myndigheder har adgang til, ikke er stor (hverken med hensyn til dataenes art eller tidsmæssige udstrækning), kan det dertil knyttede indgreb i de grundlæggende rettigheder være begrundet i formålet forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager generelt, og at de strafbare handlinger, som skal bekæmpes med indgrebet, skal være så meget desto grovere, jo større den mængde data er, som de statslige myndigheder har adgang til?

  • Betyder det i Domstolens dom af 21. december 2016 i de forenede sager C-203/15 og C-698/15, domskonklusionens punkt 2, nævnte krav om, at de kompetente statslige myndigheders adgang skal være underlagt en forudgående kontrol foretaget af en domstol eller af en uafhængig administrativ myndighed, at artikel 15, stk. 1, i direktiv 2002/58/EF skal [org. s. 2] fortolkes således, at anklagemyndigheden, som leder efterforskningen, og som i denne forbindelse ifølge loven er forpligtet til at handle uafhængigt og kun er bundet af loven og under efterforskningen opklarer såvel omstændigheder, der belaster den tiltalte, som omstændigheder, der er diskulperende for den pågældende, men senere i retssagen repræsenterer den offentlige anklage, kan anses for en uafhængig administrativ myndighed?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 21. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"1) Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at de kriterier, der giver mulighed for at bedømme alvoren af det indgreb i de grundlæggende rettigheder, som udgøres af de kompetente nationale myndigheders adgang til personoplysninger, som udbyderne af elektroniske kommunikationstjenester i henhold til en national lovgivning har pligt til at opbevare, omfatter de pågældende kategorier af data samt varigheden af den periode, for hvilken der er anmodet om denne adgang. Det tilkommer den forelæggende ret på grundlag af indgrebets alvor at vurdere, om den pågældende adgang var strengt nødvendig for at nå målet om at sikre forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager.

2) Artikel 15, stk. 1, i direktiv 2002/58, som ændret ved direktiv 2009/136, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i chartret om grundliggende rettigheder, skal fortolkes således, at kravet om, at de kompetente nationale myndigheders adgang til de lagrede data skal være underlagt en forudgående kontrol foretaget af en domstol eller af en uafhængig administrativ myndighed, ikke er opfyldt, når en national lovgivning bestemmer, at en sådan kontrol udføres af den offentlige anklager, der har til opgave at lede efterforskningen og samtidig kan udøve den offentlige påtalekompetence for retten."

Domsafsigelse

EU-domstolen har den 2. marts afsagt dom i sagen, hvoraf følgene fremgår:

Det første og det andet spørgsmål, som Domstolen behandlede samlet, besvares med, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, der giver offentlige myndigheder adgang til en samling af trafikdata eller lokaliseringsdata, som kan tilvejebringe oplysninger om den kommunikation, som en bruger har foretaget ved hjælp af et elektronisk kommunikationsmiddel, eller om placeringen af det terminaludstyr, som den pågældende gør brug af, og som kan gøre det muligt at drage præcise slutninger om den pågældendes privatliv, med henblik på at foretage forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager, uden at denne adgang er begrænset til de procedurer, der har til formål at bekæmpe grov kriminalitet eller at forebygge alvorlige trusler mod den offentlige sikkerhed, og uafhængigt af varigheden af den periode, for hvilken der er anmodet af adgang til de nævnte data, og mængden eller arten af de data, der er tilgængelige i en sådan periode.

Det tredje spørgsmål besvares med, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, der tillægger anklagemyndigheden, der har til opgave at lede den strafferetlige efterforskning og i givet fald at udøve den offentlige påtalekompetence i en senere retssag, beføjelse til at give en offentlig myndighed adgang til trafikdata og lokaliseringsdata i forbindelse med den strafferetlige efterforskning.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Ordre des barreaux francophones et germanophone, Académie Fiscale ASBL, UA, Liga voor Mensenrechten ASBL, Ligue des Droits de l’Homme ASBL, VZ, WY og XX.

Sagsøgte i hovedsagen:

Den belgiske regering.

Faktum i hovedsagen:

Samme problemstilling som i de forenede sager C-511/18 og C-512/18. Den belgiske forfatningsdomstol har forelagt EU-Domstolen tre præjudicielle spørgsmål ved-rørende de EU-retlige rammer for nationale bestemmelser, der forpligter teleudbydere mv. at lagre trafik- og lokaliseringsdata.

De præjudicielle spørgsmål:

  • Skal e-databeskyttelsesdirektivets artikel 15, stk. 1, sammenholdt med Den Europæiske Unions Charter om grundlæggende rettigheder artikel 6, 7, 8 og artikel 52, stk. 1, fortolkes således, at bestemmelsen er til hinder for national lovgivning, der fastsætter en generel pligt for operatører og udbydere af elektroniske kommunikationstjenester til at lagre trafik- og lokaliseringsdata, der genereres og behandles af dem inden for rammerne af udbuddet af disse tjenester, som ikke kun har efterforskning, afsløring og retsforfølgning af grov kriminalitet som formål, men ligeledes sikring af den nationale sikkerhed, forsvar af territoriet, den offentlige sikkerhed, efterforskning, afsløring og retsforfølgning af andre grunde end grov kriminalitet eller forebyggelse af ulovlig brug af elektroniske kommunikationssystemer eller gennemførelse af et andet formål i henhold til artikel 23, stk. 1, i databeskyttelsesforordningen, og som endvidere er undergivet præcise garantier i denne lovgivning vedrørende lagring af data og adgangen dertil?
  • Skal e-databeskyttelsesdirektivets artikel 15, stk. 1, sammenholdt med Chartrets artikel 4,7, 8, 11 og artikel 52, stk. 1, fortolkes således, at bestemmelsen er til hinder for en national lovgivning, der fastsætter en generel pligt for operatører og udbydere af elektroniske kommunikationstjenester til at lagre trafik- og lokaliseringsdata, der genereres og behandles af dem inden for rammerne af udbuddet af disse tjenester, såfremt denne lovgivning bl.a. har til formål at opfylde de positive forpligtelser, der påhviler myndigheden i henhold til Chartrets artikel 4 og 8, der består i at fastsætte en retlig ramme, der muliggør en effektiv strafferetlig efterforskning af og en effektiv retshåndhævelse over for seksuelt misbrug af mindreårige, og som rent faktisk gør det muligt at identificere gerningsmanden bag overtrædelsen, selv i tilfælde, hvor der gøres brug af elektroniske kommunikationsmidler?
  • Såfremt den belgiske forfatningsdomstol på grundlag af besvarelserne af det første og det andet præjudicielle spørgsmål konkluderer, at den anfægtede lov er i strid med en eller flere af de forpligtelser, der følger af de i disse spørgsmål nævnte bestemmelser, kan forfatningsdomstolen da midlertidigt opretholde virkningerne af den national lov om indsamling og lagring af data i den elektroniske kommunikationssektor med henblik på at undgå retsusikkerhed og muliggøre, at data, der forinden er blevet indsamlet og lagret, stadig kan anvendes til de formål, der er omhandlet i loven?

Retsmøde:

Der blev afholdt retsmøde i sagen den 9. september 2019.

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 15. januar 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

"1) Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at:

– Den er til hinder for en national lovgivning, som pålægger operatører og udbydere af elektroniske kommunikationstjenester en pligt til generelt og udifferentieret at lagre trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og brugere i forbindelse med samtlige midler til elektronisk kommunikation.

– Ovenstående berøres ikke af den omstændighed, at denne nationale lovgivning ikke blot har efterforskning, afsløring og retsforfølgning af grov eller ikke grov kriminalitet til formål, men derimod også den nationale sikkerhed, forsvar af territoriet, den offentlige sikkerhed, forebyggelse af ulovlig brug af elektroniske kommunikationssystemer eller et andet formål i henhold til artikel 23, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

– Ovenstående berøres heller ikke af den omstændighed, at adgangen til lagrede data er undergivet præcise lovgivningsmæssige garantier. Det tilkommer den forelæggende ret at efterprøve, om den nationale lovgivning, der regulerer betingelserne for de kompetente myndigheders adgang, begrænser den til de specifikke tilfælde, hvis grad af alvor gør det nødvendigt at foretage et indgreb, betinger den af en forudgående kontrol (undtagen i hastende tilfælde) fra en retsinstans eller en uafhængig myndighed, og foreskriver, at de berørte personer underrettes om denne adgang, såfremt denne underretning ikke bringer disse myndigheders indsats i fare.

2) Artikel 4 og 6 i Den Europæiske Unions charter om grundlæggende rettigheder berører ikke fortolkningen af artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med de øvrige førnævnte artikler i chartret, således at de forhindrer, at det fastslås, at en national lovgivning som den i hovedsagen omtvistede er uforenelig med EU-retten.

3) En national retsinstans kan, hvis dette er tilladt i henhold til national ret, undtagelsesvis og midlertidigt opretholde virkningerne af en lovgivning som den i hovedsagen omhandlede, selv om den er uforenelig med EU-retten, såfremt denne opretholdelse er begrundet i tvingende hensyn vedrørende trusler mod den offentlige sikkerhed eller den nationale sikkerhed, som ikke er mulige at håndtere ved hjælp af andre midler eller alternativer. Nævnte opretholdelse kan kun omfatte den tidsperiode, som er strengt nødvendig for at afhjælpe den pågældende uforenelighed med EU-retten."

Domsafsigelse:

EU-domstolen har den 6. oktober 2020 afsagt dom i sagen, hvoraf følgende fremgår:

Ad spørgsmål 1 og 2:

  • Artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for lovgivningsmæssige foranstaltninger, der med henblik på de formål, der er fastsat i denne artikel 15, stk. 1, i forebyggende øjemed foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata. Den nævnte artikel 15, stk. 1, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, er derimod ikke til hinder for lovgivningsmæssige foranstaltninger
    • der med henblik på beskyttelse af den nationale sikkerhed gør det muligt at pålægge udbydere af elektroniske kommunikationstjenester et påbud om at foretage generel og udifferentieret lagring af trafikdata og lokaliseringsdata i de situationer, hvor den pågældende medlemsstat står over for en alvorlig trussel mod den nationale sikkerhed, som må anses for at være reel og aktuel eller forudsigelig, når den afgørelse, der fastsætter dette påbud, kan gøres til genstand for en effektiv prøvelse enten ved en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser, med henblik på at kontrollere, om en af disse situationer foreligger, samt om de betingelser og garantier, der skal være fastsat, er overholdt, og når det nævnte påbud kun kan udstedes for en periode, der er tidsmæssigt begrænset til det strengt nødvendige, men som kan forlænges i tilfælde af, at denne trussel består
    • der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver målrettet lagring af de trafikdata og lokaliseringsdata, som på grundlag af objektive og ikke-diskriminerende forhold er afgrænset ud fra kategorier af berørte personer eller ved hjælp af et geografisk kriterium, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige, men som kan forlænges
    • der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver generel og udifferentieret lagring af de IP-adresser, der er tildelt kilden til en forbindelse, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige
    • der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og beskyttelse af den offentlige sikkerhed foreskriver generel og udifferentieret lagring af de data, der vedrører identiteten på brugerne af elektroniske kommunikationsmidler, og
    • der med henblik på bekæmpelse af grov kriminalitet og a fortiori med henblik på beskyttelsen af den nationale sikkerhed, gør det muligt ved en afgørelse fra den kompetente myndighed, som er underlagt en effektiv domstolsprøvelse, at pålægge udbydere af elektroniske kommunikationstjenester et påbud om i en begrænset periode at foretage hurtig lagring af de trafikdata og lokaliseringsdata, som disse tjenesteudbydere råder over
  • for så vidt som disse foranstaltninger ved klare og præcise regler sikrer, at lagringen af de omhandlede data er underlagt overholdelsen af de dermed forbundne materielle og proceduremæssige betingelser, og at de berørte personer råder over effektive garantier mod risikoen for misbrug

Ad spørgsmål 3:

  • Det tredje spørgsmål i sag C-520/18 besvares med, at en national ret ikke kan anvende en bestemmelse i den nationale lovgivning, som giver den bemyndigelse til tidsmæssigt at begrænse virkningerne af en afgørelse om ulovlighed, som det i medfør af denne lovgivning påhviler denne ret at træffe, med hensyn til en national lovgivning, der pålægger udbydere af elektroniske kommunikationstjenester navnlig med henblik på beskyttelse af den nationale sikkerhed og bekæmpelse af kriminalitet, at foretage en generel og udifferentieret lagring af trafikdata og lokaliseringsdata, som er uforenelig med artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1. Denne artikel 15, stk. 1, som fortolket i lyset af effektivitetsprincippet, pålægger den nationale ret i straffesager at se bort fra de oplysninger og de beviser, der er opnået ved hjælp af en generel og udifferentieret lagring af trafikdata og lokaliseringsdata, som er uforenelig med EU-retten, inden for rammerne af en straffesag, der er indledt mod personer, som er mistænkt for at have begået kriminelle handlinger, hvis disse personer ikke er i stand til effektivt at udtale sig om disse oplysninger og disse beviser, som henhører under et område, der ligger uden for rettens sagkundskab, og som kan have afgørende indflydelse på vurderingen af de faktiske omstændigheder.

Link til sagen på EU-Domstolens hjemmeside  

 

Sagsøgere i hovedsagen:

WS

Sagsøgte i hovedsagen:

Bundesrepublik Deutschland

Faktum i hovedsagen:

Den konkrete sag drejer sig om, at Interpol har registreret en efterlysning (en såkaldt "Red Notice"), som hidrører fra en stat uden for EU, og hvor efterforskningen af den person, som efterlysningen vedrører (sagsøger i den tyske sag), blev indstillet af en tysk anklagemyndighed mod betaling af et pålagt beløb.

Sagsøger har bl.a. gjort gældende, at medlemsstaternes behandling af personoplysninger om ham registreret hos Interpol som en "Red Notice" er i strid med retshåndhævelsesdirektivet, idet behandling efter direktivets artikel 8, stk. 1, kun er lovlig, hvis den sker på grundlag af EU-retten. Det følger endvidere af 25. betragtning til retshåndhævelsesdirektivet, at grundlæggende rettigheder og frihedsrettigheder med hensyn til elektronisk behandling af personoplysninger skal sikres ved udvekslingen af personoplysninger med Interpol. På den baggrund anfører sagsøger, at medlemsstaterne alene må behandle oplysninger registreret hos Interpol, der er i overensstemmelse med EU-retten.

Det bemærkes i den forbindelse, at der ikke foreligger en afgørelse fra EU-Kommissionen om tilstrækkeligheden af Interpols databeskyttelsesniveau, jf. retshåndhævelsesdirektivets artikel 36

De præjudicielle spørgsmål:

  • Skal Schengenkonventionens 1 artikel 54, sammenholdt med artikel 50 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«), fortolkes således, at allerede indledningen af en straffesag i alle lande omfattet af Schengenaftalen på grund af den samme lovovertrædelse er udelukket, når en tysk anklagemyndighed indstiller en indledt straffesag, efter at den sigtede har opfyldt bestemte vilkår, herunder navnlig har betalt et bestemt af anklagemyndigheden fastsat pengebeløb?
  • Gælder der som følge af artikel 21, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde et forbud mod medlemsstaters efterkommelse af anmodninger om anholdelse fra tredjelande inden for rammerne af en international organisation som Den Internationale Kriminalpolitiorganisation – Interpol – når den af anholdelsesanmodningen omfattede person er unionsborger, og når den medlemsstat, hvori den pågældende er statsborger, har underrettet både den internationale organisation og dermed også de øvrige medlemsstater om sin betænkelighed ved anholdelsesanmodningens forenelighed med forbuddet mod dobbeltstraf?
  • Er allerede indledningen af en straffesag og en foreløbig anholdelse i de medlemsstater, hvori den pågældende ikke er statsborger, i strid med artikel 21, stk. 1, TEUF, såfremt dette er i strid med forbuddet mod dobbeltstraf?
  • Skal artikel 4, stk. 1, litra a), og artikel 8, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 2 , sammenholdt med Schengenkonventionens artikel 54 og chartrets artikel 50, fortolkes således, at medlemsstaterne er forpligtet til at fastsætte retsregler, som kan sikre, at det i tilfælde af en sag, der fører til ophør af adgangen til strafforfølgning, i alle stater omfattet af Schengenaftalen vil være forbudt at behandle en såkaldt (»Red Notice)« fra Den Internationale Kriminalpolitiorganisation – Interpol – med henblik på på ny at indlede en straffesag?
  • Råder en international organisation som Den Internationale Kriminalpolitiorganisation – Interpol – over et tilstrækkeligt databeskyttelsesniveau, når der ikke er truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet i medfør af artikel 36 i direktiv (EU) 2016/680 og/eller fastsat bestemmelser om fornødne garantier i medfør af artikel 37 i direktiv (EU) 2016/680?
  • Må medlemsstaterne kun behandle oplysninger, som indgår i en til Den Internationale Kriminalpolitiorganisation – Interpol – af tredjelande indgivet efterlysning (»Red Notice«), hvis et tredjeland med efterlysningen formidler en anholdelses- og udleveringsanmodning og samtidig fremsætter en anholdelsesanmodning, der ikke strider mod EU-retten, herunder navnlig forbuddet mod dobbeltstraf?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 19. november 2020. Generaladvokaten anbefaler i sin udtalelse, at Domstolen besvare de forelagte præjudicielle spørgsmål på følgende måde:

Ad det første, andet og tredje spørgsmål

’’Artikel 54 i konventionen om gennemførelse af Schengenaftalen af 14. juni 1985 mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, sammenholdt med artikel 50 i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 21, stk. 1, TEUF, er til hinder for, at medlemsstaterne kan gennemføre en af Interpol udstedt Red Notice efter anmodning fra et tredjeland og dermed begrænse en persons frie bevægelighed, forudsat at den kompetente myndighed i en medlemsstat har truffet en endelig afgørelse om den konkrete anvendelse af princippet ne bis in idem for så vidt angår de specifikke anklager, som var baggrunden for udstedelsen af den omhandlede Red Notice.’’

Ad det fjerde og sjette spørgsmål

’’Bestemmelserne i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger , sammenholdt med gennemførelseskonventionens artikel 54 og chartrets artikel 50, er ikke til hinder for behandling af personoplysninger, der indgår i en Red Notice udstedt af Interpol, selv hvis princippet ne bis in idem kunne finde anvendelse på anklager, som var baggrunden for udstedelsen af denne Red Notice, forudsat at behandlingen foretages i overensstemmelse med reglerne i dette direktiv.’’

Ad det femte spørgsmål

’’Det femte spørgsmål (om hvorvidt en international organisation som Den Internationale Kriminalpolitiorganisation – Interpol – råder over et tilstrækkeligt databeskyttelsesniveau red.) afvises.’’

Domsafsigelse:

EU-domstolen har den 12. maj 2021 afsagt dom i sagen, hvoraf følgende fremgår:

1)      Artikel 54 i konventionen om gennemførelse af Schengen-aftalen af 14. juni 1985 mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, der blev undertegnet i Schengen den 19. juni 1990 og trådte i kraft den 26. marts 1995, og artikel 21, stk. 1, TEUF, sammenholdt med artikel 50 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at bestemmelserne ikke er til hinder for, at myndighederne i en stat, der er part i aftalen indgået mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, undertegnet i Schengen den 14. juni 1985, eller en medlemsstats myndigheder efter anmodning fra en tredjestat foretager en midlertidig anholdelse af en person, der er omfattet af et efterlysningsblad (rødt hjørne) offentliggjort af Den Internationale Kriminalpolitiorganisation (INTERPOL), medmindre det i en endelig retsafgørelse truffet i en stat, der er part i denne aftale, eller i en medlemsstat er godtgjort, at der over for denne person allerede er afsagt endelig dom i en stat, som er part i nævnte aftale, eller i en medlemsstat for de samme strafbare handlinger som dem, der udgør grundlaget for det nævnte efterlysningsblad (rødt hjørne).

2)      Bestemmelserne i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA, sammenholdt med artikel 54 i konventionen om gennemførelse af Schengenaftalen, undertegnet den 19. juni 1990, og med artikel 50 i chartret om grundlæggende rettigheder, skal fortolkes således, at de ikke er til hinder for en behandling af de personoplysninger, som er indeholdt i et efterlysningsblad (rødt hjørne) udsendt af Den Internationale Kriminalpolitiorganisation (INTERPOL), så længe det ikke ved en endelig retsafgørelse truffet i en stat, der er part i aftalen indgået mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser, undertegnet i Schengen den 14. juni 1985, eller i en medlemsstat er blevet godtgjort, at princippet ne bis in idem finder anvendelse for så vidt angår de strafbare handlinger, hvorpå dette efterlysningsblad er støttet, og forudsat at en sådan behandling opfylder de i direktivet fastsatte betingelser, herunder navnlig at den er nødvendig for, at en kompetent myndighed kan udføre en opgave som omhandlet i direktivets artikel 8, stk. 1.

3)      Det femte præjudicielle spørgsmål kan ikke antages til realitetsbehandling

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i hovedsagen:

Facebook Ireland Ltd, Facebook Inc og Facebook Belgien Bvba

Sagsøgte i hovedsagen:

Det Belgiske Datatilsyn

Faktum i hovedsagen:

Sagens faktum er endnu ikke offentliggjort.

De præjudicielle spørgsmål:

  • Skal artikel [55, stk. 1], artikel 56-58 og artikel 60-66 i forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF i forbindelse med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder fortolkes således, at en tilsynsmyndighed i henhold til nationale regler vedtaget til gennemførelse af denne forordnings artikel [58, stk. 5] har kompetence til at indlede en retssag ved en ret i denne myndigheds medlemsstat, ikke må udøve denne kompetence i forbindelse med en grænseoverskridende behandling, hvis den ikke er den ledende tilsynsmyndighed ved den grænseoverskridende behandling?
  • Har det herved nogen betydning, hvis den behandlingsansvarlige for den grænseoverskridende behandling ikke har sin hovedvirksomhed i denne medlemsstat men dog et andet etableringssted?
  • Har det herved nogen betydning, hvis den nationale tilsynsmyndighed indleder retssagen mod den behandlingsansvarliges hovedvirksomhed eller mod etableringsstedet i myndighedens egen medlemsstat?
  • Har det herved nogen betydning, hvis den nationale tilsynsmyndighed allerede har indledt retssagen før den dato, fra hvilken forordningen fandt anvendelse (25. maj 2018)?
  • Såfremt det første spørgsmål besvares bekræftende, har artikel [58, stk. 5], i forordning 2016/679 da direkte virkning, således at en national tilsynsmyndighed kan støtte ret på denne artikel for at indlede eller fortsætte en retssag mod enkelte parter, uanset denne forordnings artikel [58, stk. 5] ikke specifikt er blevet gennemført i medlemsstatens lovgivning, selv om der var pligt hertil?
  • Såfremt de foregående spørgsmål besvares bekræftende, ville udfaldet af sådanne retssager kunne være til hinder for, at den ledende tilsynsmyndighed drager den modsatte konklusion i det tilfælde, at den ledende tilsynsmyndighed undersøger de samme eller lignende grænseoverskridende behandlingsaktiviteter i overensstemmelse med den mekanisme, der er fastsat i artikel 56 og 60 i forordning 2016/679?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 13. januar 2021. Generaladvokaten konkluderer i sin udtalelse følgende:

  • Bestemmelserne databeskyttelsesforordningen giver en medlemsstats tilsynsmyndighed mulighed for at anlægge sag ved en domstol i den pågældende medlemsstat om en påstået overtrædelse af databeskyttelsesforordningen som følge af grænseoverskridende databehandling, selv om den ikke er den ledende tilsynsmyndighed, såfremt dette sker i de situationer og i henhold til den fremgangsmåde, der er fastsat i databeskyttelsesforordningen.
  • Databeskyttelsesforordningen er til hinder for, at en tilsynsmyndighed fortsætter behandlingen af en retssag, der blev indledt før forordningens ikrafttrædelse, men som vedrører adfærd, der ligger efter denne dato.
  • Databeskyttelsesforordningens artikel 58, stk. 5, har direkte virkning, for så vidt som en national tilsynsmyndighed kan støtte ret på denne bestemmelse for at indlede eller fortsætte behandlingen af retssager ved de nationale domstole, selv om denne bestemmelse ikke specifikt er blevet gennemført i national lovgivning.«

Domsafsigelse:

EU-domstolen har den 15. juni 2021 afsagt dom i sagen, hvoraf følgende fremgår:

1)      Artikel 55, stk. 1, artikel 56-58 og artikel 60-66 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at en medlemsstats tilsynsmyndighed, som i henhold til den nationale lovgivning, der er vedtaget til gennemførelse af denne forordnings artikel 58, stk. 5, har beføjelse til at indbringe alle angivelige overtrædelser af nævnte forordning for en retsinstans i denne medlemsstat og om nødvendigt indlede eller deltage i retssager, kan udøve denne beføjelse for så vidt angår en grænseoverskridende behandling af oplysninger, selv om den ikke er den »ledende tilsynsmyndighed« som omhandlet i samme forordnings artikel 56, stk. 1, for så vidt angår denne behandling af oplysninger, for så vidt som der er tale om en af de situationer, hvor forordning 2016/679 tillægger denne tilsynsmyndighed en kompetence til at vedtage en afgørelse, hvorved det fastslås, at nævnte behandling tilsidesætter de regler, som den indeholder, og overholder de procedurer for samarbejde og sammenhæng, der er fastsat i denne forordning.

2)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at det, for at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kan gøre brug af beføjelsen til at indlede eller deltage i retssager som omhandlet i denne bestemmelse, i forbindelse med grænseoverskridende behandling af personoplysninger, ikke kræves, at den dataansvarlige eller databehandleren for den grænseoverskridende behandling af personoplysninger, som dette søgsmål er rettet mod, har en hovedvirksomhed eller en anden etablering på denne medlemsstats område.

3)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at en medlemsstats tilsynsmyndighed, som ikke er den ledende tilsynsmyndighed, kan gøre brug af beføjelsen til at indbringe alle angivelige overtrædelser af denne forordning for en retsinstans i denne medlemsstat og om nødvendigt at indlede eller deltage i retssager som omhandlet i denne bestemmelse, både med hensyn til den dataansvarliges hovedvirksomhed, der ligger i den medlemsstat, som henhører under denne myndighed, og med hensyn til en anden af den ansvarliges etableringer, for så vidt som søgsmålet omhandler en behandling af oplysninger, der er foretaget inden for rammerne af denne etablerings aktiviteter, og at nævnte myndighed er kompetent til at udøve denne beføjelse i overensstemmelse med det, der er anført som svar på det første spørgsmål.

4)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at når en tilsynsmyndighed i en medlemsstat, som ikke er den »ledende tilsynsmyndighed« som omhandlet i denne forordnings artikel 56, stk. 1, har anlagt et søgsmål om grænseoverskridende behandling af personoplysninger inden den 25. maj 2018, dvs. inden den dato, hvor den nævnte forordning fandt anvendelse, kan dette søgsmål, set fra et EU-retligt synspunkt, opretholdes på grundlag af bestemmelserne i direktiv 95/46, som fortsat finder anvendelse for så vidt angår overtrædelser af de regler, som det fastsætter, der er begået indtil datoen for dette direktivs ophævelse. Nævnte søgsmål kan desuden anlægges af denne myndighed for overtrædelser, der er begået efter denne dato på grundlag af artikel 58, stk. 5, i forordning 2016/679, for så vidt som det er i en af de situationer, hvor denne forordning undtagelsesvis tillægger en tilsynsmyndighed i en medlemsstat, som ikke er den »ledende tilsynsmyndighed«, en kompetence til at vedtage en afgørelse, hvori det fastslås, at den omhandlede behandling af oplysninger tilsidesætter de regler, der er fastsat i nævnte forordning for så vidt angår beskyttelsen af fysiske personers rettigheder i forbindelse med behandling af personoplysninger og under overholdelse af de samarbejds- og sammenhængsprocedurer, der er fastsat i denne forordning, hvilket det tilkommer den forelæggende ret at efterprøve.

5)      Artikel 58, stk. 5, i forordning 2016/679 skal fortolkes således, at denne bestemmelse har direkte virkning, således at en national tilsynsmyndighed kan påberåbe sig den nævnte bestemmelse for at anlægge eller genoptage en sag mod private, selv om den samme bestemmelse ikke specifikt er blevet gennemført i den pågældende medlemsstats lovgivning.

 

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøger i hovedsagen:

M.I.C.M. Mircom International Content Management & Consulting Limited.

Sagsøgte i hovedsagen:

Telenet BVBA.

Faktum i hovedsagen:

I hovedsagen kræver selskabet Mircom, at Telenet fremlægger identifikationsoplysninger for tusindvis af sine kunder, hvilket Telenet har afvist. Ifølge Mircom har de pågældende kunder ved hjælp af BitTorrent-teknologi uploadet film fra dets katalog, hvilket ifølge Mircom er en ulovlig overføring af dets film til almenheden.

De præjudicielle spørgsmål:

  • Kan downloading via et peer-to-peer netværk af en fil med tilhørende underdele ("pieces") (nogle gange meget fragmentarisk i forhold til hele filen) med henblik på at uploade til tilrådighedsstillelse ("seede"), betragtes som en overføring til almenheden som omhandlet i artikel 3, stk. 1, i direktiv 2001/29, til trods for, at disse individuelle pieces i sig selv er uanvendelige?
    • gælder der en bagatelgrænse for, hvornår seeding af disse pieces udgør en overførsel til almenheden?
    • er det en relevant omstændighed, at seeding'en (som en følge af indstillingerne i kundens BitTorrent-program) kan ske automatisk og således uden brugerens viden? 
  • Kan en person, der i henhold til aftale er indehaver af ophavsrettigheder (eller beslægtede rettigheder), men som ikke selv udnytter disse rettigheder men blot kræver skadeserstatning af formentlige krænkere – og hvis økonomiske model for indtjening således er afhængig af piratvirksomhed i stedet for at bekæmpe den – nyde de samme rettigheder, som efter kapitel II i direktiv 2004/48 tilkommer ophavsmænd eller licenshavere, som udnytter ophavsrettigheder på normal vis? 
    • Hvorledes kan disse licenshavere i dette tilfælde have lidt et "tab" som følge af krænkelsen (som omhandlet i artikel 13 i direktiv 2004/48)? 
  • Er de konkrete omstændigheder, der er beskrevet i spørgsmål 1 og 2 relevante ved bedømmelsen af afvejningen af den korrekte ligevægt mellem på den ene side håndhævelsen af intellektuelle ejendomsrettigheder og på den anden side de rettigheder og friheder, der sikres af grundrettighedschartret så som beskyttelse af privatlivet og personoplysninger, særligt i forbindelse med proportionalitetsbedømmelsen? 
  • Er systematisk registrering og påfølgende generel behandling af IP-adresser på en swarm af seeders (foretaget af licenshaver selv eller af tredjemand på opdrag af licenshaver) under disse omstændigheder lovlig efter den generelle forordning om databeskyttelse, nærmere bestemt artikel 6, stk. 1, litra f), i denne forrodning? 

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 17. december 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

1) Artikel 3 i Europa-Parlamentets og Rådets direktiv 2001/29/EF af 22. maj 2001 om harmonisering af visse aspekter af ophavsret og beslægtede rettigheder i informationssamfundet skal fortolkes således, at den omstændighed, at delelementer af en fil, der indeholder et beskyttet værk, stilles til rådighed til downloading via et peer-to-peer-netværk, selv inden den pågældende bruger har downloadet hele den pågældende fil, er omfattet af retten til tilrådighedsstillelse for almenheden som omhandlet i denne artikel, uden at det er afgørende, om denne bruger havde fuldt kendskab til omstændighederne.

2) Artikel 4, litra b), i Europa-Parlamentets og Rådets direktiv 2004/48/EF af 29 april 2004 om håndhævelsen af intellektuelle ejendomsrettigheder skal fortolkes således, at en organisation, som, selv om den har erhvervet visse rettigheder til beskyttede værker, ikke udnytter dem og blot kræver erstatning fra personer, som krænker disse rettigheder, ikke har mulighed for at gøre brug af de i dette direktivs kapitel II omhandlede foranstaltninger, procedurer og retsmidler, i det omfang den nationale ret finder, at denne organisations erhvervelse af rettighederne alene havde til formål at opnå denne mulighed. Direktiv 2004/48 kræver ikke og er ikke til hinder for, at en medlemsstat i sin nationale lovgivning giver en erhverver af fordringer, der er forbundet med krænkelser af intellektuelle ejendomsrettigheder, denne mulighed.

3) Artikel 8, stk. 1, i direktiv 2004/48, sammenholdt med dette direktivs artikel 3, stk. 2, skal fortolkes således, at den nationale ret skal nægte adgangen til at gøre brug af den i dette direktivs artikel 8 omhandlede ret til information, hvis den under hensyn til sagens omstændigheder finder, at anmodningen om oplysninger er ubegrundet eller uretmæssig.

4) Artikel 6, stk. 1, litra f), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at registrering af IP-adresser, der er tildelt personer, hvis internetforbindelser er blevet brugt til deling af beskyttede værker via peer-to-peer-netværk, udgør en lovlig behandling af personoplysninger, når denne registrering foretages som led i den dataansvarliges eller en tredjemands forfølgelse af en legitim interesse, navnlig med henblik på at indgive en begrundet anmodning om udlevering af navnene på indehaverne af de internetforbindelser, der er identificeret ved hjælp af IP-adresserne i henhold til artikel 8, stk. 1, litra c), i direktiv 2004/48.«

Domsafsigelse:

EU-Domstolen har den 17. juni 2021 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1) Artikel 3, stk. 1 og 2, i Europa-Parlamentets og Rådets direktiv 2001/29/EF af 22. maj 2001 om harmonisering af visse aspekter af ophavsret og beslægtede rettigheder i informationssamfundet skal fortolkes således, at uploading fra terminaludstyr tilhørende en bruger af et peer-to-peer-netværk til terminaludstyr tilhørende andre brugere af dette netværk, af delelementer, som denne bruger først har downloadet, af en mediefil, der indeholder et beskyttet værk, udgør en tilrådighedsstillelse for almenheden i denne bestemmelses forstand, selv om disse delelementer kun er anvendelige i sig selv, når en vis andel er downloadet. Det er uden betydning, at uploadingen foretages automatisk af delingssoftwaren BitTorrent-klient som følge af denne softwares indstillinger, når brugeren fra det terminaludstyr, hvorfra uploadingen sker, har tegnet abonnement på denne software ved at give samtykke til anvendelse heraf efter at være blevet behørigt informeret om dens egenskaber.

2) Europa-Parlamentets og Rådets direktiv 2004/48/EF af 29. april 2004 om håndhævelsen af intellektuelle ejendomsrettigheder skal fortolkes således, at en person, der i henhold til aftale er indehaver af visse intellektuelle ejendomsrettigheder, som denne person dog ikke selv udnytter, idet den pågældende blot kræver erstatning fra de formodede krænkende parter, principielt kan gøre brug af de foranstaltninger, procedurer og retsmidler, der er fastsat i dette direktivs kapitel II, medmindre det i henhold til den generelle forpligtelse, der er fastsat i direktivets artikel 3, stk. 2, og på grundlag af en samlet og indgående undersøgelse godtgøres, at den pågældende persons begæring er udtryk for misbrug. Hvad særligt angår en begæring om oplysninger på grundlag af dette direktivs artikel 8 skal en sådan ligeledes afslås, hvis den ikke er velbegrundet eller ikke er forholdsmæssigt afpasset, hvilket det tilkommer den forelæggende ret at efterprøve.

3)  Artikel 6, stk. 1, første afsnit, litra f), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, skal fortolkes således, at denne bestemmelse principielt hverken er til hinder for, at indehaveren af intellektuelle ejendomsrettigheder og en tredjemand på dennes vegne foretager systematisk registrering af IP-adresser på brugere af peer-to-peer-netværk, hvis internetforbindelser angiveligt er blevet brugt til krænkende aktiviteter, eller at disse brugeres navne og postadresser videregives til denne indehaver eller en tredjemand med henblik på at gøre det muligt for den pågældende at anlægge et erstatningssøgsmål ved en civil domstol vedrørende tab, som de nævnte brugere angiveligt har forvoldt, dog på betingelse af, at den nævnte indehavers eller en sådan tredjemands initiativer og begæringer i denne henseende er velbegrundede, forholdsmæssigt afpassede og ikke udtryk for misbrug, og at der er et retsgrundlag herfor i en national retsforskrift som omhandlet i artikel 15, stk. 1, i direktiv 2002/58, som ændret ved direktiv 2009/136, der indskrænker rækkevidden af reglerne i artikel 5 og 6 i dette direktiv, som ændret.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgere i hovedsagen:

B.

Sagsøgte i hovedsagen:

Latvijas Republikas Saeima (Republikken Letlands parlament).

Faktum i hovedsagen:

På grundlag af artikel 267 TEUF anmoder den forelæggende ret om en fortolkning af forordning nr. 2016/679 og direktiv 2003/98 for at kunne afgøre, om det er forbudt for medlemsstaterne i deres retsorden at fastsætte bestemmelser, hvorefter oplysninger om de point, som førere er pålagt for færdselsforseelser, er tilgængelige for offentligheden, således at de omhandlede personoplysninger kan behandles ved formidling og overførsel med henblik på videreanvendelse.

Subsidiært ønsker den forelæggende ret ligeledes oplysning om fortolkningen af princippet om EU-rettens forrang og retssikkerhedsprincippet med henblik på at præcisere anvendeligheden af den nationale bestemmelse i tvisten i hovedsagen og muligheden for at opretholde retsvirkningerne heraf, indtil den forelæggende rets endelige afgørelse om, at den er i overensstemmelse med forfatningen, bliver retskraftig.

De præjudicielle spørgsmål:

  • Bør begrebet "behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger" i artikel 10 i forordning 2016/679 1 , fortolkes således, at det omfatter behandling af oplysninger om de point, som førere pålægges for færdselsforseelser i henhold til den omtvistede bestemmelse?
  • Uanset svaret på det første spørgsmål, kan bestemmelserne i forordning 2016/679, navnlig princippet om "integritet og fortrolighed", jf. nævnte forordnings artikel 5, stk. 1, litra f), fortolkes som et forbud mod, at medlemsstaterne fastsætter, at oplysninger om de point, der pålægges førere for færdselsforseelser, er tilgængelige for offentligheden, og at de pågældende oplysninger kan behandles ved at videregives?
  • Bør 50. og 154. betragtning til, artikel 5, stk. 1, litra b), og artikel 10 i direktiv 2003/98/EF 2 samt artikel 1, stk. 2, litra cc), i forordning 2016/679 fortolkes således, at de er til hinder for en ordning i en medlemsstat, der tillader videregivelse af oplysninger om de point, der pålægges førere for trafikforseelser, med henblik på videreanvendelse?
  • Såfremt nogen af de ovennævnte spørgsmål besvares bekræftende, skal princippet om EU-rettens forrang og retssikkerhedsprincippet da fortolkes således, at det kan være tilladt at anvende den omtvistede bestemmelse og opretholde dens retsvirkninger, indtil forfatningsdomstolens endelige afgørelse bliver retskraftig?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 17. december 2020. Generaladvokaten konkluderer i sin udtalelse følgende:

1) Databeskyttelsesforordningens artikel 10 skal fortolkes således, at den ikke omfatter situationer med behandling af oplysninger om strafpoint, som bilister er pålagt for færdselsforseelser, som fastsat i en national lovgivning, såsom færdselslovens artikel 141, stk. 2.

2) Databeskyttelsesforordningens artikel 5, stk. 1, litra c), er til hinder for en national lovgivning, såsom færdselslovens artikel 141, stk. 2, som giver mulighed for behandling og formidling af oplysninger om strafpoint, som bilister er pålagt for færdselsforseelser.

3) En national lovgivning, såsom færdselslovens artikel 141, stk. 2, som giver mulighed for behandling og formidling, herunder med henblik på videreanvendelse, af oplysninger om strafpoint, der er pålagt bilister for færdselsforseelser, ikke reguleres af bestemmelserne i direktiv 2003/98. GDPR-forordningens artikel 5, stk. 1, litra c), er endvidere til hinder herfor.

4) Det er ikke muligt at anvende den omtvistede bestemmelse og opretholde dens retsvirkninger, indtil Satversmes tiesas (forfatningsdomstol) endelige afgørelse bliver retskraftig.

 

Den 16. februar 2021 blev en ny version af generaladvokatens forslag til afgørelse forkyndt. Generaladvokaten konkluderer i sin udtalelse følgende:

1) Artikel 10 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den ikke omfatter situationer med behandling af personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser, som fastsat i en national lovgivning, såsom artikel 141, stk. 2, i Ceļu satiksmes likums (færdselsloven).

2) Artikel 5, stk. 1, litra c), i forordning 2016/679 er til hinder for, at en medlemsstat behandler og formidler personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser.

3) Artikel 5, stk. 1, litra b) og c), i forordning 2016/679 er til hinder for, at en medlemsstat behandler og formidler personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser, når denne formidling sker med henblik på videreanvendelse.

4) Europa-Parlamentets og Rådets direktiv 2003/98/EF af 17. november 2003 om videreanvendelse af den offentlige sektors informationer regulerer ikke behandlingen og formidlingen, herunder med henblik på videreanvendelse, af personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser.

5) Det er ikke muligt at anvende den omtvistede bestemmelse og opretholde dens retsvirkninger, indtil Satversmes tiesas (forfatningsdomstolen) endelige afgørelse bliver retskraftig.

Domsafsigelse:

EU-Domstolen har den 22. juni 2021 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1) Artikel 10 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne bestemmelse finder anvendelse på behandling af personoplysninger vedrørende de strafpoint, der pålægges førere af motorkøretøjer for færdselsforseelser.

2) Bestemmelserne i forordning (EU) 2016/679, navnlig denne forordnings artikel 5, stk. 1, artikel 6, stk. 1, litra e), og artikel 10, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, som pålægger et offentligt organ, der fører det register, hvori de strafpoint, som pålægges førere af motorkøretøjer for færdselsforseelser, er indført, at gøre disse oplysninger tilgængelige for offentligheden, uden at den person, der anmoder om aktindsigt, skal godtgøre en særlig interesse i at få de nævnte oplysninger.

3) Bestemmelserne i forordning (EU) 2016/679, navnlig denne forordnings artikel 5, stk. 1, artikel 6, stk. 1, litra e), og artikel 10, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, som tillader et offentligt organ, der fører det register, hvori de strafpoint, som pålægges førere af motorkøretøjer for færdselsforseelser, er indført, at videregive disse oplysninger til erhvervsdrivende med henblik på videreanvendelse.

4) Princippet om EU-rettens forrang skal fortolkes således, at dette princip er til hinder for, at en medlemsstats forfatningsdomstol, som er forelagt et søgsmål til prøvelse af en national lovgivning, der i lyset af en præjudiciel afgørelse fra Domstolen er uforenelig med EU-retten, beslutter i medfør af retssikkerhedsprincippet, at retsvirkningerne af denne lovgivning opretholdes indtil afsigelsen af den dom, hvorved denne forfatningsdomstol træffer endelig afgørelse i forfatningssøgsmålet.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere:

La Quadrature du Net, French Data Network, Fédération des Fournisseurs d'Accès à Internet Associatifs

Sagsøgte:

EU-Kommissionen

Sagsøgernes påstand:

EU-Kommissionens gennemførelsesafgørelse 2016/1250 af 12. juli 2016 (Privacy Shield) er uforenelig med artikel 7, 8 og 47 i Den Europæiske Unions Charter om grundlæggende rettigheder (2000/C 364/01), og skal derfor annulleres.

Væsentligste argumenter:

  • Den generelle karakter af indsamlingen af personoplysninger, som er tilladt i henhold til amerikansk lovgivning, indebærer, at Privacy Shield-afgørelsen udgør et uberettiget indgreb i det væsentligste indhold af den grundlæggende ret til respekt for privatlivet
  • Beskyttelsesniveauet efter amerikansk lovgivning svarer ikke til det niveau, der er sikret inden for Unionen, da indsamlingen af personoplysninger i USA ikke er begrænset til det strengt nødvendige
  • Privacy Shield-afgørelsen tager ikke højde for, at der ikke er fastsat effektive retsmidler i den amerikanske lovgivning
  • Der er ikke fastsat nogen uafhængig kontrol af beskyttelsesniveauet i USA

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Det er ikke længere fornødent at træffe afgørelse i den foreliggende sag.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Sergejs Buivids

Sagsøgte i hovedsagen:

Datu valsts inspeckcija

Faktum i hovedsagen:

Denne forelæggelse fra Latvijas Augstākā tiesa (Republikken Letlands øverste domstol) vedrører filmningen og offentliggørelsen på websteder af en videooptagelse af polititjenestemænd, som udøver deres embede på en politistation. Den forelæggende ret ønsker vejledning om anvendelsesområdet for direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (2) og om fortolkningen af undtagelsen i direktivets artikel 9 (»undtagelsen om journalistisk øjemed«).

De præjudicielle spørgsmål:

  • Er aktiviteter som de i den foreliggende sag omhandlede, dvs. optagelse på en politistation af polititjenestemænd, der udfører proceduremæssige foranstaltninger, og offentliggørelse af videooptagelsen på webstedet www.youtube.com, omfattet af anvendelsesområdet for direktiv 95/46?
  • Skal direktiv 95/46 fortolkes således, at de nævnte aktiviteter kan anses for behandling af personoplysninger i journalistisk øjemed som omhandlet i nævnte direktivs artikel 9?

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 27. september 2018. Generaladvokaten konkluderer i sin udtalelse følgende:

  • Aktiviteter såsom filmning og optagelser af tjenestemænd, som udøver deres embede på deres arbejdsplads, og den efterfølgende offentliggørelse af videooptagelsen på internettet udgør behandling af personoplysninger, der helt eller delvis foretages ved hjælp af EDB som omhandlet i artikel 3, stk. 1, i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.
  • Når en person, der ikke er journalist af profession, foretager videooptagelser, som vedkommende offentliggør på et websted, kan disse videooptagelser være omfattet af begrebet »journalistisk øjemed« som omhandlet i artikel 9 i direktiv 95/46, hvis det fastslås, at disse aktiviteter fandt sted udelukkende i dette øjemed.
  • I hvert enkelt tilfælde tilkommer det i henhold til artikel 9 i direktiv 95/46 de nationale myndigheder, under de nationale retters kontrol, at undersøge og forene den grundlæggende ret til privatlivets fred i forbindelse med behandling af den eller de registreredes personoplysninger og den registeransvarliges grundlæggende ret til ytringsfrihed. Ved foretagelsen af afvejningen skal disse myndigheder tage hensyn til, i) om det offentliggjorte materiale bidrager til en debat af almen interesse, ii) hvor kendt den eller de berørte personer er, iii) emnet for rapporteringen, iv) den omhandledes persons tidligere adfærd, v) den omhandlede offentliggørelses indhold, form og konsekvenser samt vi) omstændighederne, hvorunder oplysningerne blev indsamlet.«

Domsafsigelse:

EU-Domstolen har den 14. februar 2019 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

1) Artikel 3 i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at en videooptagelse af politifolk på en politistation i forbindelse med en afgivelse af forklaring og offentliggørelsen af den således optagede video på et videowebsted, hvor brugerne kan sende, se eller dele disse videoer, er omfattet af dette direktivs anvendelsesområde.

2) Artikel 9 i direktiv 95/46 skal fortolkes således, at faktiske omstændigheder som de i hovedsagen foreliggende, dvs. videooptagelse af politifolk på en politistation i forbindelse med en afgivelse af forklaring og offentliggørelsen af den således optagede video på et videowebsted, hvor brugerne kan sende, se og dele disse videoer, udgør behandling af personoplysninger i journalistisk øjemed som omhandlet i denne bestemmelse, for så vidt som det fremgår af nævnte video, at nævnte optagelse og nævnte offentliggørelse udelukkende har til formål at udbrede oplysninger, synspunkter eller idéer til offentligheden, hvilket det påhviler den forelæggende ret at vurdere.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

X, Y

Sagsøgte i hovedsagen:

Autoriteit Persoonsgegevens

Faktum i hovedsagen:

I hovedsagen er spørgsmålet, om sagsøgte »Autoriteit Persoonsgegevens«, der er den nederlandske tilsynsmyndighed i henhold til artikel 51 i den generelle forordning om databeskyttelse (herefter den generelle databeskyttelsesforordning), er beføjet til at afgøre spørgsmålet, om den omstændighed, at afdelingen for forvaltningsretssager ved Raad van State (øverste domstol i forvaltningsretlige sager) giver journalister aktindsigt i procesdokumenter, er i overensstemmelse med den generelle databeskyttelsesforordning.

De præjudicielle spørgsmål:

  • Skal artikel 55, stk. 3, i den generelle databeskyttelsesforordning fortolkes således, at der ved »domstoles behandlingsaktiviteter, når disse handler i deres egenskab af domstol«, kan forstås den omstændighed, at en domstol giver aktindsigt i procesdokumenter, der indeholder personoplysninger, hvorved aktindsigten sker ved, at der stilles kopier af procesdokumenterne til rådighed for en journalist, således som det er beskrevet i nærværende forelæggelsesafgørelse?
    • Har det for besvarelsen af dette spørgsmål nogen betydning, om den nationale tilsynsmyndigheds udøvelse af tilsyn med denne form for databehandling i konkrete sager berører domstolenes uafhængighed ved beslutningstagningen?
    • Har det for besvarelsen af dette spørgsmål nogen betydning, at arten af og formålet med databehandlingen ifølge den pågældende retsinstans er at informere en journalist for at sætte denne i stand til at give en bedre dækning af det offentlige retsmøde i et retssag, og det således tilstræbes at tjene hensynet til offentlighed og gennemsigtighed vedrørende retspraksis?
    • Har det for besvarelsen af dette spørgsmål nogen betydning, om databehandlingen beror på en udtrykkelig nationalretlig hjemmel?

Udtalelse fra EU´s generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 6. oktober 2021. Generaladvokaten konkluderer i sin udtalelse følgende:

Spørgsmål 1

Artikel 55, stk. 3, i Europa-Parlamentets og Rådets forordning af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at videregivelse af procesdokumenter til en journalist med henblik på en bedre dækning af et offentligt retsmøde er en praksis, som domstole udfører »i deres egenskab af domstol«.

Spørgsmål 1a

Artikel 55, stk. 3, i forordning 2016/679 kræver ikke, at det afgøres, om en behandlingsaktivitet udført af de nationale domstole »i deres egenskab af domstol« påvirker domstolenes uafhængighed ved den retslige beslutningstagning i hver enkelt sag.

Spørgsmål 1b

Afgørelsen af en bestemt behandlingsaktivitets art og formål er ikke en del af de kriterier, der skal tages i betragtning i henhold til artikel 55, stk. 3, i forordning 2016/679, når det fastslås, om de nationale domstole »handle[de] i deres egenskab af domstol«.

Spørgsmål 1c

Ved afgørelsen af, om en af de nationale domstoles behandlingsaktiviteter blev udført »i deres egenskab af domstol« i den i artikel 55, stk. 3, i forordning 2016/679 omhandlede forstand, er det ikke relevant, om disse domstole handlede i medfør af en udtrykkelig hjemmel i national ret. 

Domsafsigelse:

EU-domstolen har den 24. marts 2022 afsagt dom i sagen, hvoraf følgende b.la. fremgår:

  • Artikel 55, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den omstændighed, at en domstol midlertidigt stiller procesdokumenter, der indeholder personoplysninger, til rådighed for journalister med henblik på bedre at gøre disse i stand til at dække den omhandlede sag, henhører under denne domstols virksomhed, når den handler i sin »egenskab af domstol« som omhandlet i denne bestemmelse.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Bundesverband der Verbraucherzentralen og Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.

Sagsøgte i hovedsagen:

Facebook Ireland Limited

Faktum i hovedsagen:

Sagens faktum er endnu ikke offentliggjort.

De præjudicielle spørgsmål:

  • Er bestemmelserne i kapitel VIII, navnlig i artikel 80, stk. 1 og 2, samt artikel 84, stk. 1, i forordning (EU) 2016/679 til hinder for nationale bestemmelser, som – foruden den beføjelse til at gribe ind, der er tillagt tilsynsmyndighederne med kompetence til at føre kontrol og håndhæve forordningen, og de registreredes muligheder for retsbeskyttelse – indrømmer dels konkurrenter dels organisationer, organer og kamre med beføjelser i henhold til national ret beføjelse til at anlægge søgsmål ved de civile domstole mod den krænkende part vedrørende overtrædelser af forordning (EU) 2016/679, uanset om enkelte registreredes konkrete rettigheder er blevet krænket, og uden bemyndigelse fra en registreret under påberåbelse af forbuddet mod urimelig handelspraksis, en overtrædelse af en lov om forbrugerbeskyttelse eller forbuddet mod at anvende ugyldige almindelige forretningsbetingelser?

Udtalelse fra EU´s generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 2. december 2021. Generaladvokaten konkluderer i sin udtalelse følgende:

Article 80(2) of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), must be interpreted as meaning that it does not preclude national legislation which allows consumer protection associations to bring legal proceedings against the person alleged to be responsible for an infringement of the protection of personal data, on the basis of the prohibition of unfair commercial practices, the infringement of a law relating to consumer protection or the prohibition of the use of invalid general terms and conditions, provided that the objective of the representative action in question is to ensure observance of the rights which the persons affected by the contested processing derive directly from that regulation.

Domsafsigelse:

EU-domstolen har den 28. april 2022 afsagt dom i sagen, hvoraf følgende bl.a. fremgår:

  • Artikel 80, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den ikke er til hinder for en national lovgivning, som gør det muligt for en sammenslutning, der varetager beskyttelsen af forbrugernes interesser – uden bemyndigelse, som er blevet givet denne med henblik herpå, og uafhængigt af en krænkelse af en registrerets konkrete rettigheder – at anlægge sag mod den, der formodes at have krænket beskyttelsen af personoplysninger, ved at gøre gældende, at der foreligger en tilsidesættelse af forbuddet mod urimelig handelspraksis, en lov om forbrugerbeskyttelse eller forbuddet mod at anvende ugyldige almindelige forretningsbetingelser, når den pågældende behandling af oplysninger kan påvirke de rettigheder, som identificerede eller identificerbare fysiske personer har i henhold til denne forordning.

 

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Ligue des droits humains

Sagsøgte i hovedsagen:

Conseil des ministres

Faktum i hovedsagen:

Sagens faktum er endnu ikke offentliggjort.

De præjudicielle spørgsmål:

  • Skal artikel 23 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) 1 , sammenholdt med denne forordnings artikel 2, stk. 2, litra d), fortolkes således, at den finder anvendelse på en national lovgivning såsom lov af 25. december 2016 om behandling af passageroplysninger, som gennemfører Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet 2 samt Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer 3 og Europa-Parlamentets og Rådets direktiv 2010/65/EU af 20. oktober 2010 om meldeformaliteter for skibe, der ankommer til eller afgår fra havne i medlemsstaterne, og om ophævelse af direktiv 2002/6/EF 4 ?
  • Er bilag I til direktiv 2016/681 (EU) foreneligt med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som de deri opregnede oplysninger er meget omfattende – bl.a. hvad angår de oplysninger, som er omhandlet i punkt 18 i bilag I til direktiv 2016/681, og som er mere vidtrækkende end de oplysninger, der er omhandlet i artikel 3, stk. 2, i direktiv 2004/82 – og for så vidt som de samlet set kan afsløre følsomme oplysninger og dermed overskride grænserne for det »strengt nødvendige«?
  • Er punkt 12 og 18 i bilag I til direktiv (EU) 2016/681 forenelige med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som de deri omhandlede oplysninger henset til udtrykket »herunder« er angivet illustrativt og ikke udtømmende, hvilket indebærer, at kravet om, at regler, der gør indgreb i retten til respekt for privatlivet og i retten til beskyttelse af personoplysninger, skal være præcise og klare, ikke er opfyldt?
  • Er artikel 3, nr. 4), i direktiv (EU) 2016/681 og bilag I til dette direktiv forenelige med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som det system for generel indsamling, overførsel og behandling af passageroplysninger, der er indført ved disse bestemmelser, omfatter enhver person, der anvender det pågældende transportmiddel, uanset om der foreligger noget objektivt forhold, som gør det muligt at antage, at denne person kan frembyde en risiko for den offentlige sikkerhed?
  • Skal artikel 6 i direktiv (EU) 2016/681, sammenholdt med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, fortolkes således, at den er til hinder for en national lovgivning såsom den anfægtede lov, hvorefter et af formålene med behandlingen af PNR-oplysninger kan være efterretnings- og sikkerhedstjenesternes overvågning af de omfattede aktiviteter, og dette formål dermed indgår i forebyggelse, opdagelse, efterforskning og retsforfølgning af terrorhandlinger og grov kriminalitet?
  • Er artikel 6 i direktiv (EU) 2016/681 forenelig med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som den deri omhandlede forudgående vurdering ved korrelation med databaser og forud fastsatte kriterier finder systematisk og generel anvendelse på oplysninger om passagerer, uanset om der foreligger noget objektivt forhold, som gør det muligt at antage, at disse passagerer kan frembyde en risiko for den offentlige sikkerhed?
  • Kan begrebet »anden [kompetent] national myndighed« i artikel 12, stk. 3, i direktiv (EU) 2016/681 fortolkes således, at det omfatter den passageroplysningsenhed, som er oprettet ved lov af 25. december 2016, og som derfor kan give adgang til PNR-oplysninger efter en periode på seks måneder i forbindelse med ad hoc-efterforskninger?
  • Skal artikel 12 i direktiv (EU) 2016/681, sammenholdt med artikel 7, artikel 8 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, fortolkes således, at den er til hinder for en national lovgivning såsom den anfægtede lov, hvori der er fastsat en generel dataopbevaringsperiode på fem år, uden at der sondres mellem, hvorvidt den forudgående vurdering har vist, at de pågældende passagerer kan udgøre en risiko for den offentlige sikkerhed eller ej?

a) Er direktiv 2004/82/EF foreneligt med artikel 3, stk. 2, i traktaten om Den Europæiske Union og med artikel 45 i Den Europæiske Unions charter om grundlæggende rettigheder, for så vidt som de deri fastsatte forpligtelser finder anvendelse på flyvninger inden for EU?

b) Skal direktiv 2004/82/EF, sammenholdt med artikel 3, stk. 2, i traktaten om Den Europæiske Union og med artikel 45 i Den Europæiske Unions charter om grundlæggende rettigheder, fortolkes således, at det er til hinder for en national lovgivning såsom den anfægtede lov, der med henblik på at bekæmpe ulovlig indvandring og at forbedre grænsekontrollen gør det muligt at indføre et system til indsamling og behandling af oplysninger om passagerer »på vej til, fra og gennem det nationale område«, hvilket indirekte kan føre til genindførelse af kontrollen ved de indre grænser?

  • Såfremt Cour constitutionnelle (forfatningsdomstol) på grundlag af besvarelserne af de foregående præjudicielle spørgsmål konkluderer, at den anfægtede lov, der bl.a. gennemfører direktiv (EU) 2016/681, er i strid med en eller flere af de forpligtelser, der følger af de i disse spørgsmål nævnte bestemmelser, kan Cour constitutionnelle (forfatningsdomstol) da midlertidigt opretholde virkningerne af lov af 25. december 2016 om behandling af passageroplysninger med henblik på at undgå retsusikkerhed og muliggøre, at oplysninger, der forinden er blevet indsamlet og lagret, stadig kan anvendes til de formål, der er omhandlet i loven?

Domsafsigelse

EU-domstolen har den 21. juni 2022 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 2, stk. 2, litra d), og artikel 23 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne forordning finder anvendelse på behandling af personoplysninger, som er fastsat i en national lovgivning, der tager sigte på at gennemføre bestemmelserne i både Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer, i Europa-Parlamentets og Rådets direktiv 2010/65/EU af 20. oktober 2010 om meldeformaliteter for skibe, der ankommer til eller afgår fra havne i medlemsstaterne, og om ophævelse af direktiv 2002/6/EF og i Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet i national ret, med hensyn til dels private operatørers behandling af oplysninger, dels offentlige myndigheders behandling af oplysninger, som alene eller ligeledes er omfattet af direktiv 2004/82 eller direktiv 2010/65. Denne forordning finder derimod ikke anvendelse på behandling af oplysninger som fastsat i en sådan lovgivning, der alene er omfattet af direktiv 2016/681, og som foretages af passageroplysningsenheden eller de kompetente myndigheder med henblik på de formål, som er omhandlet i dette direktivs artikel 1, stk. 2.
  • Eftersom en fortolkning af direktiv 2016/681 i lyset af artikel 7, 8 og 21 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder sikrer dette direktivs overensstemmelse med disse bestemmelser i chartret om grundlæggende rettigheder, har undersøgelsen af det andet til det fjerde og det sjette præjudicielle spørgsmål intet frembragt, der kan rejse tvivl om dette direktivs gyldighed.
  • Artikel 6 i direktiv 2016/681, sammenholdt med artikel 7 og 8 samt artikel 52, stk. 1, i chartret om grundlæggende rettigheder, skal fortolkes således, at den er til hinder for en national lovgivning, der tillader behandling af passagerlisteoplysninger (PNR-oplysninger), der er indsamlet i overensstemmelse med dette direktiv, til andre formål end dem, der udtrykkeligt er omhandlet i direktivets artikel 1, stk. 2.
  • Artikel 12, stk. 3, litra b), i direktiv 2016/681 skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, hvorefter den myndighed, der er oprettet som passageroplysningsenhed, ligeledes har egenskab af kompetent national myndighed med bemyndigelse til at godkende videregivelsen af PNR-oplysningerne ved udløbet af seksmånedersperioden efter videregivelsen af disse oplysninger til passageroplysningsenheden.
  • Artikel 12, stk. 1, i direktiv 2016/681, sammenholdt med artikel 7 og 8 samt artikel 52, stk. 1, i chartret om grundlæggende rettigheder, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, som fastsætter en generel dataopbevaringsperiode for PNR-oplysninger på fem år, der finder anvendelse uden forskel på alle flypassagerer, herunder på dem, med hensyn til hvilke hverken den forudgående vurdering som omhandlet i dette direktivs artikel 6, stk. 2, litra a), eventuelle kontroller foretaget i den seksmånedersperiode, der er omhandlet i direktivets artikel 12, stk. 2, eller nogen anden omstændighed har afsløret, at der foreligger objektive forhold, som kan godtgøre en risiko i forbindelse med terrorhandlinger eller grov kriminalitet, der har en – i det mindste indirekte – objektiv forbindelse med luftbefordring af passagerer.
  • Direktiv 2004/82 skal fortolkes således, at det ikke finder anvendelse på flyvninger, uanset om det er ruteflyvninger eller ikke-ruteflyvninger, der foretages af et luftfartsselskab, som flyver fra en medlemsstats område og med planlagt landing på en eller flere andre medlemsstaters område og uden mellemlandinger på et tredjelands område (flyvninger inden for EU).
  • EU-retten, herunder navnlig artikel 2 i direktiv 2016/681, sammenholdt med artikel 3, stk. 2, TEU, artikel 67, stk. 2, TEUF og artikel 45 i chartret om grundlæggende rettigheder, skal fortolkes således, at den er til hinder for:
    1. En national lovgivning, der, uden at den pågældende medlemsstat står over for en reel og aktuel eller forudsigelig terrortrussel, fastsætter et system, i henhold til hvilket luftfartsselskaber og rejseselskaber videregiver, og de kompetente myndigheder behandler, PNR-oplysninger vedrørende samtlige flyvninger inden for EU og transporter med andre midler inden for EU fra eller til denne medlemsstat eller gennem denne, med henblik på bekæmpelse af terrorhandlinger og grov kriminalitet. I en sådan situation skal anvendelsen af det system, der er indført ved PNR-direktivet, begrænses til at omfatte videregivelse og behandling af PNR-oplysninger for flyvninger og/eller transporter vedrørende bl.a. bestemte flyforbindelser eller rejseruter eller bestemte lufthavne, banegårde eller havne, for hvilke der foreligger oplysninger, der kan begrunde denne anvendelse. Det tilkommer den pågældende medlemsstat at udvælge de pågældende flyvninger inden for EU og de transporter, der gennemføres med andre midler inden for EU, for hvilke sådanne oplysninger foreligger, og regelmæssigt foretage en ny vurdering af denne anvendelse i lyset af udviklingen i de forhold, der har begrundet valget af de pågældende flyvninger og transporter, med henblik på at sikre, at anvendelsen af dette system på disse flyvninger og/eller disse transporter altid er begrænset til det strengt nødvendige.
    2. En national lovgivning, der fastsætter et sådant system for videregivelse og behandling af de nævnte oplysninger med henblik på at forbedre grænsekontrollen og bekæmpe ulovlig indvandring.
  • EU-retten skal fortolkes således, at den er til hinder for, at en national ret tidsmæssigt begrænser virkningerne af en ulovlighedserklæring, som det i henhold til national ret påhviler denne ret at afsige med hensyn til en national lovgivning, der pålægger luftfartsselskaber, jernbanetransportører og vejtransportselskaber samt rejseselskaber at videregive PNR-oplysninger og foreskriver en behandling og opbevaring af disse oplysninger, som er uforenelig med PNR-direktivets bestemmelser, sammenholdt med artikel 3, stk. 2, TEU, artikel 67, stk. 2, TEUF og artikel 7, 8 og 45 samt artikel 52, stk. 1, i chartret om grundlæggende rettigheder. Spørgsmålet om antageligheden af beviser, der er fremskaffet på denne måde, henhører i overensstemmelse med princippet om medlemsstaternes procesautonomi under national ret, dog under overholdelse af bl.a. ækvivalensprincippet og effektivitetsprincippet.

 

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Leistritz AG

Sagsøgte i hovedsagen:

LH

Faktum i hovedsagen:

Sagsøger var tidligere ansat som teamleder og udpeget som databeskyttelsesrådgiver hos sagsøgte, der er en privatretligt organiseret virksomhed. Sagen omhandler parternes uenighed om gyldigheden af en ordinær opsigelse af ansættelsesforholdet imellem dem.

De præjudicielle spørgsmål:

  • Skal artikel 38, stk. 3, andet punktum, i forordning (EU)2016/679 (generel forordning om databeskyttelse, herefter »forordning 2016/679«) fortolkes således, at denne bestemmelse er til hinder for en bestemmelse i national lovgivning, i den foreliggende sag § 38, stk. 1 og 2, sammenholdt med § 6, stk. 4,andet punktum, i Bundesdatenschutzgesetz (den tyske forbundslov om databeskyttelse, BDSG), hvorefter den dataansvarliges ordinære opsigelse af databeskyttelsesrådgiverens ansættelsesforhold, idet den dataansvarlige er dennes arbejdsgiver, er ulovlig, uafhængigt af, om opsigelsen skyldes udførelsen af dennes opgaver?

  • Såfremt det første spørgsmål besvares bekræftende: 2. Er artikel 38, stk. 3, andet punktum, i forordning 2016/679 også til hinder for en sådan bestemmelse i national lovgivning, såfremt udpegelsen af databeskyttelsesrådgiveren ikke er obligatorisk i henhold til artikel 37, stk. 1, i forordning 2016/679, men kun i henhold til medlemsstatens lovgivning?

  • Såfremt det første spørgsmål besvares bekræftende: 3. Hviler artikel 38, stk. 3, andet punktum, i forordning 2016/679 på et tilstrækkeligt bemyndigelsesgrundlag, navnlig for så vidt som denne bestemmelse omfatter databeskyttelsesrådgivere, der står i et ansættelsesforhold til den dataansvarlige?

Udtalelse fra EU´s generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 27. januar 2022. 

Henset til samtlige ovenstående betragtninger foreslår Generaladvokaten Domstolen at besvare de af Bundesarbeitsgericht (forbundsdomstol i arbejdsretlige sager, Tyskland) forelagte præjudicielle spørgsmål som følger:

Principalt:

  • Artikel 38, stk. 3, andet punktum, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne bestemmelse ikke er til hinder for en national ordning, som fastsætter, at en databeskyttelsesrådgivers arbejdsgiver kun kan opsige denne af en vægtig grund, selv når opsigelsen ikke er forbundet med databeskyttelsesrådgiverens udførelse af sine opgaver.

 Subsidiært, såfremt Domstolen besvarer det første spørgsmål bekræftende:

  • Artikel 38, stk. 3, andet punktum, i forordning 2016/679 finder anvendelse, uden at der skal sondres i forhold til, om databeskyttelsesrådgiveren er obligatorisk udpeget i henhold til EU-retten eller i henhold til national ret.
  •  Der er ved undersøgelsen af det tredje præjudicielle spørgsmål ikke blevet klarlagt noget forhold, som kan påvirke gyldigheden af artikel 38, stk. 3, andet punktum, i forordning 2016/679.

Domsafsigelse:

EU-domstolen har den 22. juni 2022 afsagt dom i sagen, hvoraf følgende fremgår:

Artikel 38, stk. 3, andet punktum, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne bestemmelse ikke er til hinder for en national lovgivning, der fastsætter, at en dataansvarlig eller en databehandler kun kan afskedige en databeskyttelsesrådgiver, der er ansat hos den pågældende, af en vægtig grund, selv om afskedigelsen ikke er forbundet med denne rådgivers udførelse af sine opgaver, for så vidt som en sådan lovgivning ikke bringer gennemførelsen af databeskyttelsesforordningens formål i fare.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

OT

Sagsøgte i hovedsagen:

Vyriausioji tarnybinės etikos komisija (den centrale etiske kommission)

Faktum i hovedsagen:

Offentligt ansatte personers pligt til i henhold til national ret at angive private interesser. Offentliggørelsen af oplysninger vedrørende erklæringer på internettet. Eventuel tilsidesættelse af retten til respekt for privatlivet.

De præjudicielle spørgsmål:

  • Skal den betingelse, der er fastsat i forordningens artikel 6, stk. 1, litra e), hvorefter behandling skal være nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, henset til kravene i forordningens artikel 6, stk. 3, herunder kravet om, at medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges, og ligeledes henset til chartrets artikel 7 og 8, fortolkes således, at der i national ret ikke kan fastsættes krav om videregivelse af private interesser og disse erklæringers offentliggørelse på webstedet for den dataansvarlige, Vyriausioji tarnybinės etikos komisija (den øverste etiske kommission), hvorved alle personer med adgang til internettet gives adgang til disse oplysninger?
  • Skal forbuddet mod behandling af særlige kategorier af personoplysninger i forordningens artikel 9, stk. 1, under hensyntagen til de betingelser, der er fastsat i forordningens artikel 9, stk. 2, herunder betingelsen i denne bestemmelses litra g), om at behandling skal være nødvendig af hensyn til væsentlige samfundsinteresser på grundlag af EU-retten eller medlemsstaternes nationale ret og stå i rimeligt forhold til det mål, der forfølges, skal respektere det væsentligste indhold af retten til databeskyttelse og sikre passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser, ligeledes henset til chartrets artikel 7 og 8, fortolkes således, at der i national ret ikke kan fastsættes krav om videregivelse af oplysninger vedrørende erklæringer om private interesser, der kan videregive personoplysninger, herunder oplysninger, som giver mulighed for at fastslå en persons politiske holdninger, fagforeningsmæssige tilhørsforhold, seksuelle orientering og andre personlige oplysninger, og disse oplysningers offentliggørelse på webstedet for den dataansvarlige, Vyriausioji tarnybinės etikos komisija, hvorved alle personer med adgang til internettet gives adgang til disse oplysninger?

Udtalelse fra EU´s generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 9. december 2021. Generaladvokaten konkluderer i sin udtalelse følgende:

1)      Artikel 6 og 7 i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og artikel 5 og 6 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, i medfør af hvilken en del af de personoplysninger, der er indeholdt i den erklæring om interesser, som enhver direktør for en offentlig institution, der modtager offentlige midler, er forpligtet til at indgive, skal offentliggøres på webstedet for den statslige myndighed, der har til opgave at indsamle disse erklæringer og kontrollere indholdet heraf, når en sådan foranstaltning ikke er passende og nødvendig af hensyn til gennemførelsen af målene om at forebygge interessekonflikter og korruption i den offentlige sektor, at øge garantierne for offentlige beslutningstageres hæderlighed og upartiskhed og at styrke borgernes tillid til den offentlige myndighedsudøvelse.

2)      Artikel 8, stk. 1, i direktiv 95/46 og artikel 9, stk. 1, i forordning 2016/679, sammenholdt med chartrets artikel 7 og 8, skal fortolkes således, at offentliggørelsen af indholdet af erklæringer om interesser på webstedet for den offentlige myndighed, der har til opgave at indsamle erklæringerne og kontrollere indholdet heraf, og hvorved der indirekte kan blive videregivet følsomme oplysninger, såsom i de to første af ovennævnte bestemmelser omhandlede, udgør en behandling af særlige kategorier af personoplysninger.

Domsafsigelse:

EU-domstolen har den 1. august 2022 afsagt dom i sagen, hvoraf følgende fremgår:

1)      Artikel 7, litra c), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger samt artikel 6, stk. 1, første afsnit, litra c), og artikel 6, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 7 og 8 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, der fastsætter, at den erklæring om private interesser, som enhver direktør for et organ, der modtager offentlige midler, har pligt til at indgive, skal offentliggøres online, navnlig for så vidt som denne offentliggørelse vedrører navneoplysninger om den pågældendes ægtefælle, samlever eller partner og om nærtstående personer eller bekendte til den, der afgiver en erklæring, og som vil kunne føre til en interessekonflikt, eller enhver transaktion, der er indgået i løbet af de seneste 12 måneder, og hvis værdi overstiger 3 000 EUR.

2)      Artikel 8, stk. 1, i direktiv 95/46 og artikel 9, stk. 1, i forordning 2016/679 skal fortolkes således, at offentliggørelse af personoplysninger på webstedet for den offentlige myndighed, der har til opgave at indsamle og kontrollere indholdet af erklæringer om private interesser, som indirekte kan medføre videregivelse af oplysninger om en fysisk persons seksuelle orientering, udgør en behandling af særlige kategorier af personoplysninger i disse bestemmelsers forstand.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Digi Távközlési és Szolgáltató Kft.

Sagsøgte i hovedsagen:

Nemzeti Adatvédelmi és Információszabadság Hatóság

De præjudicielle spørgsmål:

1. Skal begrebet »formålsbegrænsning« som defineret i artikel 5, stk. 1, litra b), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (herefter »forordningen«) fortolkes således, at det er i overensstemmelse hermed, at den dataansvarlige parallelt i en anden database opbevarer personoplysninger, der i øvrigt er blevet indsamlet og opbevaret med et begrænset legitimt formål, eller er det begrænsede legitime formål med dataindsamlingen, for så vidt angår den parallelle database, ikke længere gyldigt?

2. Såfremt det første præjudicielle spørgsmål besvares således, at den parallelle opbevaring af oplysninger i sig selv er uforenelig med princippet om »formålsbegrænsning«, er det da foreneligt med princippet om »opbevaringsbegrænsning«, der er fastsat i forordningens artikel 5, stk. 1, litra e), at den dataansvarlige parallelt i en anden database opbevarer personoplysninger, der i øvrigt er blevet indsamlet og opbevaret med et begrænset legitimt formål?

Udtalelse fra EU´s generaladvokat:

Generaladvokaten har den 31. marts 2022 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

  • Artikel 5, stk. 1, litra b), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at det heri omhandlede princip ikke er til hinder for opbevaringen af personoplysninger, der er indsamlet og lagret lovligt, i en ekstra intern database, for så vidt som denne behandling har de samme formål som indsamlingen eller, i modsat fald, er forenelig med indsamlingens formål, hvilket det påhviler den dataansvarlige at godtgøre, herunder når den dataansvarlige foretager behandlingen for at overholde sin pligt til at sikre tilstrækkelig sikkerhed for personoplysningerne, som fastsat i den nævnte forordnings artikel 5, stk. 1, litra f).

    Når den nævnte behandling til et andet formål end det, som oplysningerne er indsamlet til, ikke er baseret på den registreredes samtykke eller EU-retten eller medlemsstaternes nationale ret som omhandlet i artikel 23, stk. 1, i forordning 2016/679, skal dens forenelighed fastslås på grundlag af navnlig de kriterier, der er fastsat i denne forordnings artikel 6, stk. 4.
  • Artikel 5, stk. 1, litra e), i forordning 2016/679 skal fortolkes således, at det heri omhandlede princip er til hinder for, at oplysninger, der er indsamlet og lagret lovligt, opbevares på en sådan måde, at det er muligt at identificere de registrerede, i en ekstra intern database, der har til formål at afhjælpe en teknisk fejl og sikre disse oplysninger midlertidigt, i et længere tidsrum end det, der er nødvendigt til opfyldelsen af dette formål, og dermed efter at denne forstyrrelse er blevet afhjulpet, herunder når det nævnte direkte og primære formål kan knyttes til det indirekte og sekundære mål om at gennemføre leveringen af den aftalte tjeneste.«

Domsafsigelse:

EU-domstolen har den 20. oktober 2022 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 5, stk. 1, litra b), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at princippet om »formålsbegrænsning«, der er fastsat i denne bestemmelse, ikke er til hinder for, at den dataansvarlige registrerer og opbevarer personoplysninger i en database, der er oprettet med henblik på at foretage test og korrektion af fejl, når disse oplysninger er indsamlet forinden og opbevaret i en anden database, såfremt en sådan viderebehandling er forenelig med de specifikke formål, hvortil oplysningerne oprindeligt blev indsamlet, hvilket skal afgøres på baggrund af de kriterier, der er omhandlet i artikel 6, stk. 4, i denne forordning.
  • Artikel 5, stk. 1, litra e), i forordning 2016/679 skal fortolkes således, at princippet om »opbevaringsbegrænsning«, der er fastsat i denne bestemmelse, er til hinder for, at den dataansvarlige opbevarer personoplysninger i en database, der er oprettet med henblik på at foretage test og korrigere fejl, i en længere periode end den, der er nødvendig for at udføre disse test og korrigere disse fejl, når disse oplysninger er indsamlet forinden til andre formål.

Link til sagen på EU-Domstolens hjemmeside

Appellant:

Proximus NV

Indstævnt:

Gegevensbeschermingsautoriteit

De præjudicielle spørgsmål:

1. Skal artikel 12, stk. 2, i e-databeskyttelsesdirektivet 2002/58/EF, sammenholdt med dette direktivs artikel 2, litra f), og med artikel 95 i den generelle forordning om databeskyttelse, fortolkes således, at det er tilladt for en national tilsynsmyndighed et kræve et »samtykke« fra abonnenten i den generelle forordnings forstand som grundlag for at kunne offentliggøre dennes personoplysninger i offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, såvel dem der offentliggøres af operatøren selv som dem, der offentliggøres af andre udbydere, når den nationale lovgivning på området ikke bestemmer andet?

2. Skal retten til sletning i henhold artikel 17 i den generelle forordning om databeskyttelse fortolkes således, at denne ret er til hinder for, at en national tilsynsmyndighed kvalificerer en anmodning fra en abonnent om at blive fjernet fra offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, som en anmodning om sletning som omhandlet i artikel 17 i den generelle forordning om databeskyttelse?

3. Skal artikel 24 og artikel 5, stk. 2, i den generelle forordning om databeskyttelse fortolkes således, at de er til hinder for, at en national tilsynsmyndighed af det der forankrede ansvarlighedsprincip udleder, at den dataansvarlige skal træffe passende tekniske og organisatoriske forholdsregler for at det meddeles andre dataansvarlige, det vil sige udbydere af offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, som har modtaget data fra denne dataansvarlige, at den pågældende i henhold til forordningens artikel 6, jf. artikel 7, har trukket sit samtykke tilbage?

4. Skal artikel 17, stk. 2, i den generelle forordning om databeskyttelse fortolkes således, at den er til hinder for, at en national tilsynsmyndighed pålægger en udbyder af offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, som anmodes om ikke længere at offentliggøre en persons data, at træffe alle rimelige foranstaltninger til, at søgemaskiner får kendskab til denne anmodning om sletning?

Udtalelse fra EU's generaladvokat:

Generaladvokaten har den 28. april 2022 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

  • I medfør af artikel 12, stk. 2, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), sammenholdt med artikel 2, litra f), deri, og artikel 95 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) er en abonnents »samtykke« som defineret i artikel 4, nr. 11), i den generelle forordning om databeskyttelse påkrævet for, at den pågældendes kontaktoplysninger kan medtages i telefonnummerfortegnelser, som en teleoperatør og/eller af andre udbydere af telefonnummerfortegnelser offentliggør.
  • En abonnents anmodning om at få sine oplysninger fjernet fra telefonnummerfortegnelser udgør en udøvelse af »retten til sletning«, der er fastsat i artikel 17 i den generelle forordning om databeskyttelse.
  • I medfør af artikel 5, stk. 2, og artikel 24 i den generelle forordning om databeskyttelse kan en national tilsynsmyndighed konkludere, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger til at underrette andre dataansvarlige, nemlig teleoperatøren og andre udbydere af telefonnummerfortegnelser, som har modtaget oplysninger fra den første dataansvarlige, om tilbagetrækningen af den registreredes samtykke i overensstemmelse med artikel 6 i den generelle forordning om databeskyttelse, sammenholdt med samme forordnings artikel 7.
  • Artikel 17, stk. 2, i den generelle forordning om databeskyttelse er ikke til hinder for, at en national tilsynsmyndighed pålægger en udbyder af telefonnummerfortegnelser at underrette søgemaskineudbydere om anmodninger om sletning, som den har modtaget.

Domsafsigelse:

EU-domstolen har den 27. oktober 2022 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 12, stk. 2, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor, som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med dette direktivs artikel 2, stk. 2, litra f), og artikel 95 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at der kræves »samtykke« som omhandlet i denne forordnings artikel 4, nr. 11), fra abonnenten hos en telefontjenesteoperatør, for at denne abonnents personoplysninger kan fremgå af de telefonnummerfortegnelser og nummeroplysningstjenester, som er gjort offentligt tilgængelige af andre udbydere end denne operatør, idet dette samtykke kan være givet udelukkende til den nævnte operatør eller til en af disse udbydere.
  • Artikel 17 i forordning 2016/679 skal fortolkes således, at en abonnents anmodning om at få sine personoplysninger slettet fra offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester udgør udøvelse af »retten til sletning« i denne artikels forstand.
  • Artikel 5, stk. 2, og artikel 24 i forordning 2016/679 skal fortolkes således, at en national tilsynsmyndighed kan kræve, at udbyderen af offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester i sin egenskab af dataansvarlig skal træffe passende tekniske og organisatoriske foranstaltninger for at underrette andre dataansvarlige – dvs. den telefontjenesteoperatør, som har sendt personoplysninger om sin abonnent til udbyderen, og de andre udbydere af offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, som den førstnævnte udbyder har fremsendt sådanne oplysninger til – om, at denne abonnent har trukket sit samtykke tilbage.
  • Artikel 17, stk. 2, i forordning 2016/679 skal fortolkes således, at denne bestemmelse ikke er til hinder for, at en national tilsynsmyndighed pålægger en udbyder af offentligt tilgængelige telefonnummerfortegnelser og nummeroplysningstjenester, som en abonnent hos en telefontjenesteoperatør har anmodet om ikke længere at offentliggøre de personoplysninger, der vedrører den pågældende, at træffe »rimelige foranstaltninger« i denne bestemmelses forstand med henblik på at underrette udbydere af søgemaskiner om denne anmodning om sletning af oplysninger.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Komisia za zashtita na lichnite danni og Tsentralna isbiratelna komisia

Sagsøgte i hovedsagen:

Koalitsia »Demokratichna Bulgaria – Оbedinenie« 

De præjudicielle spørgsmål:

1. Skal artikel 2, stk. 2, litra a), i den generelle forordning om databeskyttelse 1 fortolkes således, at den er til hinder for, at denne forordning anvendes på et tilsyneladende internt anliggende såsom gennemførelsen af valg til nationalforsamlingen, hvis genstanden for beskyttelsen er personoplysninger om personer – borgere i Den Europæiske Union – og behandlingen af oplysningerne ikke er begrænset til indsamling af oplysninger i forbindelse med den pågældende aktivitet?

2. Såfremt det første spørgsmål besvares bekræftende: Fritager afslutningen af gennemførelsen af valgene til nationalforsamlingen, som tilsyneladende ikke er omfattet af EU-rettens anvendelsesområde, de ansvarlige, registerførerne og de personer, der opbevarer personoplysninger, fra deres forpligtelser i henhold til forordningen, som er det eneste middel til beskyttelse af EU-borgernes personoplysninger på EU-niveau? Afhænger forordningens anvendelighed alene af den aktivitet, hvortil personoplysningerne er blevet tilvejebragt eller indsamlet, idet dette også fører til den konklusion, at den ikke finder anvendelse senere?

3. Såfremt det første spørgsmål besvares benægtende: Er artikel 6, stk. 1, litra e), i den generelle forordning om databeskyttelse og proportionalitetsprincippet, som er forankret i 4. og 129. betragtning til forordningen, til hinder for en national lovgivning om gennemførelsen af forordningen som den omhandlede, der på forhånd udelukker og begrænser muligheden for, at der foretages nogen form for videooptagelser ved registreringen af valgresultaterne i valglokalerne, ikke tillader nogen differentiering mellem og regulering af enkelte bestanddele af registreringsprocessen og udelukker muligheden for at opfylde forordningens formål – beskyttelsen af personers personoplysninger – med andre midler?

4. Alternativt og i forbindelse med EU-rettens anvendelsesområde – ved gennemførelsen af kommunalvalg og valg til Europa-Parlamentet: Er artikel 6, stk. 1, litra e), i den generelle forordning om databeskyttelse og proportionalitetsprincippet, som er forankret i 4. og 129. betragtning til forordningen, til hinder for en national lovgivning om gennemførelsen af forordningen som den omhandlede, der på forhånd udelukker og begrænser muligheden for, at der foretages nogen form for videooptagelser ved registreringen af valgresultaterne i valglokalerne, hverken foretager eller blot tillader nogen differentiering mellem og regulering af enkelte bestanddele af registreringsprocessen og udelukker muligheden for at opfylde forordningens formål – beskyttelsen af personers personoplysninger – med andre midler?

5. Er artikel 6, stk. 1, litra e), i den generelle forordning om databeskyttelse til hinder for, at aktiviteter vedrørende kontrol af den retmæssige gennemførelse af afholdte valg og registreringen af resultaterne heraf kvalificeres som udførelse af en opgave i samfundets interesse, der berettiger et specifikt indgreb, som er underlagt proportionalitetsprincippet, vedrørende personoplysningerne om de personer, der er tilstede i valglokalerne, såfremt disse personer udfører en officiel, offentlig og lovfastsat opgave?

6. Såfremt det femte spørgsmål besvares bekræftende: Er beskyttelsen af personoplysninger til hinder for indførelsen af et nationalt retligt forbud mod indsamling og behandling af personoplysninger, som begrænser muligheden for at foretage sideløbende aktiviteter vedrørende videooptagelse af materialer, objekter eller genstande, der ikke indeholder personoplysninger, hvis registreringsprocessen potentielt indebærer en mulighed for, at der også indsamles personoplysninger ved videooptagelsen af personer, der er tilstede i valglokalet og på det pågældende tidspunkt udfører en aktivitet i samfundets interesse? 

Domsafsigelse:

EU-domstolen har den 20. oktober 2022 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 2, stk. 2, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at behandling af personoplysninger i forbindelse med afholdelse af valg i en medlemsstat ikke er udelukket fra denne forordnings anvendelsesområde.
  • Artikel 6, stk. 1, litra e), og artikel 58 i forordning 2016/679 skal fortolkes således, at disse bestemmelser ikke er til hinder for, at de kompetente myndigheder i en medlemsstat vedtager en almengyldig forvaltningsakt, der begrænser, eller i givet fald forbyder, videooptagelse ved registreringen af valgresultaterne i valglokalerne i forbindelse med valg i den berørte medlemsstat.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

TU

RE

Sagsøgte i hovedsagen:

Google LLC

Faktum i hovedsagen:

Der er tale om en anmodning om fjernelse af bestemte links til en tredjeparts online-artikler, som gør det muligt at identificere sagsøgerne og delvist er illustreret med billeder af disse, og om undladelse af at vise disse billeder som såkaldte miniaturebilleder (»thumbnails«).

De præjudicielle spørgsmål:

1. Er det foreneligt med den registreredes ret til respekt for sit privatliv (artikel 7 i Den Europæiske Unions charter om grundlæggende rettigheder, EUT C 202 af 7.6.2016, s. 389) og til beskyttelse af personoplysninger, der vedrører den pågældende (chartrets artikel 8), hvis der ved den afvejning af modstridende rettigheder og interesser i medfør af chartrets artikel 7, 8, 11 og 16, som i henhold til artikel 17, stk. 3, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, EUT L 119 af 4.5.2016, s. 1) skal foretages i forbindelse med en prøvelse af vedkommendes anmodning til den dataansvarlige for en internetsøgetjeneste om fjernelse af links, i en situation, hvor det link, som anmodningen om fjernelse vedrører, leder til indhold, som indeholder erklæringer om fakta og værdidomme baseret på erklæringer om fakta, hvis sandhed bestrides af den registrerede, og hvor indholdets lovlighed afhænger af sandhedsværdien af de deri indeholdte erklæringer om fakta, også lægges afgørende vægt på, om den registrerede på rimelig måde – f.eks. ved et fogedforbud – kan opnå retsbeskyttelse over for indholdsudbyderen og dermed nå en i det mindste foreløbig afklaring af spørgsmålet om sandhedsværdien af det indhold, som den søgemaskineansvarlige formidler?

2. Skal der i tilfælde af en anmodning om fjernelse af links til den dataansvarlige for en internetsøgetjeneste, som ved en navnesøgning søger efter billeder af fysiske personer, som tredjeparter har lagt ud på internettet i sammenhæng med personens navn, og som viser de fundne billeder som miniaturebilleder (»thumbnails«) i sin resultatoversigt, i forbindelse med den afvejning af modstridende rettigheder og interesser i medfør af chartrets artikel 7, 8, 11 og 16, som skal foretages i henhold til artikel 12, litra b), og artikel 14, stk. 1, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesdirektivet, EFT L 281 af 23.11.1995, s. 31) / artikel 17, stk. 1, litra a), i den generelle forordning om databeskyttelse tages afgørende hensyn til konteksten for tredjepartens oprindelige offentliggørelse, også når der ved søgemaskinens visning af miniaturebilledet ganske vist linkes til tredjepartens webside, men denne ikke konkret nævnes, og internetsøgetjenesten ikke også viser den kontekst, der fremgår af websiden?

Udtalelse fra EU´s generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 7. april 2022. Generaladvokaten konkluderer i sin udtalelse følgende:

  • Artikel 17, stk. 3, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at der ved den afvejning af de i chartrets artikel 7, 8, 11 og 16 sikrede modstridende grundlæggende rettigheder, som skal foretages i forbindelse med en prøvelse af en anmodning til søgemaskineudbyderen om fjernelse baseret på, at oplysningerne i det indekserede indhold, angiveligt er urigtige, ikke kan lægges afgørende vægt på, om den registrerede på rimelig måde – f.eks. ved et fogedforbud – kan opnå retsbeskyttelse over for indholdsudbyderen. Inden for rammerne af en sådan anmodning påhviler det den registrerede at fremlægge en vis evidens for urigtigheden af det indhold, som anmodes fjernet, såfremt dette, henset til bl.a. arten af de pågældende oplysninger, ikke viser sig at være åbenlyst umuligt eller uforholdsmæssigt vanskeligt. Det påhviler søgemaskineudbyderen at fastlægge, om de behandlede oplysninger reelt er urigtige, på grundlag af de undersøgelser, som henhører under dennes konkrete muligheder, bl.a. ved om muligt at henvende sig til udgiveren af den indekserede webside. Såfremt det under de konkrete omstændigheder synes at være hensigtsmæssigt for at undgå en uoprettelig skade for den berørte person, kan søgemaskineudbyderen suspendere indekseringen midlertidigt eller angive i søgeresultaterne, at rigtigheden af visse af oplysningerne i det indhold, hvortil det omhandlede link henviser, er bestridt.
  • Artikel 12, litra b), og artikel 14, stk. 1, litra a), i direktiv 95/46 samt artikel 17, stk. 3, litra a), i forordning 2016/679 skal fortolkes således, at der ved den afvejning af de i chartrets artikel 7, 8, 11 og 16 sikrede modstridende grundlæggende rettigheder, som skal foretages i forbindelse med en prøvelse af en anmodning til en søgemaskineudbyder om fjernelse fra resultaterne af en billedsøgning på en fysisk persons navn af billeder af denne person, som vises i form af miniaturebilleder, ikke skal tages hensyn til konteksten for den offentliggørelse på internettet, hvor ovennævnte billeder oprindeligt er blevet vist.

Domsafsigelse:

EU-domstolen har den 8. december 2022 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 17, stk. 3, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at i forbindelse med afvejningen af de rettigheder, der er omhandlet i artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder på den ene side, og de rettigheder, der er omhandlet i artikel 11 i chartret om grundlæggende rettigheder på den anden side, med henblik på behandlingen af en anmodning til en søgemaskineudbyder om fjernelse af et link fra listen over søgeresultater til indhold, der indeholder udsagn, som den person, der fremsætter anmodningen, finder urigtige, er denne fjernelse af links betinget af, at spørgsmålet om rigtigheden af det indhold, der linkes til, er blevet afgjort i det mindste foreløbigt i et søgsmål anlagt af den registrerede mod udbyderen af indholdet.
  • Artikel 12, litra b), og artikel 14, første afsnit, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og artikel 17, stk. 3, litra a), i forordning 2016/679 skal fortolkes således, at retten i forbindelse med den afvejning, der skal foretages mellem de rettigheder, der er omhandlet i artikel 7 og 8 i chartret om grundlæggende rettigheder på den ene side, og de rettigheder, der er omhandlet i artikel 11 i chartret om grundlæggende rettigheder på den anden side, med henblik på behandlingen af en anmodning til en søgemaskineudbyder om at slette fotografier, der vises som miniaturebilleder af en fysisk person, fra resultaterne af en billedsøgning, der er foretaget på grundlag af denne persons navn, skal tage hensyn til disse fotografiers informative værdi uafhængigt af sammenhængen for deres offentliggørelse på det websted, hvorfra de er hentet, samtidig med at der tages hensyn til alle de tekstelementer, som direkte ledsager visningen af disse fotografier i søgeresultaterne, og som vil kunne kaste lys over deres informative værdi.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

VS

Sagsøgte i hovedsagen:

Inspektor v Inspektorata kam Visshia sadeben savet

De præjudicielle spørgsmål:

1. Skal artikel 1, stk. 1, i [direktiv 2016/680] fortolkes således, at begreberne »forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger« i forbindelse med angivelsen af formålet opregnes som aspekter af et generelt formål?

2. Finder bestemmelserne i [forordning 2016/679] anvendelse på Republikken Bulgariens anklagemyndighed, henset til det forhold, at oplysninger om en person, som anklagemyndigheden i sin egenskab af »dataansvarlig« som omhandlet i artikel 3, nr. 8), i [direktiv 2016/680] har indsamlet til en aktmappe om denne person med henblik på at undersøge, om der er grundlag for at antage, at der foreligger en strafbar handling, er blevet anvendt som en del af anklagemyndighedens retlige forsvar som part i en civil sag – idet det anføres, at denne aktmappe er blevet oprettet, eller idet dens indhold fremlægges?-

- Såfremt dette spørgsmål besvares bekræftende: Skal udtrykket »legitim interesse« i artikel 6, stk. 1, litra f), i [forordning 2016/679] fortolkes således, at det omfatter en fuldstændig eller delvis videregivelse af oplysninger om en person, som er blevet indsamlet af anklagemyndigheden til en aktmappe om denne person med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger, når denne videregivelse sker som led i den dataansvarliges forsvar som part i en civil sag, og er den registreredes samtykke udelukket?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 19. maj 2022 afgivet en udtalelse i sagen, hvoraf følgende fremgår:

  • Artikel 4, stk. 2, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA skal fortolkes således, at oplysninger, der er indsamlet i forbindelse med en straffesag fra en person i dennes egenskab af formodet offer for en strafbar handling, behandles til samme formål som det, hvortil de blev indsamlet, i det tilfælde, hvor den pågældende person efterfølgende sigtes i samme straffesag.
  • Artikel 9, stk. 1, i direktiv 2016/680 skal fortolkes således, at Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF finder anvendelse på anklagemyndighedens anvendelse af oplysninger, der er indhentet i straffesager, til brug for dens forsvar i civile sager.
  • Videregivelse af personoplysninger, der er indsamlet under en straffesag, og som forud for videregivelsen er blevet registreret, opbevaret og konsulteret med henblik på anklagemyndighedens forsvar i en civil sag, hvori denne myndighed er sagsøgt med krav om erstatning for dennes adfærd under udøvelsen af sine opgaver, udgør »behandling af personoplysninger« som omhandlet i artikel 4, stk. 1, i forordning 2016/679.
  • Lovligheden af en sådan behandling kan i princippet være baseret på artikel 6, stk. 1, litra e), i forordning 2016/679.

Domsafsigelse:

EU-domstolen har den 8. december 2022 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 1, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA, sammenholdt med dette direktivs artikel 4, stk. 2, og artikel 6 skal fortolkes således, at en behandling af personoplysninger opfylder et andet formål end det, hvortil disse oplysninger er blevet indsamlet, når indsamlingen af sådanne oplysninger er foretaget med henblik på afsløring af en forbrydelse og efterforskning af denne, hvorimod den nævnte behandling foretages med henblik på at retsforfølge en person efter denne strafferetlige efterforskning, uanset den omstændighed, at personen blev betragtet som forurettet på tidspunktet for indsamlingen, og en sådan behandling er tilladt i medfør af dette direktiv artikel 4, stk. 2, for så vidt som den opfylder de betingelser, der er fastsat i denne bestemmelse.
  • Artikel 3, stk. 8, og artikel 9, stk. 1 og 2, i direktiv 2016/680, samt artikel 2, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne forordning finder anvendelse på den behandling af personoplysninger, som anklagemyndigheden i en medlemsstat foretager med henblik på at udøve sin ret til forsvar i forbindelse med et erstatningssøgsmål mod staten, når den dels oplyser den kompetente ret om, at der findes sagsakter vedrørende en fysisk person, der er part i dette søgsmål, hvilke sagsakter er blevet oprettet med henblik på de formål, der er fastsat i artikel 1, stk. 1, i direktiv 2016/680, dels fremsender disse sagsakter til denne ret.
  • Artikel 6, stk. 1, i forordning 2016/679 skal fortolkes således, at i det tilfælde, hvor et erstatningssøgsmål mod staten er baseret på de overtrædelser, som anklagemyndigheden er blevet foreholdt i forbindelse med udøvelsen af sine strafferetlige opgaver, kan en sådan behandling af personoplysninger anses for lovlig, hvis den er nødvendig for udførelsen af en opgave i samfundets interesse som omhandlet i denne forordnings artikel 6, stk. 1, første afsnit, litra e), med henblik på at beskytte statens retlige og økonomiske interesser, som i henhold til national ret er blevet overdraget til anklagemyndigheden i forbindelse med denne procedure, for så vidt som de nævnte behandlinger af personoplysninger opfylder alle de gældende krav i den nævnte forordning.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

BE

Sagsøgte i hovedsagen:

Nemzeti Adatvédelmi és Információszabadság Hatóság

De præjudicielle spørgsmål:

1. Skal artikel 77, stk. 1, og artikel 79, stk. 1, i [forordning 2016/679] fortolkes således, at den administrative klageadgang, der er fastlagt i artikel 77, udgør et instrument til udøvelse af offentlige rettigheder, mens den søgsmålsret, der er fastlagt i artikel 79, udgør et instrument til udøvelse af private rettigheder? Såfremt dette spørgsmål besvares bekræftende, følger det da deraf, at tilsynsmyndigheden, som det påhviler at påkende administrative klager, har den overordnede kompetence til at fastslå, at der foreligger en overtrædelse?

2. Såfremt den registrerede – som er af den opfattelse, at behandlingen af personoplysninger, som vedrører den pågældende, overtræder forordning 2016/679 – på samme tid udøver retten til at indgive en klage i henhold til denne forordnings artikel 77, stk. 1, og søgsmålsretten i henhold til samme forordnings artikel 79, stk. 1, kan det da fastslås, at en fortolkning, der er i overensstemmelse med artikel 47 i chartret om grundlæggende rettigheder, indebærer:

  1. at tilsynsmyndigheden og retten uafhængigt af hinanden er forpligtede til at undersøge, om der foreligger en overtrædelse, og at de derfor kan nå til uoverensstemmende resultater, eller
  2. at tilsynsmyndighedens afgørelse har forrang, for så vidt som den vedrører vurderingen af, om der er begået en overtrædelse, i betragtning af de kompetencer, der er omhandlet i artikel 51, stk. 1, i forordning 2016/679, og de beføjelser, der er tillagt ved samme forordnings artikel 58, stk. 2, litra b) og d)?

3. Skal tilsynsmyndighedens uafhængighed, som er sikret ved artikel 51, stk. 1, og artikel 52, stk. 1, i forordning 2016/679, fortolkes således, at den pågældende myndighed ved behandlingen og afgørelsen af den klageprocedure, der er fastlagt i artikel 77, er uafhængig af, hvad den kompetente ret fastslår ved endelig dom i henhold til artikel 79, således at den pågældende myndighed kan vedtage en uoverensstemmende afgørelse med hensyn til den samme hævdede overtrædelse?

Udtalelse fra EU's generaladvokat:

Generaladvokaten har den 8. september 2022 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

  • Artikel 78, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 47 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at såfremt en registreret gør brug af de retsmidler, der er fastsat i forordningens artikel 77, stk. 1, og artikel 79, stk. 1, er den ret, der skal træffe afgørelse om en klage over en tilsynsmyndigheds afgørelse, ikke bundet af en afgørelse fra en ret, ved hvilken der er anlagt sag i henhold til sidstnævnte bestemmelse, med hensyn til spørgsmålet om, hvorvidt der foreligger en krænkelse af den registreredes rettigheder, som tilkommer vedkommende i henhold til denne forordning.
  • Artikel 77, stk. 1, og artikel 79, stk. 1, i forordning 2016/679 skal fortolkes således, at de retsmidler, der er fastsat deri, kan anvendes parallelt, uden at det ene har prioritet frem for det andet i henhold til denne forordning.
  • I mangel af EU-retlige bestemmelser om samspillet mellem de retsmidler, der er fastsat i artikel 77-79 i forordning 2016/679, påhviler det medlemsstaterne i medfør af princippet om procesautonomi og under hensynstagen til såvel formålet om at sikre et højt og ensartet beskyttelsesniveau for de rettigheder, der er tillagt ved forordningen, som retten til effektive retsmidler, der er fastsat i artikel 47 i Den Europæiske Unions charter om grundlæggende rettigheder, at indføre de nødvendige mekanismer på nationalt plan til at samordne disse retsmidler for at undgå, at der i den samme medlemsstat kan foreligge modstridende afgørelser om samme behandling af personoplysninger.

Domsafsigelse:

EU-domstolen har den 12. januar 2023 afsagt dom i sagen, hvoraf følgende fremgår:

  • Henset til samtlige ovenstående betragtninger (for disse betragtninger følg linket til sagen på EU-domstolens hjemmeside nedenfor) skal de forelagte spørgsmål besvares med, at artikel 77, stk. 1, og artikel 78, stk. 1, samt artikel 79, stk. 1, i forordning 2016/679, sammenholdt med chartrets artikel 47, skal fortolkes således, at disse bestemmelser tillader en samtidig og uafhængig udøvelse af de retsmidler, der er fastsat dels i dennes artikel 77, stk. 1, og dennes artikel 78, stk. 1, dels i dennes artikel 79, stk. 1. Det tilkommer medlemsstaterne i overensstemmelse med princippet om procesautonomi at fastsætte de nærmere regler for forholdet mellem disse retsmidler, således at den effektive beskyttelse af de rettigheder, der sikres ved denne forordning, og den konsekvente og ensartede anvendelse af sidstnævnte forordnings bestemmelser tillige med adgangen til effektive retsmidler for en domstol, jf. chartrets artikel 47, sikres.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

RW

Sagsøgte i hovedsagen:

Österreichische Post AG

De præjudicielle spørgsmål:

Skal artikel 15, stk. 1, litra c), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, EUT 2016, L 119 […], s. 1 […]) fortolkes således, at retten til adgang er begrænset til oplysninger om kategorier af modtagere, såfremt konkrete modtagere ved planlagte videregivelser endnu ikke ligger fast, men at denne ret nødvendigvis også omfatter modtagere af disse videregivelser, når der allerede er blevet videregivet oplysninger?

Udtalelse fra EU's generaladvokat:

EU's generaladvokat har den 9. juni 2022 afgivet en udtalelse i sagen, hvoraf følgende bl.a. fremgår:

  • Artikel 15, stk. 1, litra c), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den registreredes ret til indsigt i henhold til forordningen nødvendigvis omfatter en angivelse af de specifikke modtagere af den pågældendes personoplysninger, der videregives; hvis den registrerede anmoder herom. Denne ret til indsigt kan begrænses til blot at omfatte en angivelse af kategorier af modtagere, når det er materielt umuligt at identificere de specifikke modtagere af personoplysninger om den registrerede, der videregives, eller når den dataansvarlige godtgør, at den registreredes anmodninger er åbenbart grundløse eller overdrevne som omhandlet artikel 12, stk. 5, i forordning (EU) 2016/679.

Domsafsigelse:

EU-domstolen har den 12. januar 2023 afsagt dom i sagen, hvoraf følgende fremgår:

  • Databeskyttelsesforordningens artikel 15, stk. 1, litra c), skal fortolkes således, at den ret, som den registrerede i medfør af denne bestemmelse har til indsigt i personoplysninger vedrørende den pågældende, indebærer, at den dataansvarlige skal oplyse den registrerede om modtageres konkrete identitet, når personoplysningerne er eller vil blive videregivet til disse modtagere, medmindre det ikke er muligt at identificere de pågældende modtagere, eller den dataansvarlige ikke er i stand til at godtgøre, at den registreredes anmodning er åbenbart grundløs eller overdreven som omhandlet i databeskyttelsesforordningens artikel 12, stk. 5, idet den dataansvarlige i givet fald kan nøjes med alene at oplyse den registrerede om kategorierne af de omhandlede modtagere.

Link til sagen på EU-Domstolens hjemmeside 

Sagsøger i hovedsagen:

X-FAB Dresden GmbH & Co. KG

Sagsøgte i hovedsagen:

FC

De præjudicielle spørgsmål:

1. Skal artikel 38, stk. 3, andet punktum, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF] (generel forordning om databeskyttelse herefter: »databeskyttelsesforordningen«) fortolkes således, at den er til hinder for en bestemmelse i national lovgivning, som § 38, stk. 1 og 2, sammenholdt med § 6, stk. 4, første punktum, i Bundesdatenschutzgesetz (databeskyttelsesloven), der finder anvendelse i den foreliggende sag, i henhold til hvilken afskedigelsen af databeskyttelsesrådgiveren, som foretages af den dataansvarlige i dennes egenskab af arbejdsgiver for databeskyttelsesrådgiveren, sker under henvisning til betingelserne i databeskyttelsesforordningen uafhængigt af, om databeskyttelsesrådgiveren afskediges for at udføre sine opgaver?

Såfremt det første spørgsmål besvares bekræftende:

2. Er databeskyttelsesforordningens artikel 38, stk. 3, andet punktum, også til hinder for en sådan bestemmelse i national lovgivning, hvis der ikke er pligt til at udpege en databeskyttelsesrådgiver i henhold til databeskyttelsesforordningens artikel 37, stk. 1, men alene i henhold til medlemsstatens nationale lovgivning?

Såfremt det første spørgsmål besvares bekræftende:

3. Er databeskyttelsesforordningens artikel 38, stk. 3, andet punktum, baseret på et tilstrækkeligt retsgrundlag, navnlig hvis bestemmelsen omfatter databeskyttelsesrådgivere, som indgår i et ansættelsesforhold med den dataansvarlige?

Såfremt det første spørgsmål besvares benægtende:

4. Er der tale om en interessekonflikt som omhandlet i databeskyttelsesforordningens artikel 38, stk. 6, andet punktum, hvis databeskyttelsesrådgiveren samtidig varetager hvervet som formand for den dataansvarliges samarbejdsudvalg? Forudsætter antagelsen af en sådan interessekonflikt en særlig opgavefordeling i samarbejdsudvalget?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger ikke.

Domsafsigelse:

EU-domstolen har den 9. februar 2023 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 38, stk. 3, andet punktum, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne bestemmelse ikke er til hinder for en national lovgivning, der fastsætter, at en dataansvarlig eller en databehandler kun kan fjerne en databeskyttelsesrådgiver, der er ansat hos den pågældende, fra stillingen af en vægtig grund, selv om fjernelsen ikke er forbundet med denne databeskyttelsesrådgivers udførelse af sine opgaver, for så vidt som en sådan lovgivning ikke bringer gennemførelsen af databeskyttelsesforordningens formål i fare.
  • Artikel 38, stk. 6, i forordning 2016/679 skal fortolkes således, at der kan foreligge en »interessekonflikt« som omhandlet i denne bestemmelse, når en databeskyttelsesrådgiver får overdraget andre opgaver eller pligter, der medfører, at vedkommende kan fastlægge formålene med og hjælpemidlerne til behandlingen af personoplysninger hos den dataansvarlige eller databehandleren, hvilket det tilkommer den nationale retsinstans at afgøre fra sag til sag på grundlag af en vurdering af alle relevante omstændigheder, navnlig den dataansvarliges eller databehandlerens organisatoriske struktur og i lyset af alle gældende regler, herunder disse sidstnævntes eventuelle interne regler.

Link til sagen på EU-Domstolens hjemmeside  

Sagsøger i hovedsagen:

Norra Stockholm Bygg AB

Sagsøgte i hovedsagen:

Per Nycander AB

De præjudicielle spørgsmål:

1. Stiller databeskyttelsesforordningens artikel 6, stk. 3 og 4, også krav til national processuel lovgivning om editionspligt?

2. Såfremt det første spørgsmål besvares bekræftende, indebærer databeskyttelsesforordningen da, at der ved bedømmelse af spørgsmålet, om der skal træffes bestemmelse om edition af et dokument, der indeholder personoplysninger, også skal tages hensyn til de registreredes interesser? Stiller EU-retten i dette tilfælde nogen krav til den måde, hvorpå denne bedømmelse nærmere skal foretages?

Udtalelse fra EU´s generaladvokat:

Generaladvokaten har den 6. oktober 2022 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

  • Artikel 6, stk. 3 og 4, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) stiller krav til national processuel lovgivning om editionspligt, når edition omfatter behandling af personoplysninger. Den nationale processuelle lovgivning skal i sådanne tilfælde give mulighed for, at de registreredes interesser indgår i vurderingen. Interesserne sikres, hvis de nationale retter overholder reglerne i forordning 2016/679, når de i en konkret sag træffer afgørelse om edition af bevismateriale.
  • Når en national ret under en civil retssag træffer afgørelse om edition, der medfører behandling af personoplysninger, skal den nationale ret foretage en proportionalitetsvurdering, hvorunder retten tager hensyn til interesserne hos de registrerede, hvis personoplysninger behandles, og afvejer disser interesser med interesserne hos retssagens parter i relation til bevisførelse. Proportionalitetsvurderingen skal udføres på grundlag af de principper, der er oplistet i artikel 5 i forordningen 2016/679, herunder princippet om dataminimering.

Domsafsigelse:

EU-domstolen har den 2. marts 2023 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 6, stk. 3 og 4, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at inden for rammerne af en civilretlig procedure finder disse bestemmelser anvendelse på edition af et personaleregister, der indeholder tredjemænds personoplysninger, der hovedsageligt er indsamlet med henblik på skattekontrol.
  • Artikel 5 og 6 i forordning 2016/679 skal fortolkes således, at en national retsinstans ved vurderingen af spørgsmålet om edition af et dokument, der indeholder personoplysninger, skal tage hensyn til de berørte personers interesser og foretage en afvejning af de pågældende interesser på grundlag af omstændighederne i hver enkelt sag, hvilken type procedure der er tale om, og under hensyntagen til de krav, der følger af proportionalitetsprincippet, og navnlig de krav, der følger af princippet om dataminimering i denne forordnings artikel 5, stk. 1, litra c).

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Deutsche Wohnen SE

Sagsøgte i hovedsagen:

Staatsanwaltschaft Berlin

De præjudicielle spørgsmål:

1. Skal artikel 83, stk. 4-6, i databeskyttelsesforordningen fortolkes således, at den inkorporerer det funktionelle virksomhedsbegreb, som findes i artikel 101 TEUF og 102 TEUF, og princippet om den funktionelle enhed i national ret med den konsekvens, at en bødesag under udvidelse af princippet om den juridiske enhed, som ligger til grund for § 30 i Gesetz über Ordnungswidrigkeiten (lov om administrative forseelser), kan føres direkte mod en virksomhed, og bødepålæggelsen ikke kræver konstatering af en overtrædelse, som er begået af en fysisk og identificeret person, eventuelt under opfyldelse af alle subjektive og objektive kriterier for overtrædelsen?

2. Såfremt det første spørgsmål besvares bekræftende: Skal databeskyttelsesforordningens artikel 83, stk. 4-6, fortolkes således, at virksomheden skal have begået overtrædelsen, som er formidlet gennem en medarbejder, culpøst (jf. artikel 23 i Rådets forordning (EF) nr. 1/2003 [(4)] […]), eller er det i princippet tilstrækkeligt for at pålægge virksomheden en bøde, at en objektiv tilsidesættelse af en pligt kan tilregnes denne (»strict liability«)?«

Udtalelse fra EU´s generaladvokat:

Generaladvokaten har den 27. april 2023 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

  • »Artikel 58, stk. 2, litra i), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med samme forordnings artikel 4, nr. 7), og artikel 83,skal fortolkes således, at pålæggelse af en administrativ bøde til en juridisk person, der er ansvarlig for behandlingen af personoplysninger, ikke er betinget af, at der forud herfor konstateres en overtrædelse, der er begået af en eller flere individuelle fysiske personer, som er under den pågældende juridiske persons tjeneste
  • De administrative bøder, der kan pålægges i henhold til forordning 2016/679, forudsætter, at den adfærd, der har udgjort den sanktionerede overtrædelse, har været af forsætlig eller uagtsom karakter.«

Domsafsigelse:

EU-domstolen har den 5. december 2023 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 58, stk. 2, litra i), og artikel 83, stk. 1-6, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, hvorefter en administrativ bøde kun kan pålægges en juridisk person i dennes egenskab af dataansvarlig for en overtrædelse som omhandlet i artikel 83, stk. 4-6, for så vidt som denne overtrædelse forud herfor er blevet tilregnet en identificeret fysisk person.

  • Artikel 83 i forordning 2016/679 skal fortolkes således, at en administrativ bøde kun kan pålægges i henhold til denne bestemmelse, hvis det godtgøres, at den dataansvarlige, som både er en juridisk person og en virksomhed, forsætligt eller uagtsomt har begået en overtrædelse som omhandlet i denne artikels stk. 4-6.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos 

Sagsøgte i hovedsagen:

Valstybinė duomenų apsaugos inspekcija 

De præjudicielle spørgsmål:

  1. Skal begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), fortolkes således, at en person, der har til hensigt igennem et offentligt udbud at erhverve et værktøj til dataindsamling (mobilapplikation), også skal anses som dataansvarlig, selv om en offentlig indkøbskontrakt ikke er blev indgået, og det skabte produkt (mobilapplikation), til købet af hvilket et offentligt udbud var blevet anvendt, ikke er blevet overdraget?
  2. Skal begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), fortolkes således, at en ordregivende myndighed, som ikke har erhvervet ejendomsretten til det skabte it-produkt, og som ikke har taget det i besiddelse, men hvor den endelige version af den skabte applikation indeholder links eller forbindelser til denne offentlige enhed og/eller hvor fortrolighedserklæringen, som ikke var officielt godkendt eller anerkendt af den pågældende offentlige myndighed, angav denne offentlige enhed som dataansvarlig, også skal anses for at være dataansvarlig? 

  3. Skal begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), fortolkes således, at en person, der ikke har foretaget nogen egentlig databehandling som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), og/eller ikke har givet en klar tilladelse/samtykke til udførelsen af sådanne behandlinger, også skal anses for at være dataansvarlig? Har det betydning for fortolkningen af begrebet »dataansvarlig«, at det it-produkt, som blev anvendt til behandlingen af personoplysninger, blev udviklet i overensstemmelse med den ordregivende myndigheds formulering af opgaven?

  4. Såfremt en fastlæggelse af de faktiske databehandlingsaktiviteter er relevant for fortolkningen af begrebet »dataansvarlig«, skal definitionen af »behandling« af personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), da fortolkes således, at den også omfatter situationer, hvor kopier af personoplysninger undervejs i forløbet omkring erhvervelsen af en mobilapplikation er blevet anvendt til testning af IT-systemer?

  5. Skal fælles dataansvar i henhold til databeskyttelsesforordningens artikel 4, nr. 7), og artikel 26, stk. 1, fortolkes således, at det alene omfatter bevidst koordinerede handlinger i forbindelse med fastlæggelsen af formålet med og hjælpemidlerne til behandlingen af personoplysninger, eller kan dette begreb også fortolkes således, at fælles dataansvar også omfatter situationer, hvor der ikke foreligger en klar »ordning« vedrørende formålet med og hjælpemidlerne til databehandling og/eller handlinger ikke er koordineret mellem parterne? Er omstændighederne vedrørende det stadie i udviklingen af hjælpemidlerne til behandlingen af personoplysninger (IT-applikation) hvor personoplysninger blev behandlet og formålet med udviklingen af applikationen af juridisk betydning for fortolkningen af begrebet fælles dataansvar? Skal en »ordning« mellem fælles dataansvarlige forstås som udelukkende værende en klar og defineret fastlæggelse af de vilkår, som regulerer det fælles dataansvar?

  6. Skal bestemmelsen i databeskyttelsesforordningens artikel 83, stk. 1, hvorefter »administrative bøder skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning«, fortolkes således, at den også omfatter tilfælde, hvor den »dataansvarlige« pålægges ansvar, når udvikleren i forbindelse med udviklingen af et IT-produkt også behandler personoplysninger, og fører de uretmæssige behandlinger af personoplysninger foretaget af databehandleren altid automatisk til, at den dataansvarlige ifalder et juridisk ansvar? Skal denne bestemmelse fortolkes således, at den også omfatter tilfælde, hvor den dataansvarlige har et objektivt ansvar?

Udtalelse fra EU's generaladvokat

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 4. maj 2023. Generaladvokaten konkluderer i sin udtalelse følgende:

  1. Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en enhed, der iværksætter udviklingen af en mobilapplikation, kun kan anses for at være den »dataansvarlige« som omhandlet i denne bestemmelse, når der foreligger tilstrækkelige elementer af faktuel, snarere end af formel, art, på baggrund af hvilke nationale retter kan fastslå, at den pågældende enhed udøvede faktisk indflydelse med hensyn til både »formålene med og hjælpemidlerne ved« denne behandling og faktisk gav samtykke til offentliggørelsen af mobilapplikationen og dermed til behandlingen af personoplysninger.

  2. Denne bestemmelse, sammenholdt med samme forordnings artikel 26, stk. 1 skal fortolkes således, at to betingelser skal være opfyldt for, at to eller flere dataansvarlige kan anses for at være »fælles dataansvarlige«: For det første skal hver af de enkelte fælles dataansvarlige selvstændigt opfylde de kriterier, der er opregnet i definitionen af »dataansvarlig« i denne forordnings artikel 4, nr. 7), og for det andet skal de dataansvarliges indflydelse på »formålene med og hjælpemidlerne til« behandling udøves i fællesskab. Desuden kan en manglende aftale eller endda manglende koordinering mellem de dataansvarlige i sig selv ikke være til hinder for, at disse anses for at være »fælles dataansvarlige« som omhandlet i disse bestemmelser.

  3. Denne forordnings artikel 4, nr. 2), skal fortolkes således, at begrebet »behandling« omfatter en situation, hvor personoplysninger anvendes til testning af en mobilapplikation, medmindre sådanne oplysninger er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres. Spørgsmålet, om personoplysninger indsamles med henblik på at teste de IT-systemer, der er integreret i en mobilapplikation, eller med henblik på andre formål, har ingen betydning for spørgsmålet, om den pågældende aktivitet skal anses for at udgøre »behandling«.

  4. Artikel 83 i forordning 2016/679 skal fortolkes således, at der kun kan pålægges en bøde med henblik på at pålægge sanktioner for en overtrædelse af denne forordnings regler, som er blevet begået »forsætligt eller uagtsomt«. Desuden kan en dataansvarlig blive pålagt en bøde i henhold til denne bestemmelse, selv om den ulovlige behandling foretages af en databehandler. Denne mulighed foreligger, så længe databehandleren kan anses for at have handlet på den dataansvarliges vegne. Hvis databehandleren behandler personoplysninger uden at følge eller i strid med den dataansvarliges lovlige instrukser og bruger de modtagne oplysninger til egne formål, og det står klart, at parterne ikke er »fælles dataansvarlige« i henhold til artikel 4, nr. 7), og artikel 21, stk. 6, i forordning 2016/679, kan den dataansvarlige imidlertid ikke pålægges en bøde i henhold til denne forordnings artikel 83 i forbindelse med den ulovlige behandling, der er blevet foretaget.«

Domsafsigelse

EU-domstolen har den 5. december 2023 afsagt dom i sagen, hvoraf følgende fremgår:

  1. Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en enhed, der har givet en virksomhed til opgave at udvikle en IT-mobilapplikation, og som i denne forbindelse har deltaget i fastlæggelsen af formålene med og hjælpemidlerne til den behandling af personoplysninger, der foretages ved hjælp af denne applikation, kan anses for at være dataansvarlig som omhandlet i denne bestemmelse, selv om denne enhed ikke selv har foretaget behandling af oplysningerne, ikke udtrykkeligt har givet samtykke til gennemførelsen af de konkrete aktiviteter i forbindelse med en sådan behandling eller til overladelsen af denne mobilapplikation til offentligheden og ikke har erhvervet mobilapplikationen, medmindre enheden før denne overladelse til offentligheden udtrykkeligt har gjort indsigelse mod denne og mod den behandling af personoplysninger, der er fulgt heraf.

  2. Artikel 4, nr. 7), og artikel 26, stk. 1, i forordning 2016/679 skal fortolkes således, at kvalificering af to enheder som fælles dataansvarlige hverken forudsætter, at der foreligger en ordning mellem disse enheder om fastlæggelse af formålene med og hjælpemidlerne til behandling af de omhandlede personoplysninger, eller at der foreligger en ordning, der fastlægger de vilkår, der regulerer det fælles dataansvar.

  3. Artikel 4, nr. 2), i forordning 2016/679 skal fortolkes således, at brug af personoplysninger til IT-testning af en mobilapplikation udgør en »behandling« som omhandlet i denne bestemmelse, medmindre oplysningerne er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres, eller der er tale om fiktive oplysninger, som ikke vedrører en eksisterende fysisk person.

  4. Artikel 83 i forordning 2016/679 skal fortolkes således dels, at en administrativ bøde kun kan pålægges i henhold til denne bestemmelse, hvis det godtgøres, at den dataansvarlige forsætligt eller uagtsomt har begået en overtrædelse som omhandlet i denne artikels stk. 4-6, dels at en sådan bøde kan pålægges en dataansvarlig med hensyn til aktiviteter til behandling af personoplysninger, der er gennemført af en databehandler på den dataansvarliges vegne, medmindre databehandleren i forbindelse med disse aktiviteter har behandlet oplysningerne til egne formål eller har behandlet dem på en måde, der er uforenelig med rammerne eller de nærmere regler for behandlingen, således som fastsat af den dataansvarlige, eller på en sådan måde, at det ikke med rimelighed kan antages, at den dataansvarlige har givet sit samtykke hertil.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

OQ

Sagsøgte i hovedsagen:

Delstaten Hessen

De præjudicielle spørgsmål:

1. Skal artikel 22, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, EUT 2016, L 119, s. 1[, berigtiget i EUT 2018, L 127, s 2]) fortolkes således, at allerede en automatisk udarbejdelse af en sandsynlighedsværdi om en registrerets evne til at tilbagebetale et lån udgør en afgørelse, der alene er baseret på automatisk behandling, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende, hvis denne værdi, som er beregnet ved hjælp af personoplysninger om den pågældende, af den dataansvarlige videregives til en dataansvarlig tredjemand, og denne tredjemand anvender denne værdi som det afgørende grundlag for sin beslutning om at indgå, gennemføre eller afslutte et aftaleforhold med den pågældende?

2. Såfremt det første spørgsmål besvares benægtende: Skal artikel 6, stk. 1, og artikel 22 i forordning (EU) 2016/679 (generel forordning om databeskyttelse) fortolkes således, at de er til hinder for en national bestemmelse, hvorefter anvendelsen af en sandsynlighedsværdi – i det foreliggende tilfælde vedrørende en fysisk persons betalingsevne og betalingsvilje under inddragelse af oplysninger om fordringer – vedrørende en bestemt fremtidig adfærd for en fysisk person med henblik på beslutningen om at indgå, gennemføre eller afslutte et aftaleforhold med denne person (scoring) kun er lovlig, hvis visse yderligere betingelser, som er nærmere beskrevet i begrundelsen for forelæggelsen, er opfyldt?

Udtalelse fra EU's generaladvokat:

Generaladvokaten har den 16. marts 2023 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

  • Artikel 22, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at allerede en automatisk udarbejdelse af en sandsynlighedsværdi for en registrerets evne til at tilbagebetale et lån udgør en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende, hvis denne værdi, som er beregnet ved hjælp af personoplysninger om den pågældende, af den dataansvarlige videregives til en dataansvarlig tredjemand, og denne tredjemand i overensstemmelse med fast retspraksis anvender denne værdi som det afgørende grundlag for sin beslutning om at indgå, gennemføre eller afslutte et aftaleforhold med den pågældende.
  • Artikel 6, stk. 1, og artikel 22 i forordning (EU) 2016/679 skal fortolkes således, at disse bestemmelser ikke er til hinder for en national lovgivning om profilering, når der er tale om en anden profilering end den, der er omhandlet i nævnte forordnings artikel 22, stk. 1. I dette tilfælde skal den nationale lovgiver imidlertid overholde betingelserne i den pågældende forordnings artikel 6. Den skal navnlig basere sig på et passende retsgrundlag, hvilket det påhviler den forelæggende ret at efterprøve.

Domsafsigelse:

EU-Domstolen har den 7. december 2023 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 22, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at et kreditoplysningsbureaus automatiske fastsættelse af en sandsynlighedsværdi på grundlag af personoplysninger om en person og vedrørende dennes evne til at opfylde betalingsforpligtelser i fremtiden udgør en »automatisk individuel afgørelse« som omhandlet i denne bestemmelse, når denne sandsynlighedsværdi er afgørende for, om en tredjepart, som sandsynlighedsværdien videregives til, indgår, gennemfører eller afslutter et aftaleforhold med denne person.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

UF (C-26/22) & AB (C-64/22)

Sagsøgte i hovedsagen:

Delstaten Hessen

De præjudicielle spørgsmål:

1. Skal artikel 77, stk. 1, sammenholdt med artikel 78, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, herefter »databeskyttelsesforordningen«) (EUT 2016, L 119, s. 1) forstås således, at tilsynsmyndighedens resultat, som denne meddeler den registrerede,

a. har karakter af en afgørelse af et andragende? Dette med den konsekvens, at domstolsprøvelsen af en klageafgørelse truffet af en tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 78, stk. 1, principielt er begrænset til, om myndigheden har behandlet klagen, undersøgt klagens genstand i rimeligt omfang og underrettet klageren om resultatet af undersøgelsen, eller

b. skal forstås som en realitetsafgørelse truffet af en myndighed? Dette med den konsekvens, at domstolsprøvelsen af en klageafgørelse truffet af en tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 78, stk. 1, fører til, at domstolen skal prøve realitetsafgørelsens fulde indhold, idet tilsynsmyndigheden i det konkrete tilfælde – f.eks. hvis skønnet reduceres til nul – af domstolen også kan blive forpligtet til en konkret foranstaltning som omhandlet i databeskyttelsesforordningens artikel 58.

2. Er en opbevaring af oplysninger hos et privat kreditoplysningsbureau, hvor personoplysninger fra et offentligt register såsom »nationale databaser« som omhandlet i artikel 79, stk. 4 og 5, i Europa-Parlamentets og Rådets forordning (EU) 2015/848 af 20. maj 2015 om insolvensbehandling (EUT 2015, L 141, s. 19) opbevares uden konkret anledning med henblik på at kunne give oplysning i tilfælde af en forespørgsel, forenelig med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder af 12. december 2007 (herefter »chartret« – EUT 2007, C 303, s. 1)?

3a. Er private databaser (navnlig et kreditoplysningsbureaus databaser), som oprettes sideløbende med de statslige databaser, og hvori oplysningerne fra de statslige databaser (i den foreliggende sag insolvensbekendtgørelser) opbevares i længere tid, end det er reguleret inden for den snævre ramme i henhold til forordning 2015/848 sammenholdt med national ret, principielt lovlige?

3b. Såfremt det tredje spørgsmål besvares bekræftende: Følger det af retten til at blive glemt i henhold til databeskyttelsesforordningens artikel 17, stk. 1, litra d), at disse oplysninger skal slettes, når den fastsatte behandlingstid for det offentlige register er udløbet?

4. Såfremt databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), kommer i betragtning som eneste retsgrundlag for opbevaring af oplysninger hos private kreditoplysningsbureauer med hensyn til de oplysninger, der også opbevares i offentlige registre, foreligger der da allerede en legitim interesse for et kreditoplysningsbureau, hvis dette uden konkret anledning overtager oplysningerne fra det offentlige register, for at disse oplysninger kan stå til rådighed i tilfælde af en forespørgsel?

5. Må adfærdskodekser, som er godkendt af tilsynsmyndighederne i henhold til databeskyttelsesforordningens artikel 40 og indeholder frister for kontrol og sletning, som går ud over opbevaringsfristerne for offentlige registre, suspendere den afvejning, der skal finde sted i henhold til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f)?

Udtalelse fra EU's generaladvokat:

Generaladvokaten har den 16. marts 2023 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

  • Artikel 78, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at det følger af denne bestemmelse, at en juridisk bindende afgørelse fra en tilsynsmyndighed er underlagt en domstols prøvelse af realitetsafgørelsens fulde indhold.

  • Artikel 6, stk. 1, første afsnit, litra f), i forordning 2016/679 skal fortolkes således, at bestemmelsen er til hinder for, at et privat kreditoplysningsbureau opbevarer personoplysninger fra et offentligt register såsom »nationale databaser« som omhandlet i artikel 79, stk. 4 og 5, i Europa-Parlamentets og Rådets forordning (EU) 2015/848 af 20. maj 2015 om insolvensbehandling i en periode, der går ud over den periode, hvori oplysningerne opbevares i det offentlige register. Det tilkommer den forelæggende ret at efterprøve, om opbevaringen af oplysningerne i den periode, der er tilladt for det offentlige register, opfylder betingelserne i artikel 6, stk. 1, første afsnit, litra f), i forordning 2016/679.

  • Artikel 17, stk. 1, litra d), i forordning 2016/679 skal fortolkes således, at den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, hvis disse oplysninger er blevet behandlet ulovligt i henhold til denne forordnings artikel 6, stk. 1.

  • Artikel 17, stk. 1, litra c), i forordning 2016/679 skal fortolkes således, at den registrerede principielt har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, hvis vedkommende gør indsigelse mod behandlingen i henhold til denne forordnings artikel 21, stk. 1. Det tilkommer den forelæggende ret at undersøge, om der undtagelsesvis foreligger vægtige legitime grunde til behandlingen.

  • Artikel 40, stk. 2 og 5, i forordning 2016/679 skal fortolkes således, at adfærdskodekser, der er udarbejdet i overensstemmelse med disse bestemmelser og eventuelt godkendt af tilsynsmyndigheden, ikke på juridisk bindende vis kan fastsætte betingelser for lovlig behandling af personoplysninger, der adskiller sig fra de betingelser, der er fastsat i denne forordnings artikel 6, stk. 1.«

Domsafsigelse:

EU-Domstolen har den 7. december 2023 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 78, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en klageafgørelse, der er vedtaget af en tilsynsmyndighed, er underlagt en fuldstændig domstolsprøvelse.

  • Artikel 5, stk. 1, litra a), i forordning 2016/679, sammenholdt med denne forordnings artikel 6, stk. 1, første afsnit, litra f), skal fortolkes således, at denne bestemmelse er til hinder for en praksis i private kreditoplysningsbureauer, der består i, at disse i deres egne databaser opbevarer oplysninger fra et offentligt register om gældssanering, der er indrømmet fysiske personer, med henblik på at kunne give oplysninger om disse personers kreditværdighed, i en periode, der går ud over den periode, hvori oplysningerne opbevares i det offentlige register.

  • Artikel 17, stk. 1, litra c), i forordning 2016/679 skal fortolkes således, at den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, når vedkommende gør indsigelse mod behandlingen i overensstemmelse med denne forordnings artikel 21, stk. 1, og der ikke foreligger vægtige legitime grunde, der undtagelsesvis kan berettige den omhandlede behandling.

  • Artikel 17, stk. 1, litra d), i forordning 2016/679 skal fortolkes således, at den dataansvarlige har pligt til uden unødig forsinkelse at slette personoplysninger, der er blevet behandlet ulovligt.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

IAB Europe

Sagsøgte i hovedsagen:

Gegevensbeschermingsautoriteit

De præjudicielle spørgsmål:

1.a. Skal artikel 4, nr. 1, i forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF, sammenholdt med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, fortolkes således, at en tegnrække, som på en struktureret og maskinlæsbar måde fanger en internetbrugers præferencer i forbindelse med behandlingen af dennes personoplysninger, udgør en personoplysning som omhandlet i førnævnte bestemmelse i forhold til (1) en brancheorganisation, der stiller en standard til rådighed for sine medlemmer, hvormed den oplyser disse om, hvorledes den førnævnte tegnrække skal genereres, lagres og/eller distribueres, og (2) de parter, der har implementeret denne standard på deres websites eller i deres apps, og på denne måde får adgang til denne tegnrække?

  1. Har det herved nogen betydning, at implementeringen af standarden medfører, at denne tegnrække er til rådighed sammen med en IP-adresse?
  2. Skal spørgsmål a) + b) besvares anderledes, såfremt denne regelgivende brancheorganisation ikke selv har nogen lovmæssig adgang til de personoplysninger, som inden for denne standard behandles af dens medlemmer?

2.a. Skal artikel 4, nr. 7), og artikel 24, nr.1), i forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF, sammenholdt med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, fortolkes således, at en regelgivende brancheorganisation må kvalificeres som dataansvarlig, såfremt den til sine medlemmer tilbyder en standard til administrationen af samtykker, som ud over en bindende teknisk ramme indeholder forskrifter, hvori det detaljeret fastsættes, hvorledes oplysninger om disse personers samtykke, som indeholder personoplysninger, skal lagres og distribueres?

  1. Skal spørgsmål a) besvares anderledes, såfremt denne brancheorganisation ikke selv har nogen lovmæssig adgang til de personoplysninger, som inden for denne standard behandles af dens medlemmer?
  2. Såfremt den regelgivende brancheorganisation skal angives som dataansvarlig eller fælles dataansvarlig ved behandlingen af internetbrugeres præferencer, omfatter den regelgivende brancheorganisations (fælles) ansvar også automatisk tredjemands påfølgende behandlinger, hvortil internetbrugernes præferencer blev erhvervet, såsom målrettet online annoncering fra udgivere og leverandører?

Domsafsigelse:

EU-Domstolen har den 7. marts 2024 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 4, nr. 1), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en bogstavs- og tegnrække, såsom TC String (Transparency and Consent String), der indeholder en internet- eller applikationsbrugers præferencer vedrørende den pågældende brugers samtykke til, at udbydere af internetsider eller applikationer og datamæglere samt reklameplatforme kan behandle personoplysninger om vedkommende, udgør en personoplysning som omhandlet i denne bestemmelse, når denne personoplysning ved brug af rimelige midler kan forbindes med en identifikator, såsom bl.a. IP-adressen på den berørte brugers udstyr, der gør det muligt at identificere den registrerede. Den omstændighed, at en brancheorganisation, der er indehaver af en sådan bogstavs- og tegnrække, uden et eksternt bidrag, hverken kan få adgang til de oplysninger, som dens medlemmer behandler i henhold til de regler, som organisationen har fastsat, eller kombinere den pågældende bogstavs og tegnrække med andre identifikatorer, er ikke til hinder for, at samme kæde udgør en personoplysning som omhandlet i denne bestemmelse.

  • Artikel 4, nr. 7), og artikel 26, stk. 1, i forordning 2016/679 skal fortolkes således, at:
  • for så vidt som en brancheorganisation tilbyder sine medlemmer en ramme af regler, som den har fastsat vedrørende samtykke til behandling af personoplysninger, der ikke blot indeholder bindende tekniske forskrifter, men ligeledes forskrifter, hvori det detaljeret fastsættes, hvorledes personoplysninger om dette samtykke skal lagres og distribueres, skal den for det første anses for at være »fælles dataansvarlig« som omhandlet i disse bestemmelser, såfremt den pågældende brancheorganisation, henset til de særlige omstændigheder i den foreliggende sag, til egne formål har indflydelse på behandlingen af personoplysninger og som følge heraf sammen med sine medlemmer afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; den omstændighed, at en sådan brancheorganisation ikke selv har direkte adgang til de personoplysninger, som dens medlemmer behandler inden for rammerne af de nævnte regler, er ikke til hinder for, at den kan anses for fælles dataansvarlig som omhandlet i disse bestemmelser.
  • den nævnte brancheorganisations fælles ansvar for det andet ikke omfatter automatisk efterfølgende behandlinger af personoplysninger, der foretages af tredjeparter, såsom udbydere af internetsider eller applikationer, for så vidt angår brugernes præferencer med henblik på målrettet online-reklame.

Link til sagen på EU-Domstolens hjemmeside 

Appellant i hovedsagen:

Endemol Shine Finland Oy

De præjudicielle spørgsmål:

  1. Udgør en mundtlig overførsel af personoplysninger en behandling af personoplysninger som omhandlet i artikel 2, stk. 1, og artikel 4, nr. 2), i den generelle forordning om databeskyttelse?
  2. Kan aktindsigt i offentlige dokumenter forenes med retten til beskyttelse af personoplysninger på den måde, der omhandles i forordningens artikel 86, ved, at der fra en rets personregister gives ubegrænset adgang til oplysninger om en fysisk persons strafferetlige domfældelser eller strafbare handlinger, hvis der anmodes om, at oplysningerne overføres mundtligt til rekvirenten?
  3. Har det betydning for besvarelsen af det andet spørgsmål, om rekvirenten er et selskab eller en privatperson?

Domsafsigelse:

EU-Domstolen har den 7. marts 2024 afsagt dom i sagen, hvoraf følgende fremgår:

  • Artikel 2, stk. 1, og artikel 4, nr. 2), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at mundtlig videregivelse af oplysninger om eventuelle verserende eller allerede afsluttede straffesager vedrørende en fysisk person udgør behandling af personoplysninger som omhandlet i denne forordnings artikel 4, nr. 2), og denne behandling er omfattet af nævnte forordnings materielle anvendelsesområde, når disse oplysninger er eller vil blive indeholdt i et register.
  • Bestemmelserne i forordning 2016/679, bl.a. artikel 6, stk. 1, litra e), og artikel 10, skal fortolkes således, at de er til hinder for, at oplysninger om straffedomme afsagt over en fysisk person i et register, der føres af en domstol, kan videregives mundtligt til enhver person med henblik på at sikre aktindsigt i officielle dokumenter, uden at den person, der anmoder om oplysningerne, skal godtgøre en særlig interesse i at få de nævnte oplysninger, idet den omstændighed, at denne person er et kommercielt selskab eller en privatperson, er uden betydning i denne henseende.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Österreichische Datenschutzbehörde

Sagsøgte i hovedsagen:

WK

De præjudicielle spørgsmål:

  1. Er aktiviteter udøvet af en undersøgelseskommission, der er nedsat af en medlemsstats parlament i forbindelse med udøvelsen af dettes beføjelser til at kontrollere den udøvende magt, uafhængigt af undersøgelsens genstand omfattet af EU-rettens anvendelsesområde som omhandlet i artikel 16, stk. 2, første punktum, TEUF, således at [databeskyttelsesforordningen] finder anvendelse på en medlemsstats parlamentariske undersøgelseskommissions behandling af personoplysninger?

Såfremt spørgsmål 1 besvares bekræftende:

  1. Er aktiviteter udøvet af en undersøgelseskommission, der er nedsat af en medlemsstats parlament i forbindelse med udøvelsen af dettes beføjelser til at kontrollere den udøvende magt, og hvis undersøgelsesgenstand er en politimæssig efterretningstjenestes aktiviteter, og dermed aktiviteter vedrørende statens sikkerhed som omhandlet i 16. betragtning til [databeskyttelsesforordningen], omfattet af undtagelsen i databeskyttelsesforordningens artikel 2, stk. 2, litra a)?

Såfremt spørgsmål 2 svares benægtende:

  1. Såfremt en medlemsstat – som i den foreliggende sag – kun har etableret en enkelt tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 51, stk. 1, fremgår dennes kompetence til at behandle klager som omhandlet i databeskyttelsesforordningens artikel 77, stk. 1, sammenholdt med databeskyttelsesforordningens artikel 55, stk. 1, da allerede direkte af [denne forordning]?«

Udtalelse fra EU's generaladvokat:

EU-Domstolens generaladvokat kom med sin udtalelse i sagen den 11. maj 2023. Generaladvokaten konkluderer i sin udtalelse følgende:

  1. Aktiviteter udøvet af en undersøgelseskommission, der er nedsat af en medlemsstats parlament i forbindelse med udøvelsen af dettes beføjelser til at kontrollere den udøvende magt, er omfattet af EU-rettens anvendelsesområde som omhandlet i artikel 16, stk. 2, første punktum, TEUF, således at Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) finder anvendelse på en sådan kommissions behandling af personoplysninger.

  2. Aktiviteter udøvet af en undersøgelseskommission, der er nedsat af en medlemsstats parlament i forbindelse med udøvelsen af dettes beføjelser til at kontrollere den udøvende magt, og hvis genstand er undersøgelse af en politimæssig efterretningstjenestes aktiviteter, og dermed aktiviteter vedrørende statens sikkerhed som omhandlet i 16. betragtning til forordning 2016/679, er ikke omfattet af undtagelsen i denne forordnings artikel 2, stk. 2, litra a).
  3. Såfremt en medlemsstat kun har oprettet en enkelt tilsynsmyndighed i henhold til artikel 51, stk. 1, i forordning 2016/679, følger dennes kompetence til at behandle klager som omhandlet i denne forordnings artikel 77, stk. 1, direkte af den sidstnævnte bestemmelse, sammenholdt med den nævnte forordnings artikel 55, stk. 1.«

Domsafsigelse:

EU-Domstolen har den 16. januar 2024 afsagt dom i sagen, hvoraf følgende bl.a. fremgår:

  • Artikel 16, stk. 2, første punktum, TEUF og artikel 2, stk. 2, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en aktivitet ikke kan anses for at falde uden for EU-rettens anvendelsesområde og dermed for ikke at være omfattet af denne forordning alene af den grund, at den udøves af en undersøgelseskommission, der er nedsat af en medlemsstats parlament i forbindelse med udøvelsen af dette parlaments beføjelse til at kontrollere den udøvende magt.
  • Artikel 2, stk. 2, litra a), i forordning 2016/679, sammenholdt med 16. betragtning til denne forordning skal fortolkes således, at aktiviteter, der udføres af en undersøgelseskommission, der er nedsat af en medlemsstats parlament i forbindelse med dette parlaments beføjelse til at kontrollere den udøvende magt, og som har til formål at undersøge en politimæssig efterretningstjenestes aktiviteter på grund af mistanke om, at denne efterretningstjeneste har været udsat for politisk påvirkning, ikke som sådan kan anses for aktiviteter vedrørende statens sikkerhed, som falder uden for EU-rettens anvendelsesområde som omhandlet i denne bestemmelse.
  • Artikel 77, stk. 1, og artikel 55, stk. 1, i forordning 2016/679 skal fortolkes således, at disse bestemmelser, når en medlemsstat i overensstemmelse med denne forordnings artikel 51, stk. 1, har valgt at etablere en enkelt tilsynsmyndighed uden dog at tildele denne myndighed kompetence til at føre tilsyn med anvendelsen af databeskyttelsesforordningen ved en undersøgelseskommission, der er nedsat af denne medlemsstats parlament i forbindelse med udøvelsen af dette parlaments beføjelse til at kontrollere den udøvende magt, direkte tillægger denne myndighed kompetence til at behandle klager over den nævnte undersøgelseskommissions behandling af personoplysninger.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

OC 

Sagsøgte i hovedsagen:

Europa-Kommissionen 

Sagens første appelanbringende:

  1. Med det første appelanbringende, der er opdelt i fire led, har appellanten gjort gældende, at Retten tilsidesatte EU-retten ved i den appellerede doms præmis 91 og 92 at konkludere, at appellanten ikke havde godtgjort, at den omtvistede pressemeddelelse i sig selv, men ligeledes ved hjælp af midler, der med rimelighed kan tænkes anvendt af en læser, havde gjort det muligt at identificere appellanten, således at de oplysninger, der var indeholdt i denne pressemeddelelse, ikke er omfattet.

Domstolens bemærkninger til appelanbringendet:

EU-Domstolen har den 7. marts 2024 afsagt dom i sagen, hvoraf følgende bl.a. fremgår af domstolens bemærkninger til sagens første appelanbringende:

  • Indledningsvis bemærkes, at definitionen af begrebet »personoplysninger« i artikel 3, nr. 1), i forordning 2018/1725 i det væsentlige er identisk med definitionen i databeskyttelsesforordningens artikel 4, nr. 1). Som det fremgår af fjerde og femte betragtning til forordning 2018/1725 samt af databeskyttelsesforordningens artikel 2, stk. 3, og artikel 98, har EU-lovgiver desuden haft til hensigt at indføre en ordning for beskyttelse af personoplysninger i Unionens institutioner, organer, kontorer og agenturer, der svarer til den, der er fastsat i databeskyttelsesforordningen, med henblik på at sikre en ensartet og konsekvent beskyttelse af fysiske personer med hensyn til behandlingen af deres personoplysninger i Unionen. Det skal derfor sikres, at fortolkningen af artikel 3, nr. 1), i forordning 2018/1725 og databeskyttelsesforordningens artikel 4, nr. 1), er identisk.

  • Hvad angår en fysisk persons »identificerbare« karakter præciseres det i artikel 3, nr. 1), i forordning 2018/1725, at ved identificerbar fysisk person forstås »en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet«.

  • EU-lovgivers brug af ordet »indirekte« synes at indikere, at det for at kvalificere en oplysning som personoplysning ikke er nødvendigt, at denne oplysning i sig selv gør det muligt at identificere den registrerede (jf. analogt dom af 19.10.2016, Breyer, C-582/14, EU:C:2016:779, præmis 41).

  • I 16. betragtning til forordning 2018/1725 præciseres i denne henseende, at for at afgøre, om en fysisk person er identificerbar, bør »alle midler« tages i betragtning, »der med rimelighed kan tænkes bragt i anvendelse« af den dataansvarlige eller »en anden person« til »direkte eller indirekte« at identificere den pågældende. For at en oplysning kan kvalificeres som »personoplysning«, er det således ikke påkrævet, at alle de oplysninger, der gør det muligt at identificere den registrerede, skal befinde sig hos en enkelt person (jf. analogt dom af 19.10.2016, Breyer, C-582/14, EU:C:2016:779, præmis 43).

  • Navnlig kan den omstændighed, at yderligere oplysninger er nødvendige for at identificere den pågældende person, ikke udelukke, at de omhandlede oplysninger kan kvalificeres som personoplysninger (jf. analogt dom af 19.10.2016, Breyer, C-582/14, EU:C:2016:779, præmis 44).

  • Muligheden for at kombinere de omhandlede oplysninger med supplerende oplysninger skal imidlertid udgøre et middel, der med rimelighed kan tænkes bragt i anvendelse til at identificere den pågældende person. For at fastslå, om midler med rimelighed kan tænkes bragt i anvendelse til at identificere en fysisk person, bør alle objektive forhold ifølge 16. betragtning til forordning 2018/1725 tages i betragtning, såsom de omkostninger og den tid, der er nødvendig til identifikation, under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske udvikling.

  • I denne henseende har Domstolen allerede fastslået, at et middel ikke med rimelighed kan tænkes bragt i anvendelse til at identificere den pågældende person, når identificeringen af denne person er forbudt ved lov eller praktisk ugennemførlig, f.eks. på grund af det forhold, at den vil indebære en større indsats i tid, omkostninger og arbejde, således at risikoen for en identificering i virkeligheden synes ubetydelig (jf. analogt dom af 19.10.2016, Breyer, C-582/14, EU:C:2016:779, præmis 46).

  • Spørgsmålet om, hvorvidt oplysninger i en pressemeddelelse fra en EU-institution eller et EU-organ er omfattet af begrebet »personoplysninger« som omhandlet i artikel 3, nr. 1), i forordning 2018/1725, må imidlertid ikke forveksles med spørgsmålet om, hvilke betingelser der er nødvendige for, at Unionen kan ifalde ansvar uden for kontraktforhold. Dette første spørgsmål skal udelukkende vurderes på grundlag af de betingelser, der er opstillet i denne bestemmelse, og kan derfor ikke, i modsætning til, hvad Retten fastslog i den appellerede doms præmis 49, afhænge af betragtninger om, hvorvidt en retsakt kan tilregnes Unionen.

  • I sidstnævnte henseende er det, således som det fremgår af betragtningerne i nærværende doms præmis 48-51, uløseligt forbundet med en persons »indirekte identifikation«, at supplerende oplysninger skal kombineres med de omhandlede oplysninger med henblik på identifikation af den pågældende person. Det fremgår ligeledes heraf, at den omstændighed, at disse supplerende oplysninger hidrører fra en anden person eller en anden kilde end den person, der er ansvarlig for behandlingen af de pågældende data, ikke på nogen måde, i modsætning til, hvad Retten fastslog i den appellerede doms præmis 49 og 87, udelukker, at en person kan identificeres.

  • Desuden opstiller forordning 2018/1725 ingen betingelser med hensyn til de personer, der kan identificere den person, som en oplysning er knyttet til, idet 16. betragtning til denne forordning ikke blot henviser til den dataansvarlige, men ligeledes til »en anden person.

  • Hvad navnlig angår en pressemeddelelse udstedt af en undersøgelsesmyndighed med henblik på at informere offentligheden om resultatet af en undersøgelse har denne i sagens natur til formål bl.a. at henvende sig til journalister, således at disse ikke kan adskilles fra en »gennemsnitslæser«, som den appellerede doms præmis 76 henviser til.

  • Den omstændighed, at en undersøgende journalist, som i det foreliggende tilfælde, har udbredt identiteten af en person, der er omhandlet i en pressemeddelelse, gør det imidlertid ikke i sig selv muligt at konkludere, at de oplysninger, der fremgår af denne pressemeddelelse, nødvendigvis skal kvalificeres som personoplysninger som omhandlet i artikel 3, nr. 1), i forordning 2018/1725, og at fritage for forpligtelsen til at foretage en undersøgelse af, om den pågældende person kan identificeres.

  • I modsætning til den konklusion, som Retten nåede frem til i den appellerede doms præmis 68, indeholder informationer om kønnet på en person, der er omhandlet i en pressemeddelelse, om dennes nationalitet, om dennes fars aktiviteter, om størrelsen af tilskuddet til et videnskabeligt projekt og om den geografiske placering af den enhed, der er vært for dette videnskabelige projekt, samlet set oplysninger, der gør det muligt at identificere den person, der er omhandlet i denne pressemeddelelse, navnlig af personer, der arbejder inden for det samme videnskabelige område, og som kender hendes karriereforløb.

  • I denne sammenhæng gør Domstolens praksis, der er nævnt i nærværende doms præmis 51, det ikke muligt at kvalificere risikoen for en identifikation af den pågældende person som værende ubetydelig. I denne henseende kan oplysninger som dem, der er nævnt i denne doms foregående præmis, for personer, der arbejder inden for det samme videnskabelige område, samlet set gøre det muligt at identificere den omhandlede person, uden at denne identifikation indebærer en større indsats i tid, omkostninger og arbejde. I modsætning til, hvad Kommissionen har gjort gældende, var appellanten desuden ikke forpligtet til at føre bevis for, at hun rent faktisk var blevet identificeret af en af disse personer, eftersom en sådan betingelse ikke er fastsat i artikel 3, nr. 1), i forordning 2018/1725, idet denne bestemmelse begrænser sig til at kræve, at en person er »identificerbar«.

  • En pressemeddelelse, der omhandler angiveligt ulovlig adfærd, såsom svig eller korruption, kan klart give anledning til interesse i offentligheden og foranledige læsere heraf, bl.a. journalister, til at foretage søgninger på den person, der er omhandlet i pressemeddelelsen. I en sådan sammenhæng forekommer den indsats, der består i at foretage sådanne søgninger på en webside, såsom ERCEA’s websted, ved at gennemgå beskrivelsen af ca. 70 finansierede projekter på dette websted, sammenholdt med andre søgninger på internettet, der sandsynligvis gør det muligt at opnå navnet og andre identifikatorer på den person, der er omhandlet i den omtvistede pressemeddelelse, på ingen måde uforholdsmæssig, således at risikoen for, at appellanten identificeres af journalister eller andre personer, der ikke kender hendes karriereforløb, ikke kunne kvalificeres som ubetydelig som omhandlet i den retspraksis, der er nævnt i nærværende doms præmis 51.

  • Det følger af ovenstående betragtninger, at Retten i den appellerede doms præmis 49 og 87 begik en retlig fejl ved at fastslå, at identificeringen af appellanten ikke kunne følge af eksterne eller supplerende elementer, der ikke henhørte under den adfærd, som blev foreholdt OLAF. Desuden begik Retten en retlig fejl ved den retlige kvalificering af de faktiske omstændigheder, som den havde fået forelagt, ved i denne doms præmis 68 at fastslå, at de identifikatorer, der fremgik af den omtvistede pressemeddelelse, ikke med rimelighed gjorde det muligt at identificere appellanten, enten på grundlag af den blotte objektiv læsning af denne pressemeddelelse eller ved hjælp af midler, som »med rimelighed kan tænkes bragt i anvendelse« af en af dennes læsere.

  • Det var følgelig ligeledes med urette, at Retten i den appellerede doms præmis 91 og 92 fastslog, at de oplysninger, der var indeholdt i den omtvistede pressemeddelelse, ikke var omfattet af begrebet »personoplysninger« som omhandlet i artikel 3, nr. 1), i forordning 2018/1725, og at denne forordning ikke fandt anvendelse i det foreliggende tilfælde.

Appelsagens udfald:

EU-Domstolen har den 7. marts 2024 truffet afgørelse i sagen, hvoraf bl.a. fremgår:

  • I overensstemmelse med artikel 61, stk. 1, andet punktum, i statutten for Den Europæiske Unions Domstol kan Domstolen, når den ophæver den af Retten trufne afgørelse, selv træffe endelig afgørelse, hvis sagen er moden til påkendelse.

  • Dette er ikke tilfældet i den foreliggende sag.

  • Under disse omstændigheder finder Domstolen ikke sagen moden til påkendelse.

  • Sag T-384/20 hjemvises til Retten

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

RL

Sagsøgte i hovedsagen:

Landeshauptstadt Wiesbaden

Faktum i hovedsagen:

Sagsøgeren anmodede den 30. november 2021 om udstedelse af et nyt identitetskort uden fingeraftryk, da chippen i sagsøgerens gamle identitetskort var defekt. Genudstedelse blev afvist, eftersom optagelse af fingeraftryk var obligatorisk siden den 2. august 2021. Sagsøgeren havde endvidere ikke krav på udstedelse af et nyt identitetskort, da sagsøgeren allerede var i besiddelse af et gyldigt opholdsdokument. Et identitetskort var også gyldigt med en defekt chip.

De præjudicielle spørgsmål:

Er forpligtelsen til optagelse og lagring af fingeraftryk på identitetskort i henholdt til artikel 3, stk. 5, i Europaparlamentets og Rådets forordning (EU) 2019/1157 af 20. juni 2019 om styrkelse af sikkerheden af unionsborgeres identitetskort og af opholdsdokumenter, der udstedes til unionsborgere og deres familiemedlemmer, som udøver deres ret til fri bevægelighed (EUT L 188 af 12.07.2019, s. 67), i strid med trinhøjere EU-ret, navnlig med:

  • artikel 77, stk. 3, i Traktaten om Den Europæiske Unions Funktionsmåde,
  • artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder,
  • artikel 35, stk. 10, i generel forordning om databeskyttelse,

og er forpligtelsen derfor af en af de pågældende grunde ugyldig?

Udtalelse fra EU's generaladvokat:

EU’s generaladvokat har den 29. juni 2023 afgivet en udtalelse i sagen, hvoraf følgende fremgår:

  • Gennemgangen af det forelagte spørgsmål har intet frembragt, der kan rejse tvivl om gyldigheden af forordning 2019/1157, navnlig denne forordnings artikel 3, stk. 5.

Domsafsigelse:

EU-Domstolen har truffet afgørelse i sagen den 21. marts 2024, hvoraf fremgår: 

  • 1) Europa-Parlamentets og Rådets forordning (EU) 2019/1157 af 20. juni 2019 om styrkelse af sikkerheden af unionsborgeres identitetskort og af opholdsdokumenter, der udstedes til unionsborgere og deres familiemedlemmer, som udøver deres ret til fri bevægelighed, er ugyldig.
  • 2) Virkningerne af forordning 2019/1157 opretholdes indtil ikrafttrædelsen inden for en rimelig frist, der ikke kan overstige to år regnet fra den 1. januar i det år, der følger efter datoen for afsigelsen af nærværende dom, af en ny forordning baseret på artikel 77, stk. 3, TEUF, som skal erstatte den omhandlede forordning.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøger i sagen: 

La Quadrature du Net, m.fl.

Sagsøger i sagen:

Den franske stat (Hadopi)

De præjudicielle spørgsmål:

  • Er [identitetsdata knyttet til] en IP-adresse blandt de trafik- eller lokaliseringsdata, der principielt skal gøres til genstand for en forudgående kontrol ved en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser.
  • Såfremt det første spørgsmål besvares bekræftende, ønskes det oplyst, om direktiv [2002/58], sammenholdt med [chartret], i betragtning af den lave følsomhed af data, der vedrører den civile identitet på brugerne, herunder deres kontaktoplysninger, skal fortolkes således, at det er til hinder for en national lovgivning, hvorefter en administrativ myndighed skal indsamle disse data [knyttet til] de pågældende brugeres IP-adresse uden en forudgående kontrol foretaget af en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser?
  • Såfremt det andet spørgsmål besvares bekræftende, ønskes det oplyst, om direktiv [2002/58] – i betragtning af den lave følsomhed af data, der vedrører den civile identitet [på brugerne], af den omstændighed, at disse data alene kan indsamles med henblik på at forhindre tilsidesættelser af forpligtelser, der i national ret er præcist, indskrænkende og udtømmende defineret, og af den omstændighed, at en systematisk kontrol af adgangen til data om hver enkelt bruger foretaget af en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser, vil skade opfyldelsen af den samfundsopgave, der er overdraget den uafhængige administrative myndighed, der [foretager] denne indsamling – er til hinder for, at denne kontrol foretages i overensstemmelse med hensigtsmæssige retningslinjer, såsom en automatisk kontrol, i givet fald under tilsyn af en intern enhed i det pågældende organ, hvis embedsmænd, der foretager indsamlingen, er uafhængige og upartiske?«

Udtalelse fra EU´s generaladvokat:

EU's generaladvokat har den 28. september 2023 afgivet en udtalelse i sagen, hvoraf fremgår:

  • Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med artikel 7, 8 og 11 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder

  skal fortolkes således, at

  • bestemmelsen ikke er til hinder for en national lovgivning, der tillader lagring, som foretages af udbydere af elektroniske kommunikationstjenester, og giver en administrativ myndighed, som har til opgave at beskytte ophavsrettigheder og beslægtede rettigheder mod krænkelser af disse rettigheder, som er begået på internettet, ret til adgang, der er begrænset til data vedrørende personers identitet i form af oplysninger om IP-adresser, med henblik på, at en sådan myndighed kan identificere de indehavere af disse adresser, som er mistænkt for at være ansvarlige for krænkelserne, og i givet fald træffe foranstaltninger i denne henseende, uden at en sådan adgang gøres til genstand for en forudgående kontrol foretaget af en domstol eller en uafhængig administrativ enhed, når disse oplysninger udgør det eneste efterforskningsmiddel, der kan gøre det muligt at identificere personer, som denne adresse var tildelt på det tidspunkt, hvor den pågældende overtrædelse blev begået.«

Domsafsigelse:

EU-Domstolen har truffet afgørelse i sagen den 30. april 2024, hvoraf følgende fremgår:

  • Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i chartret om grundlæggende rettigheder,

skal fortolkes således,

  • at denne bestemmelse ikke er til hinder for en national lovgivning, der tillader, at den offentlige myndighed, der har til opgave at beskytte ophavsrettigheder og beslægtede rettigheder mod krænkelser af disse rettigheder, der begås på internettet, får adgang til identitetsdata, som er lagret af udbydere af offentligt tilgængelige elektroniske kommunikationstjenester, og som er knyttet til IP-adresser, der forudgående er indsamlet af rettighedsorganisationer, for at denne myndighed kan identificere indehaverne af disse adresser, som er blevet anvendt til aktiviteter, der kan udgøre sådanne krænkelser, og efter omstændighederne træffe foranstaltninger over for dem, forudsat at det i henhold til denne lovgivning gælder, at disse data skal lagres på betingelser og efter tekniske fremgangsmåder, der sikrer, at det er udelukket, at lagringen kan gøre det muligt at drage præcise slutninger om disse indehaveres privatliv, f.eks. ved at fastlægge en detaljeret profil af dem, hvilket navnlig kan opnås ved at pålægge udbyderne af elektroniske kommunikationstjenester en pligt til lagring af de forskellige kategorier af personoplysninger, såsom identitetsdata, IP-adresser samt trafikdata og lokaliseringsdata, der sikrer, at disse forskellige kategorier af data faktisk er hermetisk adskilte, således at enhver kombineret udnyttelse af disse forskellige kategorier af data forhindres på lagringsstadiet, og at lagringen kun sker i et tidsrum, der ikke overstiger det strengt nødvendige
  • denne offentlige myndigheds adgang til sådanne data, der er lagret særskilt og på en sådan måde, at dataene er hermetisk adskilte, alene må tjene til at identificere den person, der mistænkes for at have begået en strafbar handling, og at adgangen skal være ledsaget af de nødvendige garantier med henblik på at udelukke, at den, undtagen i atypiske situationer, kan gøre det muligt at drage præcise slutninger om privatlivet for indehaverne af IP-adresserne, f.eks. ved at fastlægge en detaljeret profil af dem, hvilket navnlig indebærer, at det skal være forbudt for denne myndigheds embedsmænd med bemyndigelse til en sådan adgang at udbrede oplysninger i nogen som helst form om indholdet af de filer, som disse indehavere har konsulteret, undtagen med henblik på indbringelse af sagen for anklagemyndigheden, at foretage sporing af indehavernes søgemønstre og mere generelt at anvende disse IP-adresser til andre formål end at identificere indehaverne med henblik på vedtagelse af eventuelle foranstaltninger over for dem
  • muligheden for de personer i den nævnte offentlige myndighed, der har til opgave at undersøge de faktiske omstændigheder, for at koble sådanne data sammen med de filer med oplysninger, der gør det muligt at få kendskab til titlen på de beskyttede værker, hvis tilrådighedsstillelse på internettet har begrundet rettighedsorganisationernes indsamling af IP-adresserne, i tilfælde af samme persons gentagelse af en aktivitet, der krænker ophavsrettigheder eller beslægtede rettigheder, skal være undergivet en kontrol ved en domstol eller en uafhængig administrativ enhed, der ikke må være fuldstændig automatiseret, og som skal foretages forud for en sådan sammenkobling af data, idet denne i sådanne tilfælde kan gøre det muligt at drage præcise slutninger om privatlivet for denne person, hvis IP-adresse er blevet anvendt til aktiviteter, der kan krænke ophavsrettigheder eller beslægtede rettigheder
  • det databehandlingssystem, som den offentlige myndighed anvender, med jævne mellemrum skal kontrolleres af et uafhængigt organ, der er udenforstående i forhold til denne myndighed, med henblik på at efterprøve systemets integritet, herunder de effektive garantier mod risikoen for uberettiget eller ulovlig adgang til og anvendelse af disse data, samt systemets effektivitet og pålidelighed med hensyn til at afsløre eventuelle overtrædelser.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

Facebook Inc.

Facebook Ireland Ltd.

Facebook Deutschland GmbH

Sagsøgte i hovedsagen:

Bundeskartellamt

De præjudicielle spørgsmål:

1.

a) Er artikel 51 ff. i forordning nr. 2016/679 til hinder for, at en national kartelmyndighed i en medlemsstat, såsom Bundeskartellamt, der ikke er tilsynsmyndighed som omhandlet artikel 51 ff. i forordning nr. 2016/679, og i hvilken medlemsstat en virksomhed med hjemsted uden for Den Europæiske Union har en etablering, der inden for markedsføring, kommunikation og PR bistår denne virksomheds hovedvirksomhed, som er beliggende i en anden medlemsstat og som har eneansvaret for behandlingen af personoplysninger på hele Den Europæiske Unions område, for det kartelretlige misbrugstilsyn fastslår, at hovedvirksomhedens kontraktbetingelser vedrørende behandling af oplysninger og gennemførelsen heraf udgør en tilsidesættelse af forordning nr. 2016/679, og vedtager en afgørelse om, at denne tilsidesættelse skal bringes til ophør?

b) Såfremt dette spørgsmål besvares bekræftende: Er artikel 4, stk. 3, TEU til hinder herfor, når den ledende tilsynsmyndighed i den medlemsstat, hvor hovedvirksomheden er beliggende, som [org. s. 3] omhandlet i artikel 56, stk. 1, i forordning nr. 2016/679 samtidig underkaster hovedvirksomhedens kontraktbetingelser vedrørende behandling af oplysninger en undersøgelsesprocedure?

Såfremt det første spørgsmål besvares bekræftende:

2.

a) Udgør det forhold, at en internetbruger enten kun besøger eller også indtaster informationer, f.eks. ved registrering eller bestillinger, på websteder eller apps, der vedrører kriterierne i artikel 9, stk. 1, i forordning nr. 2016/679, såsom dating-apps, partnerbørser for homoseksuelle, politiske partiers websteder eller sundhedswebsteder, og en anden virksomhed såsom Facebook Ireland gennem grænseflader på disse websteder eller i disse apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr indsamler oplysninger om brugerens besøg på disse websteder og apps og om de informationer, som brugeren har indtastet, sammenstiller disse oplysninger med oplysningerne om brugerens Facebook.com-konto og anvender dem, behandling af følsomme oplysninger i forordningens forstand for så vidt angår indsamlingen og/eller sammenstillingen og/eller anvendelsen?

b) Såfremt dette spørgsmål besvares bekræftende: Indebærer besøg på disse websteder og apps og/eller indtastning af informationer og/eller tryk på knapper på disse websteder eller apps (»sociale plugins« såsom »synes godt om«, »del« eller »Facebook login« eller »account kit«) fra en udbyder som Facebook Ireland, at brugeren i kraft af selve besøget og/eller indtastningen tydeligvis har offentliggjort oplysningerne som omhandlet i artikel 9, stk. 2, litra e), i forordning nr. 2016/679?

3.

Kan en virksomhed som Facebook Ireland, der driver et annoncefinansieret og digitalt socialt netværk og i sine tjenestevilkår tilbyder persontilpasset indhold og markedsføring, netværkssikkerhed, produktforbedring og en ensartet og velfungerende brug af alle koncernens produkter, påberåbe sig den begrundelse, at behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt som omhandlet i artikel 6, stk. 1, litra b), i forordning nr. 2016/679, eller er nødvendig for at forfølge en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning nr. 2016/679, når den med henblik på disse formål indsamler oplysninger fra andre af koncernens tjenester og [org. s. 4] fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstiller oplysningerne med brugerens Facebook.com-konto og anvender dem?

4.

Kan også

– det forhold, at brugerne er mindreårige, af hensyn til persontilpasningen af indhold og markedsføring, produktforbedring, netværkssikkerhed og ikkemarkedsføringsmæssig kommunikation med brugeren,

– levering af målinger, analyser og øvrige virksomhedsservices til markedsføringskunder, udviklere og øvrige partnere, således at disse kan evaluere og forbedre deres ydelser,

– levering af marketingkommunikation med brugeren, således at virksomheden kan forbedre sine produkter og gennemføre direct marketing,

– forskning og innovation til gavn for samfundet med henblik på at fremme niveauet for teknologiske fremskridt eller den videnskabelige forståelse vedrørende vigtige sociale emner og at øve positiv indflydelse på samfundet og verden,

– det forhold, at der gives oplysninger til retshåndhævende myndigheder og besvares juridiske anmodninger med henblik på at forhindre, opklare og retsforfølge strafbare handlinger, ulovlig brug, tilsidesættelser af tjenestevilkårene og politikkerne og andre former for skadelig adfærd, i en sådan

situation udgøre en legitim interesse som omhandlet i artikel 6, stk. 1, litra f), i forordning nr. 2016/679, når virksomheden med henblik på disse formål indsamler oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstiller oplysningerne med brugerens Facebook.comkonto og anvender dem?

5.

Kan indsamling af oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps såsom »Facebook Business Tools« eller gennem cookies eller lignende lagringsteknologier indsat på internetbrugerens computer eller mobile terminaludstyr, sammenstilling med brugerens Facebook.com-konto og anvendelse heraf eller anvendelse af oplysninger, der allerede [org. s. 5] i anden sammenhæng er blevet indsamlet og sammenstillet lovligt, i en sådan situation i specifikke tilfælde også være begrundet i henhold til artikel 6, stk. 1, litra c), d) og e), i forordning nr. 2016/679 med henblik på f.eks. at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger [litra c)], at bekæmpe skadelig adfærd og fremme sikkerheden [litra d)] eller af hensyn til forskning til gavn for samfundet og til fremme af beskyttelse, integritet og sikkerhed [litra e)]?

6.

Kan der gives et gyldigt og navnlig i henhold til artikel 4, nr. 11), i forordning nr. 2016/679 frivilligt samtykke som omhandlet i artikel 6, stk. 1, litra a), og artikel 9, stk. 2, litra a), i forordning nr. 2016/679 over for en markedsdominerende virksomhed som Facebook Ireland?

Såfremt det første spørgsmål besvares benægtende:

7.

a) Kan en national kartelmyndighed i en medlemsstat såsom Bundeskartellamt, som ikke er tilsynsmyndighed som omhandlet i artikel 51 ff. i forordning nr. 2016/679, og som vurderer, om en markedsdominerende virksomhed har tilsidesat det kartelretlige forbud mod misbrug, idet denne tilsidesættelse ikke består i, at virksomhedens betingelser for behandling af oplysninger og gennemførelsen heraf tilsidesætter forordning nr. 2016/679, f.eks. i forbindelse med afvejningen af interesser foretage konstateringer om, hvorvidt denne virksomheds betingelser vedrørende behandling af oplysninger og gennemførelsen heraf er i overensstemmelse med forordning nr. 2016/679

b) Såfremt dette spørgsmål besvares bekræftende: Gælder dette henset til artikel 4, stk. 3, TEU også, når den ledende tilsynsmyndighed som omhandlet i artikel 56, stk. 1, i forordning nr. 2016/679 samtidig underkaster denne virksomheds betingelser vedrørende behandling af oplysninger en undersøgelsesprocedure?

Såfremt det syvende spørgsmål besvares bekræftende, er det nødvendigt at besvare det tredje til femte spørgsmål med hensyn til oplysninger fra brugen af koncernens tjeneste Instagram.

Udtalelse fra EU´s generaladvokat:

Generaladvokaten har den 20. september 2022 fremsat forslag til afgørelse i sagen. Generaladvokaten konkluderer i sin udtalelse følgende:

  • Artikel 51-66 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en konkurrencemyndighed, som led i sine beføjelser som omhandlet i konkurrencereglerne, ved en mellemafgørelse kan undersøge, om den undersøgte praksis er i overensstemmelse med reglerne i denne forordning, idet den skal tage hensyn til enhver afgørelse eller undersøgelse fra den i henhold til nævnte forordning kompetente tilsynsmyndighed og skal underrette den nationale tilsynsmyndighed og efter omstændighederne rådslå sig med denne.
  • Artikel 9, stk. 1, i forordning 2016/679 skal fortolkes således, at forbud mod behandling af følsomme personoplysninger kan omfatte en behandling af oplysninger, der foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger fra en bruger, når denne besøger andre websteder eller apps eller indtaster disse oplysninger på disse websteder eller apps, sammenstilling af nævnte oplysninger med brugerkontoen for det sociale netværk og anvendelse af oplysningerne, forudsat at de oplysninger, der behandles – individuelt betragtet eller sammenført – muliggør profilering af brugeren ud fra de kategorier, der fremgår af den opregning af følsomme personoplysninger, som foretages i denne bestemmelse.
    Artikel 9, stk. 2, litra e, skal fortolkes således, at en bruger ikke tydeligvis har offentliggjort oplysningerne, når oplysningerne afgives ved besøg på websteder og apps eller indtastes eller følger af tryk på knapper på disse websteder eller apps.
  • Artikel 6, stk. 1, litra b, c, d, e og f, i forordning 2016/679 skal fortolkes således, at en praksis, som består i for det første indsamling af oplysninger fra andre af koncernens tjenester og fra tredjeparters websteder og apps gennem grænseflader på disse websteder og apps eller gennem cookies indsat på brugerens computer eller mobile terminaludstyr, for det andet sammenstilling af disse oplysninger med den pågældende brugers Facebook-konto og for det tredje anvendelse af de nævnte oplysninger eller visse af de aktiviteter, der udgør denne praksis, kan henhøre under de undtagelser, der er fastsat i disse bestemmelser, for så vidt hver enkelt behandlingsform, der undersøges, opfylder de betingelser, der fremgår af den begrundelse, som den dataansvarlige konkret har anført, og følgelig for så vidt:
    • behandling er objektivt nødvendig for ydelsen af de tjenester, der er knyttet til Facebook-kontoen
    • behandling er nødvendig for opfyldelse af en legitim interesse, som den dataansvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, har anført, og ikke påvirker den registreredes grundlæggende rettigheder og frihedsrettigheder uforholdsmæssigt
    • behandling er nødvendig for at besvare et gyldigt retligt spørgsmål vedrørende bestemte oplysninger, for at bekæmpe skadelig adfærd og fremme sikkerheden eller af hensyn til forskning til gavn for samfundet samt for at fremme beskyttelse, integritet og sikkerhed.
  • Artikel 6, stk. 1, litra a, og artikel 9, stk. 2, litra a, i forordning 2016/679 skal fortolkes således, at alene den omstændighed, at en virksomhed, der driver et socialt netværk, er markedsdominerende marked for sociale onlinenetværk for private brugere, ikke i sig selv kan berøve det samtykke, som brugeren af dette netværk har givet til behandling af sine personoplysninger, sin gyldighed som omhandlet i denne forordnings artikel 4, nr. 11. En sådan omstændighed er ikke desto mindre af betydning ved vurderingen af, om samtykket er frivilligt som omhandlet i denne bestemmelse, hvilket det påhviler den dataansvarlige at bevise, idet der efter omstændighederne skal tages hensyn til for det første en eventuel klar skævhed i styrkeforholdet mellem den registrerede og den dataansvarlige , for det andet en eventuel forpligtigelse til at samtykke til behandling af personoplysninger ud over oplysninger, der er strengt nødvendige for ydelsen af de pågældende tjenester, for det tredje kravet om, at samtykket skal være specifikt for hvert formål med behandling, og for det fjerde kravet om, at tilbagetrækning af samtykket ikke må medføre skade for den bruger, der trækker sit samtykke tilbage.

Domsafsigelse: 

EU-Domstolen har den 4. juli 2023 truffet afgørelse i sagen, hvoraf følgende fremgår: 

1)      Artikel 51 ff. i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) samt artikel 4, stk. 3, i traktaten om Den Europæiske Union

skal fortolkes således, at

med forbehold for overholdelse af pligten til loyalt samarbejde med tilsynsmyndighederne kan en medlemsstats konkurrencemyndighed som led i undersøgelsen af en virksomheds misbrug af dominerende stilling som omhandlet i artikel 102 TEUF fastslå, at denne virksomheds almindelige brugerbetingelser vedrørende behandlingen af personoplysninger og gennemførelsen heraf ikke er i overensstemmelse med databeskyttelsesforordningen, når denne konstatering er nødvendig for at påvise et sådant misbrug.

I lyset af denne pligt til loyalt samarbejde kan den nationale konkurrencemyndighed ikke fravige en afgørelse fra den kompetente nationale tilsynsmyndighed eller den ledende tilsynsmyndighed om disse almindelige betingelser eller tilsvarende almindelige betingelser. Når den nationale konkurrencemyndighed nærer tvivl om rækkevidden af en sådan afgørelse, når nævnte betingelser eller tilsvarende betingelser samtidig undersøges af disse myndigheder, eller når konkurrencemyndigheden, såfremt de sidstnævnte myndigheder ikke har foretaget en sådan undersøgelse, finder, at de pågældende betingelser er i strid med bestemmelserne i forordning 2016/679, skal denne konkurrencemyndighed høre disse myndigheder og anmode om deres samarbejde for at fjerne tvivlen eller for at afgøre, om der er grundlag for at afvente deres vedtagelse af en afgørelse, inden den foretager sin egen vurdering. Såfremt disse myndigheder ikke fremsætter indsigelse eller ikke svarer inden for en rimelig frist, kan den nationale konkurrencemyndighed fortsætte sin egen undersøgelse.

2)      Artikel 9, stk. 1, i forordning 2016/679

skal fortolkes således, at

såfremt en bruger af et socialt onlinenetværk besøger websteder eller anvender applikationer i forbindelse med en eller flere af de i denne bestemmelse omhandlede kategorier og eventuelt indtaster oplysninger heri ved at registrere sig eller foretage onlinebestillinger, skal den behandling af personoplysninger, som operatøren af dette sociale onlinenetværk foretager, og som består i indsamling af oplysninger fra besøg på disse websteder eller anvendelse af disse applikationer samt de af brugeren indtastede oplysninger gennem grænseflader, cookies eller lignende lagringsteknologier, sammenstilling af samtlige disse oplysninger med brugerens konto på det sociale netværk og operatørens anvendelse af nævnte oplysninger, anses for at udgøre »behandling af særlige kategorier af personoplysninger« som omhandlet i denne bestemmelse, hvilket principielt er forbudt med forbehold for undtagelserne i denne forordnings artikel 9, stk. 2, når denne behandling af oplysninger kan afsløre oplysninger, der er omfattet af en af disse kategorier, uanset om oplysningerne vedrører en bruger af dette netværk eller enhver anden fysisk person.

3)      Artikel 9, stk. 2, litra e), i forordning 2016/679

skal fortolkes således, at

når en bruger af et socialt onlinenetværk besøger websteder eller anvender applikationer i forbindelse med en eller flere af kategorierne i denne forordnings artikel 9, stk. 1, har vedkommende ikke tydeligvis offentliggjort de oplysninger om dette besøg, som operatøren af det sociale onlinenetværk har indsamlet gennem cookies eller lignende lagringsteknologier, som omhandlet i denne bestemmelse.

Når brugeren indtaster oplysninger på sådanne websteder eller applikationer eller trykker på valgknapper på disse websteder og applikationer, såsom knapperne »synes godt om«, »del«, eller på knapper, som giver brugeren mulighed for at identificere sig på disse websteder eller applikationer ved anvendelse af de loginoplysninger, der er tilknyttet brugerens konto på det sociale netværk, telefonnummer eller e-mailadresse, har en sådan bruger kun tydeligvis offentliggjort de således indtastede oplysninger eller oplysninger fra tryk på disse knapper som omhandlet i artikel 9, stk. 2, litra e), når denne bruger udtrykkeligt på forhånd har tilkendegivet sit valg, eventuelt på grundlag af en personlig tilpasning, der er foretaget med fuldt kendskab til sagen, om at gøre oplysningerne om den pågældende offentligt tilgængelige for et ubegrænset antal personer.

4)      Artikel 6, stk. 1, første afsnit, litra b), i forordning 2016/679

skal fortolkes således, at

den behandling af personoplysninger, som foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger om brugerne af et sådant netværk fra andre tjenester i den koncern, som denne operatør indgår i, eller fra brugernes besøg på tredjeparters websteder eller anvendelse af disses applikationer, sammenstilling af disse oplysninger med nævnte brugeres konto på det sociale netværk og anvendelse af disse oplysninger, kun kan anses for at være nødvendig for at opfylde den kontrakt, som de pågældende personer er parter i som omhandlet i denne bestemmelse, hvis denne behandling er objektivt uundværlig for at gennemføre et formål, som udgør en integrerende del af den kontraktlige ydelse til disse brugere, hvorfor kontraktens hovedformål ikke kan opnås uden denne behandling.

5)      Artikel 6, stk. 1, første afsnit, litra f), i forordning 2016/679

skal fortolkes således, at

den behandling af personoplysninger, som foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger om brugerne af et sådant netværk fra andre tjenester i den koncern, som denne operatør indgår i, eller fra brugernes besøg på tredjeparters websteder eller anvendelse af disses applikationer, sammenstilling af disse oplysninger med nævnte brugeres konto på det sociale netværk og anvendelsen af disse oplysninger, kun kan anses for nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse som omhandlet i denne bestemmelse, på betingelse af, at nævnte operatør har oplyst de brugere, hos hvem oplysningerne er blevet indsamlet, om den legitime interesse, som forfølges med behandlingen heraf, at behandlingen foretages inden for rammerne af, hvad der er strengt nødvendigt for at gennemføre denne legitime interesse, og at det fremgår af en afvejning af de modstridende interesser, henset til samtlige relevante omstændigheder, at brugernes interesser og grundlæggende rettigheder og frihedsrettigheder ikke går forud for den dataansvarliges eller tredjemands nævnte legitime interesse.

6)      Artikel 6, stk. 1, første afsnit, litra c), i forordning 2016/679

skal fortolkes således, at

den behandling af personoplysninger, som foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger om brugerne af et sådant netværk fra andre tjenester i den koncern, som denne operatør indgår i, eller fra brugernes besøg på tredjeparters websteder eller anvendelse af disses applikationer, sammenstilling af disse oplysninger med nævnte brugeres konto på det sociale netværk og anvendelse af disse oplysninger, er begrundet, når den faktisk er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige i henhold til EU-retten eller lovgivningen i den pågældende medlemsstat, når dette retsgrundlag opfylder et formål i samfundets interesse og står i rimeligt forhold til det legitime mål, der forfølges, og behandlingen foretages inden for rammerne af, hvad der er strengt nødvendigt.

7)      Artikel 6, stk. 1, første afsnit, litra d) og e), i forordning 2016/679

skal fortolkes således, at

den behandling af personoplysninger, som foretages af en operatør af et socialt onlinenetværk, og som består i indsamling af oplysninger om brugerne af et sådant netværk fra andre tjenester i den koncern, som denne operatør indgår i, eller fra brugernes besøg på tredjeparters websteder eller anvendelse af disses applikationer, sammenstilling af disse oplysninger med nævnte brugeres konto på det sociale netværk og anvendelse af disse oplysninger, i princippet og med forbehold for den efterprøvelse, som den forelæggende ret skal foretage, ikke kan anses for at være nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser som omhandlet i litra d) eller til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt som omhandlet i litra e).

8)      Artikel 6, stk. 1, første afsnit, litra a), og artikel 9, stk. 2, litra a), i forordning 2016/679

skal fortolkes således, at

den omstændighed, at en operatør af et socialt onlinenetværk har en dominerende stilling på markedet for sociale onlinenetværk, ikke som sådan er til hinder for, at brugerne af et sådant netværk gyldigt kan give samtykke som omhandlet i denne forordnings artikel 4, nr. 11), til denne operatørs behandling af deres personoplysninger. Denne omstændighed er imidlertid et vigtigt element med henblik på at afgøre, om dette samtykke faktisk er afgivet gyldigt, og navnlig frivilligt, hvilket det påhviler nævnte operatør at påvise. 

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøger i hovedsagen:

TR

Sagsøgte i hovedsagen:

Land Hessen

De præjudicielle spørgsmål:

1. Skal artikel 57, stk. 1, litra a) og f), og artikel 58, stk. 2, litra a)-j), sammenholdt med artikel 77, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, EUT af 4.5.2016, L 119, s. 1, herefter »databeskyttelsesforordningen«) fortolkes således, at tilsynsmyndigheden altid er forpligtet til at gribe ind i henhold til databeskyttelsesforordningens artikel 58, stk. 2, hvis den konstaterer en databehandling, hvorved en registreret persons rettigheder er blevet krænket?

Domsafsigelse:

EU-Domstolen har den 26. september 2024 afsagt dom i sagen, hvoraf følgende fremgår:

  • På grundlag af disse præmisser kender Domstolen (Første Afdeling) for ret:
    • Artikel 57, stk. 1, litra a) og f), artikel 58, stk. 2, og artikel 77, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at tilsynsmyndigheden i tilfælde af, at der konstateres et brud på persondatasikkerheden, ikke er forpligtet til at vedtage en korrigerende foranstaltning, særligt en administrativ bøde, i henhold til artikel 58, stk. 2, når en sådan indgriben ikke er passende, nødvendig eller forholdsmæssig med henblik på at afhjælpe den konstaterede mangel og sikre fuld overholdelse af denne forordning. 

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

HTB Neunte Immobilien Portfolio geschlossene Investment UG & Co. KG

Sagsøgte i hovedsagen:

Müller Rechtsanwaltsgesellschaft mbH

De præjudicielle spørgsmål:

1.a. Følger det af fortolkningen af databeskyttelsesforordningens artikel 6, stk. 1, litra b) og f), at deltagelse i et investeringsselskab som investor, som ikke hæfter personligt og kun i begrænset omfang, og som ikke deltager i selskabets ledelse, er tilstrækkelig til at lægge til grund, at der foreligger en »legitim interesse« i at få oplysning om alle investorer, som investerer indirekte via en formueforvalter, disses kontaktoplysninger og disses deltagelse i investeringsselskabet og til at udlede en tilsvarende kontraktlig forpligtelse af selskabets vedtægter,

1.b. eller er den legitime interesse under sådanne betingelser begrænset til at få oplysning fra selskabet om de indirekte investorer, som ikke hæfter i ringe omfang, men som ejer en mindsteandel, som i det mindste lader en indflydelse på selskabets skæbne komme i betragtning?

2.a. Er det, for i forbindelse med en sådan ubegrænset ret (1a) ikke at overskride den iboende grænse i form af retsmisbrug eller for at dispensere fra begrænsningen i form af en begrænset ret til oplysning (1b), tilstrækkeligt, at der foreligger et ønske om at optage kontakt med henblik på at lære de pågældende at kende, udveksle synspunkter eller indlede forhandlinger om køb af selskabsandele,

2.b. eller kan en interesse i oplysning først komme i betragtning som relevant, hvis en videregivelse kræves med den udtrykkelige hensigt at optage kontakt med andre investorer for at anmode disse om koordinering på grund af konkret nævnte anledninger, som kræver stillingtagen i forbindelse med investorernes beslutninger?

Domsafsigelse:

EU-Domstolen har den 12. september 2024 afsagt dom i sagen, hvoraf følgende fremgår: 

På grundlag af disse præmisser kender Domstolen (Fjerde Afdeling) for ret:

  • Artikel 6, stk. 1, første afsnit, litra b), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
    skal fortolkes således, at en behandling af personoplysninger, der består i efter anmodning fra en selskabsdeltager i en investeringsfond, som er oprettet i form af et personselskab med offentlig deltagelse, at videregive oplysninger om alle de selskabsdeltagere, der gennem formueforvaltningsselskaber indirekte ejer kapitalandele i denne fond, uafhængigt af, hvor stor en andel af denne fonds kapital, de ejer, med henblik på at komme i kontakt og forhandle med dem om køb af deres kapitalandele eller koordinere med dem med henblik på at anlægge en fælles holdning i forbindelse med selskabsdeltagernes beslutninger, kun kan anses for at være nødvendig i denne bestemmelses forstand for at opfylde den kontrakt, i henhold til hvilken disse selskabsdeltagere har erhvervet sådanne andele, såfremt denne behandling er objektivt uundværlig for at gennemføre et formål, som udgør en integrerende del af den kontraktlige ydelse til de samme selskabsdeltagere, således at kontraktens hovedgenstand ikke ville kunne nås uden denne behandling. Dette er ikke tilfældet, hvis denne kontrakt udtrykkeligt udelukker videregivelse af disse personoplysninger til andre indehavere af kapitalandele.
  • Artikel 6, stk. 1, første afsnit, litra f), i forordning 2016/679 skal fortolkes således, at en sådan behandling kun kan anses for at være nødvendig af hensyn til de legitime interesser, der forfølges af en tredjemand, i denne bestemmelses forstand, såfremt denne behandling er strengt nødvendig for at virkeliggøre en sådan legitim interesse, og såfremt de nævnte selskabsdeltageres interesser eller grundlæggende rettigheder og frihedsrettigheder, henset til samtlige relevante omstændigheder, ikke går forud for den samme legitime interesse.
  • Artikel 6, stk. 1, første afsnit, litra c), i forordning 2016/679 skal fortolkes således, at den nævnte behandling af personoplysninger er begrundet i henhold til denne bestemmelse, når den er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige i medfør af den pågældende medlemsstats lovgivning, således som denne er præciseret i denne medlemsstats retspraksis, forudsat at denne retspraksis er klar og præcis, at dens anvendelse er forudsigelig for de personer, der er omfattet heraf, og at den opfylder et formål i samfundets interesse og står i rimeligt forhold hertil.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøger i hovedsagen: 

Koninklijke Nederlandse Lawn Tennisbond

Sagsøgte i hovedsagen:

Autoriteit Persoonsgegevens

Faktum i hovedsagen:

Tvisten mellem parterne omhandler en bøde på 525.000 EUR pålagt sagsøgeren, der havde delt personoplysninger om sine medlemmer til to sponsorer uden medlemmernes samtykke og uden lovlig hjemmel hertil. 

Sagsøger er en sammenslutning af sportsklubber, hvoraf medlemmerne af sportsklubberne udgøres af tilsluttede tennisklubber og deres medlemmer. Sagsøger samarbejder med sponsorer, herunder Nederlandse Loterij Organisatie BV og SportshopsDirect BV. I 2018 gav sagsøger mod betaling oplysninger om en del af sammenslutningens medlemmer til disse sponsorer, som brugte oplysningerne til reklamer via postforsendelse og telemarketing. 

Ved en afgørelse af 20. december 2019 pålagde sagsøgte sagsøger en bøde på 525.000 EUR, hvilket sagsøger indgav klage over. Ved afgørelse af 30. juli 2020 afslog sagsøgte klagen, hvorefter sagsøger indbragte søgsmålet. 

De præjudicielle spørgsmål:

Vedrører spørgsmålet, om begrebet >> Legitim interesse << i art. 6, stk. 1, litra f udelukkende omfatter ved lov fastsatte interesser (positiv kontrol) eller enhver interesse, for så vidt den ikke er i strid med loven (negativ kontrol), eller mere specifikt spørgsmålet, om en rent kommerciel interesse - såsom interessen i at levere personoplysninger mod betaling uden samtykke fra den berørte person - efter omstændighederne kan anses for at være legitime, og i bekræftende fald, hvilke omstændigheder er herved afgørende.

  1. Hvorledes skal den forelæggende ret fortolke begrebet >> legitim interesse <<? 
  2. Skal udtrykket fortolkes således, som sagsøgte fortolker det? Er det udelukkende interesser, som vedrører lov, udgør lov, er fastsat i lov? Eller; 
  3. Kan enhver interesse være en legitim interesse, forudsat at interessen ikke er i strid med loven? Udtrykt mere specifikt: Må en rent kommerciel interesse og den interesse, som er omhandlet her, nemlig levering af personoplysninger mod betaling uden samtykke fra den pågældende person, efter omstændighederne betragtes som en legitim interesse? I bekræftende fald, hvilke omstændigheder er afgørende for, om en rent kommerciel interesse er en legitim interesse?

Domsafsigelse:

EU-Domstolen har den 4. oktober 2024 afsagt dom i sagen, hvoraf følgende fremgår:

  • På grundlag af disse præmisser kender Domstolen (Ottende Afdeling) for ret:
    • Begrebet »behandling« af personoplysninger, der er omhandlet i artikel 4, nr. 2), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), skal fortolkes således, at det omfatter en verificering ved hjælp af en national mobilapplikation af gyldigheden af interoperable covid-19-vaccinations-, test- og restitutionscertifikater, der er udstedt i henhold til Europa-Parlamentets og Rådets forordning (EU) 2021/953 af 14. juni 2021 om en ramme for udstedelse, kontrol og accept af interoperable covid-19-vaccinations-, test- og restitutionscertifikater (EU’s digitale covidcertifikat) for at lette fri bevægelighed under covid-19-pandemien, og anvendes af en medlemsstat til nationale formål.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

UI

Sagsøgte i hovedsagen:

Österreichische Post AG

De præjudicielle spørgsmål:

1. Er det en forudsætning for at kunne tilkende erstatning i henhold til artikel 82 i forordning [EU] 2016/679, at det ud over at det fastslås, at bestemmelser i den generelle forordning om databeskyttelse er overtrådt, også konstateres, at sagsøgeren har lidt en skade, eller er selve overtrædelsen af bestemmelser i den generelle forordning om databeskyttelse nok til at kunne tilkende en erstatning?

2. Opstiller EU-retten for så vidt angår fastsættelse af erstatningen også andre bestemmelser end effektivitetsprincippet og ækvivalensprincippet?

3. Er det foreneligt med EU-retten at lægge til grund, at det er en forudsætning for at tilkende erstatning for immateriel skade, at en konsekvens eller følge af overtrædelsen i det mindste har en vis betydning, der går videre end den vrede, som overtrædelsen har udløst?

Domsafsigelse:

EU-Domstolen har den 4. Maj 2024 afsagt dom i sagen, hvoraf følgende fremgår:

  • På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret:
    • Artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
      skal fortolkes således, at
      den blotte overtrædelse af denne forordnings bestemmelser ikke er tilstrækkelig til at give ret til erstatning.
    • Artikel 82, stk. 1, i forordning 2016/679
      skal fortolkes således, at
      denne bestemmelse er til hinder for en national regel eller praksis, hvorefter erstatning for en immateriel skade som omhandlet i den nævnte bestemmelse er betinget af, at den skade, som den registrerede har lidt, har en vis alvorsgrad.
    • Artikel 82 i forordning 2016/679
      skal fortolkes således, at
      de nationale retter ved fastsættelsen af størrelsen af den erstatning, der skal betales som følge af den ret til erstatning, der er fastsat i denne artikel, skal anvende den enkelte medlemsstats nationale regler vedrørende den økonomiske erstatnings omfang, for så vidt som de EU-retlige principper om ækvivalens og effektivitet er overholdt.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium

Faktum i Hovedsagen:

Tvisten mellem parterne drejer sig om, hvorvidt der ved indførelse af livestreamundervisning ved hjælp af videokonferencesystemer foruden forældrenes samtykke for deres børn eller myndige elevers samtykke også kræves samtykke fra den pågældende lærer, eller om den databehandling, der sker i denne forbindelse, er omfattet af § 23, stk. 1, første punktum, i Hessens lov om databeskyttelse og informationsfrihed (»HDSIG«), samt spørgsmålet om, hvorvidt der i henhold til de relevante regler for medarbejderrepræsentation i delstaten Hessen foreligger en medbestemmelsesret eller kun en ret til inddragelse.

HDSIG’s § 23 og § 86 i Hessens tjenestemandslov (»HBG«) er ifølge lovgivers vilje en mere specifik bestemmelse som omhandlet i artikel 88, stk. 1, i forordningen.

De præjudicielle spørgsmål:

  1. Skal artikel 88, stk. 1 i forordningen, fortolkes således, at en bestemmelse for at være en mere specifik bestemmelse for at sikre beskyttelse af rettighederne og frihedsrettighederne i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold som omhandlet i artikel 88, stk. 1, i forordning skal opfylde de krav, der stilles til sådanne bestemmelser i henhold til artikel 88, stk. 2, i forordning?
  2. Kan en national bestemmelse, som åbenbart ikke opfylder kravene i henhold til artikel 88, stk. 2 i forordning alligevel fortsat finde anvendelse?

Domsafsigelse:

EU-Domstolen har den. 30. marts 2023 afsagt dom i sagen, hvoraf følgende fremgår:

På grundlag af disse præmisser kender Domstolen (Første Afdeling) for ret:

  • Artikel 88 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
    skal fortolkes således, at en national lovgivning ikke kan udgøre en »mere specifik bestemmelse« som omhandlet i denne artikels stk. 1, hvis den ikke opfylder betingelserne i denne artikels stk. 2.
  • Artikel 88, stk. 1 og 2, i forordning 2016/679
    skal fortolkes således, at nationale bestemmelser, der er vedtaget for at sikre beskyttelsen af arbejdstageres rettigheder og frihedsrettigheder i forbindelse med behandling af deres personoplysninger i ansættelsesforhold, skal undlades anvendt, såfremt disse bestemmelser ikke er i overensstemmelse med de betingelser og begrænsninger, der er fastsat i forordningens artikel 88, stk. 1 og 2, medmindre disse bestemmelser udgør et retsgrundlag som omhandlet i denne forordnings artikel 6, stk. 3, der opfylder kravene i denne forordning.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

 Maximilian Schrems

Sagsøgte i hovedsagen:

Facebook Ireland Ltd

De præjudicielle spørgsmål:

  1. Skal bestemmelserne i databeskyttelsesforordningens artikel 6, stk. 1, litra a) og b), fortolkes således, at lovligheden af kontraktbestemmelser i almindelige tjenestevilkår vedrørende platformskontrakter som de i sagen omhandlede (navnlig kontraktbestemmelser som: »I stedet for at betale […] ved at bruge de Facebook-produkter, der er dækket af disse vilkår, accepterer du, at vi kan vise dig annoncer […] Vi bruger dine personoplysninger […] til at vise dig annoncer, der er mere relevante for dig.«), som omfatter behandling af personoplysninger til indsamling og analyse af oplysninger med henblik på personaliseret reklame, skal vurderes på grundlag af kravene i databeskyttelsesforordningens artikel 6, stk. 1, litra a), sammenholdt med samme forordnings artikel 7, som ikke kan erstattes med henvisning til artikel 6, stk. 1, litra b)?
  2. Skal databeskyttelsesforordningens artikel 5, stk. 1, litra c) (dataminimering), fortolkes således, at alle personoplysninger, som en platform som den i hovedsagen omhandlede har til rådighed (navnlig gennem den registrerede eller gennem tredjeparter på eller uden for platformen), uden begrænsninger med hensyn til tid eller oplysningernes art kan indsamles, analyseres og behandles med henblik på målrettet reklame?
  3. Skal databeskyttelsesforordningens artikel 9, stk. 1, fortolkes således, at bestemmelsen finder anvendelse på behandlingen af oplysninger, som muliggør en målrettet filtrering af særlige kategorier af personoplysninger såsom politisk anskuelse eller seksuel orientering (f.eks. til reklameformål), selv om den dataansvarlige ikke sondrer mellem disse oplysninger?
  4. Skal databeskyttelsesforordningens artikel 5, stk. 1, litra b), sammenholdt med artikel 9, stk. 2, litra e), fortolkes således, at en persons ytring om sin egen seksuelle orientering i forbindelse med en paneldiskussion tillader behandling af andre oplysninger om den seksuelle orientering med henblik på indsamling og analyse af oplysninger med henblik på personaliseret reklame?

Domsafsigelse:

EU-Domstolen har den. 4 oktober 2024 afsagt dom i sagen, hvoraf følgende fremgår: 

  • På grundlag af disse præmisser kender Domstolen (Fjerde Afdeling) for ret:
    • Artikel 5, stk. 1, litra c), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
      skal fortolkes således, at det i denne bestemmelse fastsatte princip om »dataminimering« er til hinder for, at alle personoplysninger, som en dataansvarlig, såsom operatøren af en platform for et socialt onlinenetværk, har indhentet fra den registrerede eller tredjemand, og som er blevet indsamlet både på og uden for denne platform, sammenstilles, analyseres og behandles med henblik på målrettet reklame uden begrænsninger med hensyn til tid, og uden at der sondres på grundlag af disse oplysningers art.
    • Artikel 9, stk. 2, litra e), i forordning 2016/679 skal fortolkes således, at den omstændighed, at en person har udtalt sig om sin seksuelle orientering i forbindelse med en paneldiskussion, der er åben for offentligheden, ikke giver operatøren af en platform for et socialt onlinenetværk mulighed for at behandle andre oplysninger om denne persons seksuelle orientering, som i givet fald er indhentet uden for denne platform fra tredjeparters applikationer og websteder, med henblik på at sammenstille og analysere disse oplysninger for at tilbyde den pågældende personaliseret reklame.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

VB

Sagsøgte i hovedsagen:

Natsionalna agentsia za prihodite

De præjudicielle spørgsmål:

  • Skal artikel 24 og 32 i [Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)] fortolkes således, at det forhold, at en uautoriseret videregivelse eller en uautoriseret adgang til personoplysninger som omhandlet i artikel 4, nr. 12), i forordning (EU) 2016/679 er blevet foretaget af personer, som ikke er ansatte i den dataansvarliges administration og ikke er undergivet dennes kontrol, er tilstrækkeligt til at lægge til grund, at de iværksatte tekniske og organisatoriske foranstaltninger ikke er passende?
  • Såfremt det første spørgsmål besvares benægtende, hvilken genstand og hvilket omfang skal rettens legalitetskontrol da have ved vurderingen af, om de tekniske og organisatoriske foranstaltninger, som den dataansvarlige har truffet som omhandlet i artikel 32 i forordning (EU) 2016/679, er passende?
  • Såfremt det første spørgsmål besvares benægtende, skal ansvarlighedsprincippet som omhandlet i artikel 5, stk. 2, og artikel 24 i forordning (EU) 2016/679, sammenholdt med 74. betragtning hertil, da fortolkes således, at bevisbyrden for, at de iværksatte tekniske og organisatoriske foranstaltninger som omhandlet i artikel 32 i forordning (EU) 2016/679 er passende, påhviler den dataansvarlige i forbindelse med et søgsmål i henhold til forordningens artikel 82, stk. 1? Kan indhentningen af en sagkyndig udtalelse anses for et bevismiddel, der er nødvendigt for og tilstrækkeligt til at fastslå, om de tekniske og organisatoriske foranstaltninger, som den dataansvarlige har truffet, i en sag som den foreliggende var passende, hvis den uautoriserede adgang til og den uautoriserede videregivelse af personoplysninger skyldtes et »hackerangreb«?
  • Skal artikel 82, stk. 3, i forordning (EU) 2016/679 fortolkes således, at den uautoriserede videregivelse af eller den uautoriserede adgang til personoplysninger som omhandlet i artikel 4, nr. 12), i forordning (EU) 2016/679 som i den foreliggende sag gennem et »hackerangreb« udført af personer, der ikke er ansatte i den dataansvarliges administration og ikke er undergivet dennes kontrol, udgør en omstændighed, som den dataansvarlige ikke er skyld i, og som kan begrunde en fritagelse for erstatningsansvar?
  • Skal artikel 82, stk. 1 og 2, i forordning (EU) 2016/679, sammenholdt med 85. og 146. betragtning hertil, fortolkes således, at det i en sag som den foreliggende, hvor tilsidesættelsen af beskyttelsen af personoplysninger kommer til udtryk ved en uautoriseret adgang til og formidling af personoplysninger gennem et »hackerangreb«, kun er den berørte persons bekymringer, frygt og angst for et muligt fremtidigt misbrug af personoplysninger, der er omfattet af begrebet immateriel skade, som skal fortolkes bredt, og dermed berettiger til erstatning, hvis der ikke er blevet konstateret et sådant misbrug og/eller den berørte person ikke er blevet påført nogen yderligere skade?«

Domsafsigelse:

EU-Domstolen har den 14. December 2023 afsagt dom i sagen, hvoraf følgende fremgår: 

  • På grundlag af disse præmisser kender Domstolen (Første Afdeling) for ret:
    • Artikel 24 og 32 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en uautoriseret videregivelse af, eller en uautoriseret adgang til, personoplysninger foretaget af »tredjemand« som omhandlet i denne forordnings artikel 4, nr. 10), ikke i sig selv er tilstrækkelig til at fastslå, at de tekniske og organisatoriske foranstaltninger, som den omhandlede dataansvarlige har truffet, ikke var »passende« som omhandlet i denne artikel 24 og 32.
    • Artikel 32 i forordning 2016/679
      skal fortolkes således, at spørgsmålet om, hvorvidt de tekniske og organisatoriske foranstaltninger, som den dataansvarlige i henhold til denne artikel har truffet, er passende, skal vurderes konkret af de nationale retsinstanser under hensyntagen til de risici, der er forbundet med den pågældende behandling, og idet de skal vurdere, om arten, indholdet og gennemførelsen af disse foranstaltninger er tilpasset disse risici.
    • Princippet om den dataansvarliges ansvar, der er fastsat i artikel 5, stk. 2, i forordning 2016/679 og konkretiseret i denne forordnings artikel 24,
      skal fortolkes således, at den dataansvarlige i forbindelse med et erstatningssøgsmål på grundlag af denne forordnings artikel 82 bærer bevisbyrden for, at de sikkerhedsforanstaltninger, som vedkommende har gennemført i henhold til den nævnte forordnings artikel 32, er passende.
    • Artikel 32 i forordning 2016/679 og det EU-retlige effektivitetsprincip
      skal fortolkes således, at en retsligt udmeldt sagkyndig udtalelse ikke kan udgøre et bevismiddel, der er systematisk nødvendigt for og tilstrækkeligt til at vurdere, om de sikkerhedsforanstaltninger, som den dataansvarlige har gennemført i henhold til denne artikel, er passende.
    • Artikel 82, stk. 3, i forordning 2016/679
      skal fortolkes således, at den dataansvarlige ikke kan fritages for sin forpligtelse efter denne forordnings artikel 82, stk. 1 og 2, til at erstatte den skade, som en person har lidt, alene fordi denne skade skyldes en uautoriseret videregivelse af, eller en uautoriseret adgang til, personoplysninger foretaget af »tredjemand« som omhandlet i denne forordnings artikel 4, nr. 10), idet den dataansvarlige i så fald skal bevise, at den pågældende ikke er skyld i den begivenhed, der har medført den pågældende skade.
    • Artikel 82, stk. 1, i forordning 2016/679
      skal fortolkes således, at den frygt, som en registreret nærer for, at dennes personoplysninger potentielt kan blive misbrugt af tredjemand som følge af en tilsidesættelse af denne forordning, i sig selv kan udgøre en »immateriel skade« som omhandlet i denne bestemmelse.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

F.F.

Sagsøgte i hovedsagen:

Österreichische Datenschutzbehörde og CRIF GmbH

De præjudicielle spørgsmål:

  1. Skal begrebet »kopi« i artikel 15, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 fortolkes således, at der derved forstås en fotokopi henholdsvis en telefax eller en elektronisk kopi af en (elektronisk) oplysning, eller omfatter begrebet også, i overensstemmelse med fortolkningen af begrebet i tyske, franske og engelske ordbøger en »Abschrift«, »double« (»duplicata«) eller »transcript«?
  2. Skal databeskyttelsesforordningens artikel 15, stk. 3, første punktum, hvorefter »(d)en dataansvarlige udleverer en kopi af de personoplysninger, der behandles«, fortolkes således, at bestemmelsen indeholder en generel ret for en registreret til at få udleveret en kopi – også – af hele dokumenter, hvori den registreredes personoplysninger behandles henholdsvis til at få udleveret en kopi af et uddrag af en database i tilfælde af, at personoplysningerne behandles i en sådan, eller giver bestemmelsen – kun – den registrerede ret til en uændret reproduktion af de personoplysninger, hvortil der i henhold til databeskyttelsesforordningens artikel 15, stk. 1, skal gives adgang?
  3. Såfremt det andet spørgsmål besvares således, at den registrerede kun har ret til en uændret reproduktion af de personoplysninger, hvortil der i henhold til databeskyttelsesforordningens artikel 15, stk. 1, skal gives adgang, skal databeskyttelsesforordningens artikel 15, stk. 3, første punktum, da fortolkes således, at det henset til de behandlede oplysningers art (f.eks. for så vidt angår diagnoser, undersøgelsesresultater eller vurderinger, som er nævnt i 63. betragtning, eller skriftligt materiale i forbindelse med en prøve som omhandlet i Den Europæiske Unions Domstols dom af 20.12.2017 , og kravet om gennemsigtighed i databeskyttelsesforordningens artikel 12, stk. 1, i konkrete tilfælde alligevel kan være nødvendigt også at udlevere tekstafsnit eller hele dokumenter til den registrerede?
  4. Skal begrebet »oplysninger«, som i henhold til databeskyttelsesforordningens artikel 15, stk. 3, tredje punktum, skal »udleveres [til den registrerede] [...] i en almindeligt anvendt elektronisk form«, når denne indgiver anmodningen elektronisk, »og medmindre den registrerede anmoder om andet«, fortolkes således, at der derved alene forstås de i artikel 15, stk. 3, første punktum, nævnte »personoplysninger, der behandles«?
  5. Såfremt det fjerde spørgsmål besvares benægtende: Skal begrebet »oplysninger«, som i henhold til databeskyttelsesforordningens artikel 15, stk. 3, tredje punktum, skal »udleveres (til den registrerede) (...) i en almindeligt anvendt elektronisk form«, når denne indgiver anmodningen elektronisk, »og medmindre den registrerede anmoder om andet«, fortolkes således, at der derved desuden også forstås informationen i henhold til databeskyttelsesforordningens artikel 15, stk. 1, litra a)-h)?
  6. Såfremt det fjerde spørgsmål, litra a), også besvares benægtende: Skal begrebet »oplysninger«, som i henhold til databeskyttelsesforordningens artikel 15, stk. 3, tredje punktum, skal »udleveres (til den registrerede) (...) i en almindeligt anvendt elektronisk form«, når denne indgiver anmodningen elektronisk, »og medmindre den registrerede anmoder om andet«, fortolkes således, at der derved ud over de »personoplysninger, der behandles« og den i artikel 15, stk. 1, litra a)-h) nævnte information eksempelvis forstås tilhørende metadata?

Domsafsigelse:

EU-Domstolen har den 4. maj 2023 afsagt dom i sagen, hvoraf følgende fremgår: 

På grundlag af disse præmisser kender Domstolen (Første Afdeling) for ret:

  • Artikel 15, stk. 3, førte punktum, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at retten til at få en kopi af de personoplysninger, som den dataansvarlige behandler, indebærer, at den registrerede får udleveret en nøjagtig og forståelig gengivelse af alle disse oplysninger. Denne ret indebærer retten til at få en kopi af uddrag af dokumenter, såvel som hele dokumenter eller uddrag fra databaser, som bl.a. indeholder de nævnte oplysninger, hvis udleveringen af en sådan kopi er nødvendig for at gøre det muligt for den registrerede effektivt at udøve de rettigheder, som vedkommende er tillagt ved forordningen, idet det understreges, at der i denne henseende skal tages hensyn til andres rettigheder og friheder.
  • Artikel 15, stk. 3, tredje punktum, i forordning 2016/679 skal fortolkes således, at begrebet »oplysninger« udelukkende vedrører de personoplysninger, som den registeransvarlige skal udlevere en kopi af i henhold til dette stykkes første punktum.

 

Sagsøger i hovedsagen:

J.M.

Øvrige procesdeltagere:

Den stedfortrædende repræsentant for den nationale tilsynsmyndighed og Pankki S

De præjudicielle spørgsmål:

  1. Skal den ret til indsigt, som tilkommer den registrerede i henhold til databeskyttelsesforordningens artikel 15, stk. 1, i forbindelse med »personoplysninger« som omhandlet i forordningens artikel 4, nr. 1), fortolkes således, at oplysninger, der er indsamlet af den dataansvarlige, og hvoraf det fremgår, hvem der har behandlet den registreredes personoplysninger hvornår og til hvilket formål, ikke udgør oplysninger, som den registrerede har ret til indsigt i, navnlig fordi der er tale om oplysninger om den dataansvarliges medarbejdere?
  2. Såfremt det første spørgsmål besvares bekræftende, og den registrerede i medfør af databeskyttelsesforordningens artikel 15, stk. 1, ikke har ret til indsigt i de i dette spørgsmål nævnte oplysninger, fordi de ikke udgør »personoplysninger« om den registrerede som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), skal der i den foreliggende sag da også tages hensyn til de oplysninger, som den registrerede har ret til indsigt i henhold til artikel 15, stk. 1, litra [a) - h)]
  3. Hvordan skal formålet med behandlingen som omhandlet i artikel 15, stk. 1, litra a), fortolkes med hensyn til omfanget af den registreredes ret til indsigt, dvs. kan formålet med behandlingen begrunde en ret til indsigt i brugerprotokoldataene, som den dataansvarlige har indsamlet, som f.eks. oplysninger om behandlerens personoplysninger, tidspunktet for og formålet med behandlingen af personoplysningerne?
  4. Kan de personer, der har behandlet J.M.’s kundeoplysninger, i denne forbindelse under visse kriterier anses for modtagere af personoplysningerne som omhandlet i databeskyttelsesforordningens artikel 15, stk. 1, litra c), som den registrerede har ret til at få oplysning om?
  5. Er det relevant for sagen, at der er tale om en bank, som udøver en reguleret aktivitet, eller at J.M. på samme tid både arbejdede for banken og var kunde i den?
  6. Er det relevant for bedømmelsen af ovenstående spørgsmål, at J.M.’s oplysninger blev behandlet før databeskyttelsesforordningens ikrafttrædelse?

Domsafsigelse:

EU-Domstolen har den 22. juni 2023 afsagt dom i sagen, hvoraf følgende fremgår: 

På grundlag af disse præmisser kender Domstolen (Første Afdeling) for ret:

  • Artikel 15 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med denne forordnings artikel 99, stk. 2, skal fortolkes således, at bestemmelsen finder anvendelse på en anmodning om indsigt i information som den, der er omhandlet i denne bestemmelse, når de behandlingsaktiviteter, som anmodningen vedrører, blev udført inden anvendelsesdatoen for nævnte forordning, men hvor anmodningen først blev indleveret efter denne dato.
  • Artikel 15, stk. 1, i forordning 2016/679 skal fortolkes således, at information vedrørende søgninger i en persons personoplysninger og vedrørende datoerne for og formålet med disse søgninger udgør information, som den berørte person i henhold til denne bestemmelse har ret til at få fra den dataansvarlige. Denne bestemmelse foreskriver derimod ikke en sådan ret for så vidt angår information om identiteten på de af den dataansvarliges ansatte, som har foretaget søgningerne under den dataansvarliges ledelse og efter instruks fra vedkommende, medmindre denne information er nødvendig for, at den registrerede effektivt kan udøve sine rettigheder i henhold til denne forordning, og forudsat at de ansattes rettigheder og frihedsrettigheder iagttages.
  • Artikel 15, stk. 1, i forordning 2016/679 skal fortolkes således, at den omstændighed dels, at den dataansvarlige driver reguleret bankvirksomhed, dels at den person, hvis personoplysninger er blevet behandlet i vedkommendes egenskab af den dataansvarliges kunde, ligeledes har arbejdet for den nævnte dataansvarlige, principielt ikke er relevant for omfanget af den rettighed, som den pågældende person har i henhold til denne bestemmelse.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøger i hovedsagen:

BL

Sagsøgte i hovedsagen:

Saturn Electro-Handelsgesellschaft mbH Hagen

De præjudicielle spørgsmål:

  1. Er bestemmelsen om erstatningspligt i artikel 82 i den generelle forordning om databeskyttelse [(Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF, herefter »den generelle forordning om databeskyttelse«)] ugyldig, idet den ikke er tilstrækkelig bestemt for så vidt angår retsfølgerne ved immateriel skade?
  2. Er det en forudsætning for at opnå ret til erstatning, at der ikke blot er sket en uberettiget videregivelse af de oplysninger, der skal beskyttes, til en uvedkommende tredjemand, men skadelidte også har påvist, at der er indtrådt en immateriel skade?  
  3. Er det tilstrækkeligt til at konstatere, at der er sket en tilsidesættelse af den generelle forordning om databeskyttelse, at den pågældendes personoplysninger (navn, adresse, erhverv, indkomst, arbejdsgiver) ved en fejl fra medarbejdere i den handlende virksomhed fejlagtigt videregives til tredjemand i trykt form, på papir, nærmere bestemt på et papirdokument?
  4. Er der tale om en ulovlig viderebehandling gennem hændelig videregivelse til (fremlæggelse for) en tredjemand, når virksomheden gennem sine medarbejdere ved en fejl har videregivet de oplysninger, der ellers lagres i virksomhedens edb-system, til en uvedkommende person (jf. artikel 2, stk. 1, artikel 5, stk. 1, litra f), artikel 6, stk. 1 og artikel 24 i den generelle forordning om databeskyttelse)?
  5. Er der tale om en immateriel skade som omhandlet i artikel 82 i den generelle forordning om databeskyttelse, selv hvis den tredjemand, der har modtaget dokumentet med personoplysningerne, ikke havde fået kendskab til disse, inden papiret med oplysningerne blev leveret tilbage, eller er ubehaget for den, hvis personoplysninger ulovligt blev videregivet, nok til, at der opstår en immateriel skade som omhandlet i artikel 82 i den generelle forordning om databeskyttelse, idet enhver uberettiget videregivelse af personoplysninger medfører, at det ikke er muligt at udelukke, at oplysningerne alligevel spredes til et ukendt antal personer eller endog kan misbruges?
  6. Hvor alvorlig er overtrædelsen, når den hændelige videregivelse til tredjemand kan forhindres gennem bedre kontrol med de assisterende medarbejdere i virksomheden og/eller bedre organisering af datasikkerheden, f.eks. idet vareudlevering og dokumentation for de indgåede aftaler, først og fremmest finansieringsaftalen, varetages hver for sig, idet der udstedes et særskilt udleveringspapir, eller udleveringsinformationen videregives virksomhedsinternt til medarbejderne i vareudleveringen – uden at inddrage kunden, der har fået udleveret papirdokumenterne, herunder det papir, der berettiger til at få udleveret varen [jf. artikel 32, stk. 1, litra b), og stk. 2, samt artikel 4, nr. 7), i den generelle forordning om databeskyttelse][?]
  7. Skal der ved erstatning for immateriel skade forstås tilkendelse af en straf på samme måde som ved en konventionalbod?

Domsafsigelse:

Den 25. januar 2024 har EU-Domstolen afsagt dom i sagen, hvoraf følgende fremgår:

  • På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret:
    Artikel 5, 24, 32 og 82 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med hinanden, skal fortolkes således, at den omstændighed, at den dataansvarliges medarbejdere fejlagtigt har udleveret et dokument, der indeholder personoplysninger, til en uautoriseret tredjemand – i forbindelse med et erstatningssøgsmål på grundlag af denne artikel 82 – ikke i sig selv er tilstrækkelig til at fastslå, at de tekniske og organisatoriske foranstaltninger, som den pågældende dataansvarlige har gennemført, ikke var »passende« som omhandlet i denne artikel 24 og 32.
  • Artikel 82, stk. 1, i forordning 2016/679 skal fortolkes således, at den ret til erstatning, der er fastsat i denne bestemmelse, navnlig i tilfælde af immateriel skade, opfylder en kompenserende funktion, og ikke en straffende funktion, da en økonomisk erstatning på grundlag af den nævnte bestemmelse skal gøre det muligt fuldstændigt at kompensere den skade, der konkret er lidt på grund af overtrædelsen af denne forordning.
  • Artikel 82 i forordning 2016/679 skal fortolkes således, at denne artikel ikke kræver, at der med henblik på erstatning for en skade på grundlag af denne bestemmelse tages hensyn til graden af grovhed af den dataansvarliges overtrædelse.
  • Artikel 82, stk. 1, i forordning 2016/679 skal fortolkes således, at den person, der fremsætter et erstatningskrav i henhold til denne bestemmelse, er forpligtet til ikke alene at godtgøre en overtrædelse af denne forordnings bestemmelser, men ligeledes, at denne overtrædelse har forvoldt vedkommende materiel eller immateriel skade.
  • Artikel 82, stk. 1, i forordning 2016/679
    skal fortolkes således, at i det tilfælde, hvor et dokument, der indeholder personoplysninger, er blevet udleveret til en uautoriseret tredjemand, som bevisligt ikke har fået kendskab til disse oplysninger, kan en »immateriel skade« som omhandlet i denne bestemmelse ikke udgøres af den blotte omstændighed, at den registrerede frygter, at der efter denne videregivelse, som har gjort det muligt at lave en kopi af det nævnte dokument, inden det er blevet returneret, vil ske en udbredelse eller endog misbrug af den pågældendes oplysninger i fremtiden.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

ZQ

Sagsøgte i hovedsagen:

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts

De præjudicielle spørgsmål:

  • Skal artikel 9, stk. 2, litra h), i forordning (EU) 2016/679 (generel forordning om databeskyttelse, herefter »databeskyttelsesforordningen«) fortolkes således, at en sygekasses medicinske tjeneste ikke må behandle sin arbejdstagers helbredsoplysninger, som er en betingelse for vurderingen af den pågældende arbejdstagers erhvervsevne?
  • Såfremt Domstolen besvarer det første spørgsmål benægtende med den konsekvens, at en undtagelse i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra h), fra det i databeskyttelsesforordningens artikel 9, stk. 1, fastsatte forbud mod behandling af helbredsoplysninger kommer i betragtning: Skal der i et tilfælde som det foreliggende ud over de i databeskyttelsesforordningens artikel 9, stk. 3, fastsatte bestemmelser også tages hensyn til andre databeskyttelsesretlige bestemmelser, og i givet fald hvilke?
  • Såfremt Domstolen besvarer det første spørgsmål benægtende med den konsekvens, at en undtagelse i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra h), fra det i databeskyttelsesforordningens artikel 9, stk. 1, fastsatte forbud mod behandling af helbredsoplysninger kommer i betragtning: Afhænger lovligheden af behandlingen af helbredsoplysninger i et tilfælde som det foreliggende desuden af, at mindst en af betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, er opfyldt?
  • Har databeskyttelsesforordningens artikel 82, stk. 1, special- eller generalpræventiv karakter, og skal der tages hensyn til dette ved fastsættelsen af størrelsen af den immaterielle skade, som den dataansvarlige henholdsvis databehandleren pålægges at erstatte på grundlag af databeskyttelsesforordningens artikel 82, stk. 1?
  • Afhænger fastsættelsen af størrelsen af den immaterielle skade, der skal erstattes på grundlag af databeskyttelsesforordningens artikel 82, stk. 1, af graden af den dataansvarliges henholdsvis databehandlerens skyld? Må der navligt tages hensyn til en ikke foreliggende eller ringe skyld hos den dataansvarlige henholdsvis databehandleren til fordel for denne?

Domsafsigelse:

EU-Domstolen har den 21. December 2023 afsagt dom i sagen, hvoraf følgende fremgår:

På grundlag af disse præmisser kender Domstolen (Første Afdeling) for ret:

  • På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret:

    • Artikel 9, stk. 2, litra h), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den undtagelse, der er fastsat i denne bestemmelse, finder anvendelse på situationer, hvor et medicinsk kontrolorgan behandler helbredsoplysninger om en af dette organs ansatte i organets egenskab af ikke arbejdsgiver, men medicinsk tjeneste med henblik på at vurdere denne ansattes erhvervsevne, forudsat at den pågældende behandling opfylder de betingelser og garantier, der udtrykkeligt er fastsat i artikel 9, stk. 2, litra h), og i artikel 9, stk. 3.

    • Artikel 9, stk. 3, i forordning 2016/679 skal fortolkes således, at den ansvarlige for en behandling af helbredsoplysninger på grundlag af forordningens artikel 9, stk. 2, litra h), ikke i henhold til disse bestemmelser har pligt til at sikre, at ingen kollega til den registrerede kan få adgang til oplysninger om den registreredes helbredstilstand. En forpligtelse hertil kan imidlertid pålægges den ansvarlige for en sådan behandling enten i henhold til en lovgivning, der er vedtaget af en medlemsstat på grundlag af forordningens artikel 9, stk. 4, eller i henhold til princippet om integritet og princippet om fortrolighed, der er fastsat i samme forordnings artikel 5, stk. 1, litra f), og konkretiseret i dens artikel 32, stk. 1, litra a) og b).

    • Artikel 9, stk. 2, litra h), og artikel 6, stk. 1, i forordning 2016/679 skal fortolkes således, at en behandling af helbredsoplysninger på grundlag af førstnævnte bestemmelse for at være lovlig ikke alene skal overholde de krav, der følger af denne bestemmelse, men også opfylde mindst én af de betingelser for lovlig behandling, der er fastsat i artikel 6, stk. 1.

    • Artikel 82, stk. 1, i forordning 2016/679 skal fortolkes således, at den ret til erstatning, der er fastsat i denne bestemmelse, opfylder en kompenserende funktion, og ikke en afskrækkende eller straffende funktion, for så vidt som en økonomisk erstatning på grundlag af den nævnte bestemmelse skal gøre det muligt fuldstændigt at kompensere den skade, der konkret er lidt på grund af overtrædelsen af forordningen.

    • Artikel 82 i forordning 2016/679 skal fortolkes således, at det er en betingelse for, at den dataansvarlige kan ifalde ansvar, at denne har pådraget sig skyld, hvilket formodes at være tilfældet, medmindre den dataansvarlige beviser, at den pågældende ikke er skyld i den begivenhed, der medførte skaden, dels at artikel 82 ikke kræver, at der tages hensyn til graden af denne skyld ved fastsættelsen af størrelsen af den erstatning, der tildeles for en immateriel skade på grundlag af denne bestemmelse.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

GP

Sagsøgte i hovedsagen:

Juris GmbH

De præjudicielle spørgsmål:

1. Skal begrebet immateriel skade i databeskyttelsesforordningens artikel 82, stk. 1, samt 85. betragtning og tredje punktum i 146. betragtning til denne forordning fortolkes således, at det omfatter ethvert indgreb i den beskyttede retsstilling, uafhængigt af indgrebets yderligere konsekvenser og disses betydning?

2. Fritages der for erstatningsansvaret i henhold til databeskyttelsesforordningens artikel 82, stk. 3, når lovovertrædelsen i det konkrete tilfælde skyldes en menneskelig fejl, der kan tilskrives en person, der udfører arbejde, som omhandlet i databeskyttelsesforordningens artikel 29?

3. Er det ved udmåling af erstatningen for den immaterielle skade tilladt eller nødvendigt at lægge kriterierne i databeskyttelsesforordningens artikel 83 til grund, navnlig databeskyttelsesforordningens artikel 83, stk. 2 og 5?

4. Skal erstatningen fastsættes for hver enkelt overtrædelse, eller sanktioneres flere overtrædelser – i hvert fald når de er ensartede – med en samlet erstatning, der ikke fastsættes ved at sammenlægge individuelle beløb, men beror på en helhedsvurdering?

Domsafsigelse:

EU-Domstolen har den 11. april 2024 afsagt dom i sagen, hvoraf følgende fremgår:

  • På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret:
    Artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en overtrædelse af bestemmelser i denne forordning, som tillægger den registrerede rettigheder, ikke i sig selv er tilstrækkelig til at udgøre en »immateriel skade« som omhandlet i denne bestemmelse, uafhængigt af alvorsgraden af den skade, som den registrerede har lidt
  • Artikel 82 i forordning 2016/679 skal fortolkes således, at det ikke er tilstrækkeligt til, at den dataansvarlige kan fritages for sit erstatningsansvar i henhold til nævnte artikels stk. 3, at vedkommende gør gældende, at den pågældende skade er forårsaget af en fejl begået af en person, der udfører arbejde for den dataansvarlige som omhandlet i denne forordnings artikel 29.
  • Artikel 82, stk. 1, i forordning 2016/679 skal fortolkes således, at der ved fastsættelsen af det erstatningsbeløb, der skal betales for en skade i henhold til denne bestemmelse, ikke skal foretages en analog anvendelse af kriterierne for udmåling af de administrative bøder i denne forordnings artikel 83 og ikke skal tages hensyn til den omstændighed, at flere overtrædelser af databeskyttelsesforordningen, som vedrører en og samme behandlingsaktivitet, berører den person, der kræver erstatning.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

UZ

Sagsøgte i hovedsagen:

Forbundsrepublikken Tyskland

Faktum i hovedsagen:

Sagsøgeren har klaget over et afslag fra Bundesamt für Migration und Flüchtlinge (forbundskontoret for migration og flygtninge) og har nedlagt påstand om tildeling af flytningestatus i henhold til § 3 i Asylgesetz (AsylG) (asylloven). Sagsøgtes afgørelse er baseret på de elektroniske sagsakter i den såkaldte Bundesamtakte MARIS (forbundskontorets sagsakter i det elektroniske dokumentstyringssystem Migrations- Asyl, Reintegrations-. Integrations-System, forkortet MARIS), som ligeledes som led i en fælles procedure i henhold til artikel 26 fremsendes til retten via Elektronisches Gericht- und Verwaltungspostfach (retternes og forvaltningens elektroniske postkassesystem (herefter »EGVP«). For så vidt angår spørgsmålene vedrørende den fuldstændige fremsendelse af sagsakterne henvises til de spørgsmål, der allerede er forelagt Domstolen (sag C-564/21).

Der hersker tvivl om, hvorvidt der hos sagsøgte overhovedet eller i fuldstændig form foreligger en fortegnelse over behandlingsaktiviteterne som omhandlet i artikel 30 i forordning 2016/679 (generel forordning om databeskyttelse, herefter: »databeskyttelsesforordningen«) for så vidt angår de såkaldte elektroniske MARIS-sagsakter. Der foreligger heller ingen ordning eller lovbestemmelse som omhandlet i databeskyttelsesforordningens artikel 26 for så vidt angår proceduren for elektronisk fremsendelse af sagsakter og fastsættelse af ansvaret i denne procedure. Den forelæggende ret har under retssagen udbedt sig disse dokumenter. Sagsøgte har dog nægtet at fremlægge dokumenterne, bl.a. med den begrundelse, at der for så vidt angår EGVP ikke foreligger nogen ordning i henhold til databeskyttelsesforordningens artikel 26.

De præjudicielle spørgsmål:

1. Medfører en dataansvarliges manglende eller undladte eller ufuldstændige udvisning af ansvarlighed i henhold til artikel 5 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, databeskyttelsesforordningen), f.eks. ved en manglende eller ufuldstændig fortegnelse over behandlingsaktiviteterne i henhold til databeskyttelsesforordningens artikel 30 eller en manglende ordning om en fælles procedure i henhold til databeskyttelsesforordningens artikel 26, at behandlingen af oplysninger er ulovlig som omhandlet i databeskyttelsesforordningens artikel 17, stk. 1, litra d), og artikel 18, stk. 1, litra b), således at den registrerede har ret til at få slettet eller begrænset oplysningerne?

2. Såfremt det første spørgsmål besvares bekræftende: Medfører eksistensen af en ret til sletning eller begrænsning, at de behandlede oplysninger ikke skal tages i betragtning under en retssag? Gælder dette i hvert fald i tilfælde, hvor den registrerede rejser indsigelse mod udnyttelse under en retssag?

3. Såfremt det første spørgsmål besvares benægtende: Medfører en dataansvarligs overtrædelse af databeskyttelsesforordningens artikel 5, 30 eller 26, at en national ret med hensyn til spørgsmålet om retslig udnyttelse af behandlingen af oplysninger kun må tage oplysningerne i betragtning, såfremt den registrerede udtrykkeligt giver samtykke til udnyttelsen?

Domsafsigelse:

EU-Domstolen har den 4. maj 2023 afsagt dom i sagen, hvoraf følgende fremgår:

På grundlag af disse præmisser kender Domstolen (Femte Afdeling) for ret:

  • Artikel 17, stk. 1, litra d), og artikel 18, stk. 1, litra b), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den dataansvarliges tilsidesættelse af de forpligtelser, der er fastsat i denne forordnings artikel 26 og 30, vedrørende henholdsvis indgåelse af en ordning, som fastlægger det fælles ansvar for behandlingen, og førelse af fortegnelser over behandlingsaktiviteter, ikke udgør en ulovlig behandling, som giver den registrerede ret til sletning eller begrænsning af behandlingen, eftersom en sådan tilsidesættelse ikke som sådan indebærer, at den dataansvarlige tilsidesætter princippet om »ansvarlighed« som fastsat i forordningens artikel 5, stk. 2, sammenholdt med artikel 5, stk. 1, litra a), og artikel 6, stk. 1, første afsnit, heri.
  • EU-retten skal fortolkes således, at når den ansvarlige for behandlingen af personoplysninger har tilsidesat sine forpligtelser i henhold til artikel 26 eller 30 i forordning 2016/679, er lovligheden af en national rets hensyntagen til sådanne oplysninger ikke betinget af den registreredes samtykke.

Link til sagen på EU-Domstolens hjemmeside:

Sagsøgere i hovedsagen:

NG

Sagsøgte i hovedsagen:

Direktor na Glavna direktsia ”Natsionalna politsia” pri MVR – Sofia

De præjudicielle spørgsmål:

Er artikel 5, sammenholdt med artikel 13, stk. 2, litra b), og stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA til hinder for nationale lovgivningsmæssige foranstaltninger, som medfører en i praksis ubegrænset ret for de kompetente myndigheder til at behandle personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og/eller en afskaffelse af den registreredes ret til begrænsning af behandling, sletning eller tilintetgørelse af den pågældendes oplysninger?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU’s generaladvokat foreligger endnu ikke.

Domsafsigelse:

EU-Domstolen har den 20. januar 2024 afsagt dom i sagen, hvoraf følgende fremgår:

På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret:

  • Artikel 4, stk. 1, litra c) og e), i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA, sammenholdt med dette direktivs artikel 5 og 10, artikel 13, stk. 2, litra b), og artikel 16, stk. 2 og 3, og i lyset af artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, hvorefter politimyndighederne med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner kan opbevare personoplysninger, bl.a. biometriske og genetiske data, vedrørende personer, der er blevet endeligt domfældt for en forsætlig strafbar handling, som er undergivet offentlig påtale, indtil den registreredes død, herunder i tilfælde af rehabilitering af den registrerede, uden at den dataansvarlige er forpligtet til regelmæssigt at efterprøve, om opbevaringen fortsat er nødvendig, og uden at den registrerede indrømmes ret til sletning af oplysningerne, når opbevaring heraf ikke længere er nødvendig til opfyldelse af de formål, hvortil de er blevet behandlet, eller, efter omstændighederne, til begrænsning af behandlingen heraf.

Link til sagen på EU-Domstolens hjemmeside:

 

Sagsøgere i hovedsagen:

JU

Sagsøgte i hovedsagen:

Scalable Capital GmbH

Faktum i hovedsagerne:

C-182/22: Sagsøgeren åbnede en konto i en tradingapp, som den sagsøgte havde ansvaret for, og indbetalte det nødvendige mindstebeløb på flere tusinde euro. Værdipapirdepotet blev forvaltet af en »robo advisor«, således at den gennemførte trading ikke viste en profil af sagsøgerens risikovillighed. Der var dog gemt nogle personoplysninger, som var nødvendige for at identificere sagsøgeren, navnlig navn, fødselsdato, adresse og e-mail-adresse, som kun blev benyttet til særligt beskyttede interesser. Der var også gemt en digitalt lagret kopi af identifikationsbeviset. Det er uomtvistet, at disse oplysninger og oplysningerne om selve depotet blev tilgået af ukendte gerningsmænd. Sagsøgeren blev afhørt personligt og udspurgt om sin oplevelse. Retten lægger i det mindste til grund, at de »mistede« oplysninger har en mere end ubetydelig følsomhed, og at en ret til erstatning i henhold til databeskyttelsesforordningens artikel 82 principielt kommer i betragtning.

C-189/22: Det drejer sig om den samme datahændelse, hvor sagsøgerens personlige oplysninger, navnlig navn, fødselsdato, adresse, e-mailadresse, kopi af identitetsbeviset og oplysninger om depotet også i dette tilfælde blev tilgået ulovligt. Sagsøgeren er endnu ikke blevet afhørt, og der foreligger derfor ikke konstateringer om dennes personlige oplevelse. Retten lægger også i denne sag til grund, at de »mistede« oplysninger har en mere end ubetydelig følsomhed, og at en ret til erstatning i henhold til databeskyttelsesforordningens artikel 82 principielt kommer i betragtning.

De præjudicielle spørgsmål:

1. Skal artikel 82 i databeskyttelsesforordningen fortolkes således, at retten til erstatning ikke i forbindelse med fastsættelsen af erstatningens størrelse kan tillægges karakter af sanktion, navnlig ingen generel eller speciel afskrækkende funktion, men at retten til erstatning kun har funktion af kompensation og evt. godtgørelse?

2.a. Skal det ved fastsættelsen af retten til erstatning for immateriel skade lægges til grund, at retten til erstatning også har en individuel godtgørelsesfunktion – i den foreliggende sag forstået som den krænkedes private interesse i at se den forvoldende adfærd retsforfulgt, eller har retten til erstatning kun en kompenserende funktion – i den foreliggende sag forstået som den funktion at kompensere for den forvoldte skade?

2.b.1. Såfremt det skal lægges til grund, at retten til erstatning for immateriel skade har såvel kompensations- som godtgørelsesfunktion: Skal det ved fastlæggelsen af erstatningens størrelse lægges til grund, at kompensationsfunktionen har en strukturel forrang frem for godtgørelsesfunktionen eller i det mindste en forrang i form af et hovedregelundtagelsesforhold? Fører dette til, at en godtgørelsesfunktion kun kommer i betragtning i forbindelse med forsætlige eller groft uagtsomme krænkelser?

2.b.2. Såfremt retten til erstatning for immateriel skade ikke kan tillægges godtgørelsesfunktion: Er det ved fastsættelsen af erstatningens størrelse kun forsætlige eller groft uagtsomme krænkelser af databeskyttelsesforordningen, der som bedømmelse af bidrag til den forvoldte skade tillægges ekstra vægt?

3. Skal der for forståelsen af retten til erstatning for immateriel skade og udmålingen af denne lægges et strukturelt rangforhold eller i det mindste et hovedregel-undtagelsesforhold til grund, hvor den oplevelse af gene, der skyldes en krænkelse af databeskyttelsesreglerne, har mindre vægt end den gene- og smerteoplevelse, der er knyttet til en fysisk skade?

4. Kan en national domstol, såfremt det lægges til grund, at der foreligger en skade, under hensyn til manglende grovhed frit tilkende en materielt ubetydelig erstatning for skaden, som dermed evt. af den krænkede eller generelt kun opleves som symbolsk?

5. Skal det lægges til grund for forståelsen af retten til erstatning for immateriel skade og bedømmelsen af dens følger, at der først foreligger identitetstyveri som omhandlet i 75. betragtning til databeskyttelsesforordningen, hvis en kriminel gerningsmand faktisk har påtaget sig den registreredes identitet, altså i en eller anden form har udgivet sig for den registrerede, eller udgør allerede den omstændighed, at kriminelle gerningsmænd råder over data, som gør det muligt at identificere den registrerede, et sådant identitetstyveri?

Domsafsigelse:

EU-Domstolen har den. 20. juni 2024 afsagt dom i sagen, hvoraf følgende fremgår:

På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret:

  • Artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den ret til erstatning, der er fastsat i denne bestemmelse, udelukkende har en kompenserende funktion, for så vidt som en økonomisk erstatning på grundlag af den nævnte bestemmelse skal gøre det muligt fuldstændigt at kompensere den skade, der er forvoldt.
  • Artikel 82, stk. 1, i forordning 2016/679 skal fortolkes således, at denne bestemmelse ikke kræver, at der med henblik på erstatning for en skade i henhold til denne bestemmelse skal tages hensyn til graden af grovhed og den eventuelt forsætlige karakter af den dataansvarliges overtrædelse af denne forordning.
  • Artikel 82, stk. 1, i forordning 2016/679 skal fortolkes således, at det i forbindelse med fastsættelsen af størrelsen af den erstatning, der skal betales som følge af retten til erstatning for immateriel skade, skal lægges til grund, at en sådan skade, der er forvoldt af et brud på persondatasikkerheden, ikke efter sin art er mindre alvorlig end en personskade.
  • Artikel 82, stk. 1, i forordning 2016/679 skal fortolkes således, at når der er forvoldt skade og denne skade ikke er grov, kan en national ret kompensere skaden ved at tilkende den registrerede en ubetydelig erstatning, forudsat at denne erstatning gør det muligt fuldstændigt at kompensere den skade, der er forvoldt.
  • Artikel 82, stk. 1, i forordning 2016/679, sammenholdt med 75. og 85. betragtning til denne forordning, skal fortolkes således, at for at »identitetstyveri« kan anses for at være begået og give ret til erstatning for immateriel skade i henhold til denne bestemmelse, skal identiteten på en person, der har været udsat for tyveri af personoplysninger, faktisk anvendes af en tredjemand med henblik på at begå svig. I henhold til denne bestemmelse kan erstatning for en immateriel skade, der er forvoldt af et tyveri af personoplysninger, imidlertid ikke begrænses til tilfælde, hvor det er godtgjort, at et sådant tyveri af oplysninger efterfølgende har givet anledning til et identitetstyveri eller identitetssvig.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

AB

Sagsøgte i hovedsagen:

Land Hessen

Procesdeltager:

SCHUFA Holding AG

Faktum i hovedsagen:

Sagens faktum er endnu ikke offentliggjort.

De præjudicielle spørgsmål:

1. Skal artikel 77, stk. 1, sammenholdt med artikel 78, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (generel forordning om databeskyttelse, herefter »databeskyttelsesforordningen«) forstås således, at tilsynsmyndighedens resultat, som denne meddeler den registrerede, har karakter af en afgørelse af et andragende? Dette med den konsekvens, at domstolsprøvelsen af en klageafgørelse truffet af en tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 78, stk. 1, principielt er begrænset til, om myndigheden har behandlet klagen, undersøgt klagens genstand i rimeligt omfang og underrettet klageren om resultatet af undersøgelsen, eller skal forstås som en realitetsafgørelse truffet af en myndighed? Dette med den konsekvens, at domstolsprøvelsen af en klageafgørelse truffet af en tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 78, stk. 1, fører til, at domstolen skal prøve realitetsafgørelsens fulde indhold, idet tilsynsmyndigheden i det konkrete tilfælde – f.eks. hvis skønnet reduceres til nul – af domstolen også kan blive forpligtet til en konkret foranstaltning som omhandlet i databeskyttelsesforordningens artikel 58.

2. Er en opbevaring af oplysninger hos et privat kreditoplysningsbureau, hvor personoplysninger fra et offentligt register såsom »nationale databaser« som omhandlet i artikel 79, stk. 4 og 5, i Europa-Parlamentets og Rådets forordning (EU) 2015/848 1 opbevares uden konkret anledning med henblik på at kunne give oplysning i tilfælde af en forespørgsel, forenelig med artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder af 12. december 2007?

3. Er private databaser (navnlig et kreditoplysningsbureaus databaser), som oprettes sideløbende med de statslige databaser, og hvori oplysningerne fra de statslige databaser (i den foreliggende sag insolvensbekendtgørelser) opbevares i længere tid, end det er reguleret inden for den snævre ramme i henhold til forordning 2015/848 sammenholdt med national ret, principielt lovlige?

4. Såfremt det tredje spørgsmål besvares bekræftende: Følger det af retten til at blive glemt i henhold til databeskyttelsesforordningens artikel 17, stk. 1, litra d), at disse oplysninger skal slettes, når den fastsatte behandlingstid for det offentlige register er udløbet?

5. Såfremt databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f), kommer i betragtning som eneste retsgrundlag for opbevaring af oplysninger hos private kreditoplysningsbureauer med hensyn til de oplysninger, der også opbevares i offentlige registre, foreligger der da allerede en legitim interesse for et kreditoplysningsbureau, hvis dette uden konkret anledning overtager oplysningerne fra det offentlige register, for at disse oplysninger kan stå til rådighed i tilfælde af en forespørgsel?

6. Må adfærdskodekser, som er godkendt af tilsynsmyndighederne i henhold til databeskyttelsesforordningens artikel 40 og indeholder frister for kontrol og sletning, som går ud over opbevaringsfristerne for offentlige registre, suspendere den afvejning, der skal finde sted i henhold til databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra f)?

Domsafsigelse:

EU-Domstolen har den. 7. december 2023 afsagt dom i sagen, hvoraf følgende fremgår: 

På grundlag af disse præmisser kender Domstolen (Første Afdeling) for ret:

  • Artikel 78, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en klageafgørelse, der er vedtaget af en tilsynsmyndighed, er underlagt en fuldstændig domstolsprøvelse.
  • Artikel 5, stk. 1, litra a), i forordning 2016/679, sammenholdt med denne forordnings artikel 6, stk. 1, første afsnit, litra f), skal fortolkes således, at denne bestemmelse er til hinder for en praksis i private kreditoplysningsbureauer, der består i, at disse i deres egne databaser opbevarer oplysninger fra et offentligt register om gældssanering, der er indrømmet fysiske personer, med henblik på at kunne give oplysninger om disse personers kreditværdighed, i en periode, der går ud over den periode, hvori oplysningerne opbevares i det offentlige register.
  • Artikel 17, stk. 1, litra c), i forordning 2016/679 skal fortolkes således, at den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, når vedkommende gør indsigelse mod behandlingen i overensstemmelse med denne forordnings artikel 21, stk. 1, og der ikke foreligger vægtige legitime grunde, der undtagelsesvis kan berettige den omhandlede behandling.
  • Artikel 17, stk. 1, litra d), i forordning 2016/679 skal fortolkes således, at den dataansvarlige har pligt til uden unødig forsinkelse at slette personoplysninger, der er blevet behandlet ulovligt.

Link til sagen på EU-Domstolens hjemmeside

 

Appellant i hovedsagen:

E.N.

Procesdeltagere i hovedsagen:

Nationale Anti-Doping Agentur Austria GmbH (NADA), Österreichischer Leichtathletikverband (ÖLV) og Word Anti-Doping Agency (WADA).

De præjudicielle spørgsmål:

1. Er oplysningen om, at en bestemt person har overtrådt visse antidopingregler og som følge af denne overtrædelse er udelukket fra at deltage i (nationale og internationale) konkurrencer, en »helbredsoplysning« som omhandlet i artikel 9 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (herefter »den generelle forordning om databeskyttelse«)?

2. Er den generelle forordning om databeskyttelse – navnlig henset til artikel 6, stk. 3, andet afsnit, heri til hinder for en national lovgivning, ifølge hvilken navnene på de personer, der er berørt af USK’s afgørelse, varigheden af udelukkelsen og grundene hertil offentliggøres, uden at det er muligt at udlede helbredsoplysninger om den registrerede? Spiller det i den forbindelse en rolle, at der i henhold til den nationale ordning kun kan ses bort fra offentliggørelse af disse oplysninger over for offentligheden, såfremt den registrerede er en motionsidrætsudøver, en mindreårig person eller en person, der ved meddelelse af oplysninger eller andre informationer i væsentligt omfang har bidraget til at afsløre potentielle overtrædelser af antidopingregler?

3. Kræver den generelle forordning om databeskyttelse – navnlig henset til principperne i artikel 5, stk. 1, litra a) og litra c), heri – før offentliggørelsen under alle omstændigheder, at der foretages en interesseafvejning for så vidt angår på den ene side den registreredes personlige interesser, der berøres af en offentliggørelse, og på den anden side offentlighedens interesse i at få oplysninger om en idrætsudøvers overtrædelse af antidopingregler?

4. Er oplysningen om, at en bestemt person har overtrådt visse antidopingregler og som følge af denne overtrædelse er udelukket fra at deltage i (nationale og internationale) konkurrencer, en behandling af personoplysninger vedrørende straffedomme og lovovertrædelser som omhandlet i artikel 10 i den generelle forordning om databeskyttelse?

5. Såfremt det fjerde spørgsmål besvares bekræftende: Er USK, der er oprettet i henhold til § 8 i ADBG 2021, en offentlig myndighed som omhandlet i artikel 10 i den generelle forordning om databeskyttelse?

Domsafsigelse:

 EU-Domstolen har den 7. maj 2024 afsagt dom i sagen, hvoraf følgende fremgår:

På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret:

Anmodningen om præjudiciel afgørelse, der er indgivet af Unabhängige Schiedskommission Wien (det uafhængige voldgiftsudvalg i Wien, Østrig) ved afgørelse af 21. december 2021, afvises.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

CK

Sagsøgte i hovedsagen:

Magistrat der Stadt Wien 

De præjudicielle spørgsmål:

1. Hvilke materielle krav skal en fremlagt oplysning opfylde for at anses for tilstrækkelig »meningsfuld« som omhandlet i artikel 15, stk. 1, litra h), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)?

Skal den dataansvarlige – om nødvendigt med den indskrænkning, at eksisterende forretningshemmeligheder beskyttes – når der er tale om en profilering, i forbindelse med oplysning om »logikken heri« principielt også videregive de oplysninger, der er væsentlige for at kunne forstå resultatet af den automatiske individuelle afgørelse, herunder navnlig 1) de personoplysninger om den registrerede, der har været genstand for behandlingen, 2) de dele af algoritmen bag profileringen, der er nødvendige for at kunne forstå afgørelsen og 3) de oplysninger, der er relevante for at kunne forstå sammenhængen mellem de behandlede data og evalueringen af dem?

Skal den, der har ret til indsigt som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, når der er tale om profilering, og selv i tilfælde af, at der fremsættes indsigelse om en forretningshemmelighed, under alle omstændigheder modtage følgende oplysninger om den konkrete behandling af vedkommendes personoplysninger, således at denne sættes i stand til at beskytte sine rettigheder i henhold til artikel 22, stk. 3, i den generelle forordning om databeskyttelse:

  1. alle de oplysninger, der gør det muligt at efterprøve, at den generelle forordning om databeskyttelse er overholdt, herved navnlig oplysninger om den måde, den registreredes personoplysninger er behandlet på, idet oplysningerne om nødvendigt må være pseudoanonymiserede,
  2. de data, der er anvendt til profileringen, idet disse stilles til rådighed,
  3. de parametre og inputvariabler, der er benyttet til at foretage vurderingen,
  4. disse parametre og inputvariablers indflydelse på den beregnede vurdering,
  5. information om, hvorledes nævnte parametre og inputvariabler er tilvejebragt,
  6. forklaring om, hvorfor den, der har ret til indsigt som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, blev henført til et bestemt vurderingsresultat, og redegørelse for hvilket udsagn, der blev forbundet med dette resultat,
  7. liste over profilkategorierne og oplysning om hvilket vurderingsudsagn, der er forbundet med hver enkelt profilkategori?

2. Er indsigtsretten som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse knyttet til retten til at fremkomme med sine synspunkter som omhandlet i artikel 22, stk. 3, i den generelle forordning om databeskyttelse og bestride en automatisk afgørelse som omhandlet i artikel 22 i den generelle forordning om databeskyttelse, for så vidt som omfanget af de oplysninger, der skal meddeles efter anmodning om indsigt i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, kun er tilstrækkelig »meningsfuldt«, hvis den, der anmoder om indsigt, og er registreret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse sættes i stand til faktisk at gøre brug af retten til at fremkomme med sine synspunkter som omhandlet i artikel 22, stk. 3, i den generelle forordning om databeskyttelse og bestride en automatisk afgørelse som omhandlet i artikel 22 i den generelle forordning om databeskyttelse, på grundig og formålstjenlig vis?

3a. Skal artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse fortolkes således, at der kun er tale om »meningsfulde oplysninger«, såfremt oplysningerne er så vidtgående, at den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, har mulighed for at fastslå, om de meddelte oplysninger er i overensstemmelse med fakta, altså om de faktisk også har ligget til grund for den automatiske individuelle afgørelse?

3b. Såfremt dette spørgsmål skal besvares bekræftende: Hvilken fremgangsmåde skal anvendes, hvis det kun er muligt at efterprøve, om en oplysning fra en dataansvarlig er korrekt, ved at den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, modtager personoplysninger om tredjemænd, der ligeledes er beskyttet i henhold til den generelle forordning om databeskyttelse (black-box)?

Kan dette spændingsfelt mellem indsigtsretten i henhold til artikel 15, stk. 1, i den generelle forordning om databeskyttelse og tredjemands databeskyttelsesret fjernes ved, at de personoplysninger om tredjemænd, der ligeledes var genstand for samme profilering, og som er nødvendige for at kunne foretage korrekthedskontrollen, udelukkende videregives til den relevante myndighed eller domstol, der derefter selvstændigt skal efterprøve, om de meddelte personoplysninger om de pågældende tredjemænd er i overensstemmelse med fakta?

3c. Såfremt dette spørgsmål skal besvares bekræftende: Hvilke rettigheder skal under alle omstændigheder indrømmes den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, såfremt der er pligt til at sikre beskyttelse af andres rettigheder som omhandlet i artikel 15, stk. 4, i den generelle forordning om databeskyttelse, når der indrettes en blackbox som nævnt i spørgsmål 3b)?

Skal de oplysninger om andre, der i så fald skal meddeles den, der har indsigtsret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, for at gøre det muligt at kontrollere, at den dataansvarliges afgørelse er korrekt, som omhandlet i artikel 15, stk. 1, i den generelle forordning om databeskyttelse, videregives i pseudoanonymiseret form?

4a. Hvilken fremgangsmåde skal anvendes, såfremt de oplysninger, der skal videregives i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, ligeledes opfylder betingelserne for en forretningshemmelighed som omhandlet i artikel 2, nr. 1), i direktiv (EU) 2016/943 af 8. juni 2016 om beskyttelse af fortrolig knowhow og fortrolige forretningsoplysninger (forretningshemmeligheder) mod ulovlig erhvervelse, brug og videregivelse, L157/1? Kan spændingsfeltet mellem den indsigtsret, der garanteres i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, og retten til hemmeligholdelse af en forretningshemmelighed, der beskyttes i direktiv (EU) 2016/943, fjernes ved at de oplysninger, der skal kvalificeres som forretningshemmelighed i henhold til direktiv (EU) 2016/943, udelukkende videregives til den relevante myndighed eller domstol, der derefter selvstændigt skal efterprøve, om der foreligger en forretningshemmelighed som omhandlet i artikel 2, nr. 1), i direktiv (EU) 2016/943, og om oplysningerne fra den dataansvarlige som omhandlet i artikel 15, stk. 1, i den generelle forordning om databeskyttelse er i overensstemmelse med fakta?

4b. Såfremt dette spørgsmål skal besvares bekræftende: Hvilke rettigheder skal der under alle omstændigheder indrømmes den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, såfremt der er pligt til at sikre beskyttelse af andres rettigheder som omhandlet i artikel 15, stk. 4, i den generelle forordning om databeskyttelse, når der indrettes en blackbox som nævnt i spørgsmål 4a)?

Skal den, der har indsigtsret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, (også) i et sådant tilfælde, hvor der ikke skal videregives de samme oplysninger til henholdsvis myndigheden/domstolen og den, der har indsigtsret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, når der er tale om profilering, under alle omstændigheder modtage følgende oplysninger om den konkrete behandling af sine personoplysninger, således at vedkommende kan beskytte sine rettigheder i henhold til artikel 22, stk. 3, i den generelle forordning om databeskyttelse fuldt ud:

  1. alle de oplysninger, der gør det muligt at efterprøve, at den generelle forordning om databeskyttelse er overholdt, herved navnlig oplysninger om den måde, den registreredes personoplysninger er behandlet på, idet oplysningerne om nødvendigt må være pseudoanonymiserede,
  2. de data, der er anvendt til profileringen, idet disse stilles til rådighed,
  3. de parametre og inputvariabler, der er benyttet til at foretage vurderingen,
  4. disse parametre og inputvariablers indflydelse på den beregnede vurdering,
  5. oplysninger om, hvorledes nævnte parametre og inputvariabler er tilvejebragt,
  6. forklaring om, hvorfor den, der har ret til indsigt som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, blev henført til et bestemt vurderingsresultat, og redegørelse for hvilket udsagn, der blev forbundet med dette resultat,
  7. liste over profilkategorierne og oplysning om hvilket vurderingsudsagn, der er forbundet med hver enkelt profilkategori?

5. Begrænses omfanget af de oplysninger, der skal meddeles i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, på en eller anden måde af artikel 15, stk. 4, i den generelle forordning om databeskyttelse?

Hvorledes begrænses indsigtsretten i bekræftende fald af artikel 15, stk. 4, i den generelle forordning om databeskyttelse, og hvordan skal omfanget af en sådan begrænsning fastslås konkret?

6. Er bestemmelsen i § 4, stk. 6, i Datenschutzgesetz (den østrigske databeskyttelseslov), hvorefter »den indsigtsret, som den registrerede i henhold til artikel 15 i den generelle forordning om databeskyttelse med forbehold af andre lovbegrænsninger har over for en dataansvarlig, som regel ikke (består), hvis videregivelse af de pågældende oplysninger ville udgøre en trussel mod en forretningshemmelighed hos den dataansvarlige eller andre« forenelig med betingelserne i artikel 15, stk. 1, sammenholdt med artikel 22, stk. 3, i den generelle forordning om databeskyttelse? Hvornår er betingelserne i givet fald opfyldt?

Domsafsigelse:

EU-Domstolen har den 26. oktober 2023 afsagt dom i sagen, hvoraf følgende fremgår:

På grundlag af disse præmisser kender Domstolen (Første Afdeling) for ret:

  • Artikel 12, stk. 5, og artikel 15, stk. 1 og 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at forpligtelsen til vederlagsfrit at give den registrerede en første kopi af de personoplysninger om vedkommende, der behandles, gælder for den dataansvarlige, selv når denne anmodning er begrundet i et formål, der ikke har nogen sammenhæng med de formål, der er nævnt i 63. betragtning, første punktum, til denne forordning.
  • Artikel 23, stk. 1, litra i), i forordning 2016/679 skal fortolkes således, at en national lovgivning, som er vedtaget inden denne forordnings ikrafttrædelse, kan være omfattet af anvendelsesområdet for denne bestemmelse. En sådan mulighed tillader dog ikke, at der vedtages en national lovgivning, som med henblik på at beskytte den dataansvarliges økonomiske interesser pålægger den registrerede at betale udgifterne til en første kopi af de personoplysninger om vedkommende, der er gestand for behandling.
  • Artikel 15, stk. 3, første punktum, i forordning 2016/679 skal fortolkes således, at det i et læge/patient-forhold gælder, at retten til at modtage en kopi af de personoplysninger, der behandles, indebærer, at den registrerede skal have udleveret en nøjagtig og forståelig gengivelse af alle disse oplysninger. Denne ret indebærer retten til at få udleveret en komplet kopi af de dokumenter, der indgår i vedkommendes patientjournal, og som bl.a. indeholder de nævnte oplysninger, såfremt udleveringen af en sådan kopi er nødvendig for at gøre det muligt for den registrerede at kontrollere, om disse oplysninger er korrekte og udtømmende, og for at sikre oplysningernes forståelighed. Hvad angår helbredsoplysninger om den registrerede omfatter denne ret under alle omstændigheder retten til at få udleveret en kopi af de data i vedkommendes patientjournal, der indeholder oplysninger om diagnoser, undersøgelsesresultater, lægelige vurderinger samt enhver behandling og ethvert indgreb, der er foretaget over for den pågældende.

Link til sagen på EU-Domstolens hjemmeside

 

Appellanter i hovedsagen:

Ligue des droits humains ASBL og BA 

Indstævnt i hovedsagen:

Organe de contrôle de l’information policière 

De præjudicielle spørgsmål:

1. Kræver artikel 47 og artikel 8, stk. 3, i Den Europæiske Unions charter om grundlæggende rettigheder, at der indføres retsmidler over for en uafhængig tilsynsmyndighed som f.eks. Organe de contrôle de l’information policière, når denne udøver den registreredes rettigheder over for den registeransvarlige?

2. Er artikel 17 i direktiv 2016/680 i overensstemmelse med artikel 47 og artikel 8, stk. 3, i Den Europæiske Unions charter om grundlæggende rettigheder, således som Domstolen har fortolket disse bestemmelser, for så vidt som den nævnte artikel 17 ikke pålægger tilsynsmyndigheden – der udøver den registreredes rettigheder over for den registeransvarlige – at informere denne person om, at »den har foretaget den nødvendige kontrol eller undersøgelse«, og »om adgangen til retsmidler«, når denne information ikke muliggør nogen efterfølgende kontrol af tilsynsmyndighedens indsats og vurdering af den registreredes personoplysninger og de forpligtelser, der påhviler den registeransvarlige?« 

Domsafsigelse:

EU-Domstolen har den. 16. november 2023 afsagt dom i sagen, hvoraf følgende fremgår:

På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret:

  • Artikel 17 i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA, sammenholdt med dette direktivs artikel 46, stk. 1, litra g), artikel 47, stk. 1 og 2, og artikel 53, stk. 1, samt med artikel 8, stk. 3, og artikel 47 i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at
    når en persons rettigheder i henhold til nævnte artikel 17 er blevet udøvet gennem en kompetent tilsynsmyndighed, og når denne myndighed har underrettet den registrerede om resultatet af den foretagne kontrol, skal denne person have adgang til effektive retsmidler over for denne myndigheds afgørelse om afslutning af kontrolproceduren.
  • Behandlingen af det andet spørgsmål har intet frembragt, der kan påvirke gyldigheden af artikel 17, stk. 3, i direktiv 2016/680.

Link til sagen på EU-domstolens hjemmeside

Appellanter i hovedsagen:

VX og AT

Indstævnt i hovedsagen:

Gemeinde Ummendorf

De præjudicielle spørgsmål:

Skal begrebet immateriel skade som omhandlet i artikel 82, stk. 1, i den generelle forordning (EU) 2016/679 om databeskyttelse fortolkes således, at der skal foreligge en mærkbar ulempe og en objektivt konstaterbar påvirkning af personlige interesser, for at det kan lægges til grund, at der er tale om en immateriel skade, eller er det tilstrækkeligt, at den registrerede blot har været udsat for et kortvarigt tab af kontrollen over sine oplysninger som følge af offentliggørelsen af personoplysninger på internettet i en periode på få dage, idet dette ikke har haft nogen mærkbare eller skadelige konsekvenser for den registrerede?

Domsafsigelse:

 EU-Domstolen har den. 14. december 2023 afsagt dom i sagen, hvoraf følgende fremgår:

På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret:

  • Artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning eller national praksis, der fastsætter en »bagatelgrænse« med henblik på at kvalificere en immateriel skade, der er forårsaget af en tilsidesættelse af denne forordning. Den registrerede skal godtgøre, at konsekvenserne af denne tilsidesættelse, som vedkommende hævder at have lidt, udgør en skade, der adskiller sig fra den blotte tilsidesættelse af bestemmelserne i den nævnte forordning.

Link til sagen på EU-Domstolens hjemmeside

Appellanter i hovedsagen:

MK

Indstævnt i hovedsagen:

WB

De præjudicielle spørgsmål:

De præjudicielle spørgsmål:

  • Er en ifølge loven beskikket værge, som udøver dette hverv erhvervsmæssigt, dataansvarlig som omhandlet i artikel 4, nr. 7, i Europa-Parlamentets og Rådets forordning (EU) 2016/670 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)?
  • Skal den pågældende give information i henhold til databeskyttelsesforordningens artikel 15?

Domsafsigelse:

EU-Domstolen har den. 11. juli 2024 afsagt dom i sagen, hvoraf følgende fremgår:

På grundlag af disse præmisser kender Domstolen (Niende Afdeling) for ret:

  • Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en tidligere værge, der har udøvet dette hverv som led i sine erhvervsmæssige aktiviteter, i forhold til en person, der er sat under dennes værgemål, skal kvalificeres som »dataansvarlig« i denne bestemmelses forstand for behandlingen af de personoplysninger, som den tidligere værge er i besiddelse af vedrørende denne person, og således, at en sådan behandling skal overholde samtlige bestemmelser i denne forordning, navnlig forordningens artikel 15.

Link til sagen på EU-Domstolens hjemmeside

 

Appellant i hovedsagen:

État belge (den belgiske stat)

Indstævnt i hovedsagen:

AUTORITÉ DE PROTECTION DES DONNÉES (APD) (Databeskyttelsesmyndighed)

De præjudicielle spørgsmål:

1. Skal artikel 4, nr. 7), i den generelle forordning om beskyttelse af personoplysninger fortolkes således, at en medlemsstats statstidende – der har til opgave at offentliggøre og arkivere officielle dokumenter, og som i henhold til den gældende nationale lovgivning er ansvarlig for at offentliggøre officielle retsakter og dokumenter, hvis offentliggørelse er pålagt af andre offentlige instanser, i den form, hvori de er forelagt af disse instanser, efter at disse selv har behandlet de personoplysninger, der er indeholdt i disse retsakter og dokumenter, uden at den nationale lovgiver har givet statstidendet nogen skønsbeføjelse med hensyn til indholdet af de dokumenter, der skal offentliggøres, og med hensyn til formålet med og midlerne til offentliggørelsen – har status som dataansvarlig?

2. Såfremt det første spørgsmål besvares bekræftende, skal artikel 5, stk. 2, i den generelle forordning om beskyttelse af personoplysninger da fortolkes således, at det er det pågældende statstidende, der alene skal være ansvarlig for at opfylde de forpligtelser, der påhviler den dataansvarlige i henhold til denne bestemmelse, med udelukkelse af andre offentlige instanser, der tidligere har behandlet de oplysninger, der er indeholdt i de officielle retsakter og dokumenter, hvis offentliggørelse de anmoder om, eller hviler disse forpligtelser kumulativt på hver af de på hinanden følgende dataansvarlige?

Domsafsigelse:

På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret:

  • Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den institution eller det organ, der er ansvarlig for en medlemsstats statstidende, og som i henhold til denne medlemsstats lovgivning bl.a. er forpligtet til i den forelagte form at offentliggøre officielle retsakter og dokumenter, som udarbejdes af tredjemand på dennes eget ansvar under overholdelse af de gældende regler, og som derefter indleveres til en retslig myndighed, der fremsender disse retsakter og dokumenter til institutionen eller organet til offentliggørelse, uagtet en manglende status som juridisk person kan kvalificeres som »dataansvarlig« for de personoplysninger, der er indeholdt i disse retsakter og dokumenter, når de pågældende nationale retsregler fastlægger formålene med og hjælpemidlerne til den behandling af personoplysninger, der foretages af denne statstidende.
  • Artikel 5, stk. 2, i forordning 2016/679, sammenholdt med denne forordnings artikel 4, nr. 7), og artikel 26, stk. 1, skal fortolkes således, at den institution eller det organ, der er ansvarlig for en medlemsstats statstidende, og som er kvalificeret som »dataansvarlig« som omhandlet i denne forordnings artikel 4, nr. 7), er eneansvarlig for overholdelsen af de principper, der er angivet i forordningens artikel 5, stk. 1, for så vidt angår de behandlingsaktiviteter vedrørende personoplysninger, som institutionen eller organet er forpligtet til at foretage i henhold til national ret, medmindre et fælles ansvar med andre enheder for disse operationer følger af denne ret.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgere i hovedsagen:

AT

BT

Sagsøgte i hovedsagen:

PS GbR

VG

MB

DH

WB

GS

De præjudicielle spørgsmål:

1. Er det tilstrækkeligt for at begrunde en ret til skadeserstatning som omhandlet i artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (herefter »den generelle forordning om databeskyttelse«), at en bestemmelse i den generelle forordning om databeskyttelse, som beskytter den person, der gør retten gældende, er blevet overtrådt, eller er det påkrævet, at der ud over overtrædelsen af bestemmelserne som sådan er sket en yderligere påvirkning af den person, der gør retten gældende?

2. Er det i henhold til EU-retten påkrævet for at begrunde en ret til erstatning for immateriel skade som omhandlet i artikel 82, stk. 1, i den generelle forordning om databeskyttelse, at der foreligger en påvirkning af en vis vægt?

3. Er det navnlig tilstrækkeligt for at begrunde en ret til erstatning for immateriel skade som omhandlet i artikel 82, stk. 1, i den generelle forordning om databeskyttelse, at den person, der gør retten gældende, frygter, at vedkommendes personoplysninger som følge af overtrædelserne af bestemmelserne i den generelle forordning om databeskyttelse er blevet videregivet til uvedkommende, uden at dette kan fastslås positivt?

4. Er det i overensstemmelse med EU-retten, hvis den nationale ret ved udmålingen af en erstatning for immateriel skade som omhandlet i artikel 82, stk. 1, i den generelle forordning om databeskyttelse anvender kriterierne i artikel 83, stk. 2, andet punktum, i den generelle forordning om databeskyttelse, som henset til ordlyden alene gælder for administrative bøder, analogt?

5. Skal størrelsen af en ret til erstatning for immateriel skade som omhandlet i artikel 82, stk. 1, i den generelle forordning om databeskyttelse også udmåles under hensyntagen til, om der ved størrelsen af den tilkendte ret opnås en afskrækkende virkning og/eller forhindres en »kommercialisering« (kalkuleret accept af administrative bøder/erstatningsbetalinger) af overtrædelser?

6. Er det i forbindelse med udmålingen af størrelsen af en ret til erstatning for immateriel skade som omhandlet i artikel 82, stk. 1, i den generelle forordning om databeskyttelse i overensstemmelse med EU-retten også at tage hensyn til overtrædelser af nationale retsforskrifter, som har til formål at beskytte personoplysninger, idet der dog ikke er tale om delegerede retsakter eller gennemførelsesretsakter vedtaget i henhold til denne forordning eller til medlemsstaternes nationale ret, der præciserer bestemmelserne i denne forordning?

Domsafsigelse:

EU-Domstolen har den. 20. juni 2024 afsagt dom i sagen, hvoraf følgende fremgår:

På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret:

  • Artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en overtrædelse af denne forordning ikke i sig selv er tilstrækkelig til at begrunde en ret til erstatning i henhold til denne bestemmelse. Den registrerede skal ligeledes godtgøre, at der foreligger en skade, der er forårsaget af denne overtrædelse, dog uden at denne skade skal have en vis alvorsgrad.
  • Artikel 82, stk. 1, i forordning 2016/679 skal fortolkes således, at en persons frygt for, at vedkommendes personoplysninger som følge af en overtrædelse af denne forordning er blevet videregivet til tredjemand, uden at det kan godtgøres, at dette faktisk har været tilfældet, er tilstrækkelig til at begrunde en ret til erstatning, for så vidt som denne frygt og de negative konsekvenser af denne er behørigt bevist.
  • Artikel 82, stk. 1, i forordning 2016/679 skal fortolkes således, at der ved fastsættelsen af det erstatningsbeløb, der skal betales for en skade i henhold til denne bestemmelse, for det første ikke skal foretages en analog anvendelse af kriterierne for udmåling af de administrative bøder i denne forordnings artikel 83 og for det andet ikke skal tillægges denne ret til erstatning en afskrækkende funktion.
  • Artikel 82, stk. 1, i forordning 2016/679 skal fortolkes således, at der ved fastsættelsen af det erstatningsbeløb, der skal betales for en skade i henhold til denne bestemmelse, ikke skal tages hensyn til samtidige overtrædelser af nationale bestemmelser om beskyttelse af personoplysninger, som ikke har til formål at præcisere forordningens regler.

Link til sagen på EU-Domstolens hjemmeside

Appellant i hovedsagen:

RK

Den anden part i sagen:

Ministerstvo zdravotnictví

Det præjudicielle spørgsmål:

Er der i forbindelse med verificering af gyldigheden af interoperable covid-19-vaccinations-, test- og restitutionscertifikater, udstedt i overensstemmelse med [forordningen om digitale certifikater], som Den Tjekkiske Republik anvender til nationale formål, tale om automatisk behandling af personoplysninger som omhandlet i [databeskyttelsesforordningens] artikel 4, nr. 2, i forbindelse med anvendelsen af den nationale »čTečka«-applikation, således at denne aktivitet falder inden for [databeskyttelsesforordningens] materielle anvendelsesområde i henhold til denne forordnings artikel 2, stk. 2?

Domsafsigelse:

På grundlag af disse præmisser kender Domstolen (Ottende Afdeling) for ret:

  • Begrebet »behandling« af personoplysninger, der er omhandlet i artikel 4, nr. 2), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), skal fortolkes således, at det omfatter en verificering ved hjælp af en national mobilapplikation af gyldigheden af interoperable covid-19-vaccinations-, test- og restitutionscertifikater, der er udstedt i henhold til Europa-Parlamentets og Rådets forordning (EU) 2021/953 af 14. juni 2021 om en ramme for udstedelse, kontrol og accept af interoperable covid-19-vaccinations-, test- og restitutionscertifikater (EU’s digitale covidcertifikat) for at lette fri bevægelighed under covid-19-pandemien, og anvendes af en medlemsstat til nationale formål.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgt i hovedsagen: 

Meta Platforms Ireland Limited

Sagsøger i hovedsagen:

Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.

De præjudicielle spørgsmål:

1. Gøres en krænkelse af rettigheder »som følge af behandling« som omhandlet i artikel 80, stk. 2, i forordning (EU) 2016/679 (general forordning om databeskyttelse) gældende, såfremt en sammenslutning, der varetager beskyttelsen af forbrugernes interesser, støtter sit søgsmål på, at en registrerets rettigheder er blevet krænket, fordi pligterne i henhold til artikel 12, stk. 1, første punktum, sammenholdt med artikel 13, stk. 1, litra c) og e), i den generelle forordning om databeskyttelse til at oplyse om formålet med databehandlingen og om modtageren af personoplysningerne ikke er blevet opfyldt?

Domsafsigelse:

EU-Domstolen har den 11. juli 2024 afsagt dom i sagen, hvoraf følgende fremgår:

  • På grundlag af disse præmisser kender Domstolen (Fjerde Afdeling) for ret:
    • Artikel 80, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at betingelsen om, at en bemyndiget enhed for at kunne anlægge et gruppesøgsmål i henhold til denne bestemmelse skal gøre gældende, at den er af den opfattelse, at en registrerets rettigheder i henhold til denne forordning er blevet krænket »som følge af behandling« i denne bestemmelses forstand, er opfyldt, når denne enhed gør gældende, at krænkelsen af den registreredes rettigheder er sket i forbindelse med behandlingen af personoplysninger og skyldes tilsidesættelse af den forpligtelse, der påhviler den dataansvarlige i henhold til den nævnte forordnings artikel 12, stk. 1, første punktum, og artikel 13, stk. 1, litra c) og e), til i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog at give den registrerede, der er berørt af denne behandling, oplysninger om formålet med behandlingen af personoplysninger og om modtagerne af sådanne oplysninger senest på tidspunktet for indsamlingen heraf.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

ND

Sagsøger i hovedsagen:

DR

Faktum i hovedsagen:

Sagsøgeren driver et apotek. Sagsøgte er ligeledes apoteker og driver et apotek. Sagsøgte har tilladelse til at drive postordrevirksomhed og distribuerer også sit sortiment på internettet. Derudover forhandlede sagsøgte i 2017 sit sortiment, der omfatter lægemidler, hvis salg er forbeholdt apoteker, via internetsalgsplatformen »Amazon-Marketplace« (herefter »Amazon«).

Sagsøgeren har gjort gældende, at distributionen af lægemidler, hvis salg er forbeholdt apoteker, på Amazon er en urimelig praksis som følge af overtrædelse af lovkrav om indhentelse af et databeskyttelsesretligt samtykke fra kunden til at indsamle, behandle og anvende dennes helbredsoplysninger. Sagsøgeren har anlagt sag med påstand om, at der nedlægges forbud mod en sådan distribution.

Landgericht (den regionale ret i første instans) har givet sagsøgeren medhold. Appelinstansen har afvist sagsøgtes appel. Sagsøgte har med sin revisionsanke opretholdt sin påstand om frifindelse. Sagsøgeren har nedlagt påstand om, at revisionsanken afvises.

De præjudicielle spørgsmål:

1. Er bestemmelserne i kapitel VIII i den generelle forordning om databeskyttelse til hinder for national lovgivning, der – ud over de kompetente tilsynsmyndigheders beføjelser til at gribe ind med henblik på at kontrollere og håndhæve forordningen og de registreredes adgang til retsmidler – giver konkurrenter beføjelse til at anlægge sag mod den krænkende part for overtrædelse af den generelle forordning om databeskyttelse ved de civile domstole henset til forbuddet mod urimelig handelspraksis?

2. Udgør de oplysninger, som kunderne hos en apoteker, der på en internetsalgsplatform optræder som sælger, indtaster på salgsplatformen i forbindelse med bestillingen af lægemidler, hvis salg ganske vist er forbeholdt apoteker, men som ikke er receptpligtige (kundens navn, leveringsadresse og informationer, der er nødvendige med henblik på individualisering af det bestilte lægemiddel, hvis salg er forbeholdt apoteker) helbredsoplysninger som omhandlet i databeskyttelsesforordningens artikel 9, stk. 1, samt oplysninger om helbredsforhold som omhandlet i databeskyttelsesdirektivets artikel 8, stk. 1?

Domsafsigelse:

EU-Domstolen har den 4. Oktober 2024 afsagt dom i sagen, hvoraf følgende fremgår:

  • På grundlag af disse præmisser kender Domstolen (Fjerde Afdeling) for ret:
    • Artikel 80, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at betingelsen om, at en bemyndiget enhed for at kunne anlægge et gruppesøgsmål i henhold til denne bestemmelse skal gøre gældende, at den er af den opfattelse, at en registrerets rettigheder i henhold til denne forordning er blevet krænket »som følge af behandling« i denne bestemmelses forstand, er opfyldt, når denne enhed gør gældende, at krænkelsen af den registreredes rettigheder er sket i forbindelse med behandlingen af personoplysninger og skyldes tilsidesættelse af den forpligtelse, der påhviler den dataansvarlige i henhold til den nævnte forordnings artikel 12, stk. 1, første punktum, og artikel 13, stk. 1, litra c) og e), til i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog at give den registrerede, der er berørt af denne behandling, oplysninger om formålet med behandlingen af personoplysninger og om modtagerne af sådanne oplysninger senest på tidspunktet for indsamlingen heraf.

Link til sagen på EU-Domstolens hjemmeside 

Sagsøgt i hovedsagen: 

Nemzeti Adatvédelmi és Információszabadság Hatóság (den nationale myndighed for databeskyttelse og informationsfrihed, Ungarn)

Sagsøger i hovedsagen:

Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (kommunalbestyrelsen i Újpest kommune, fjerde distrikt i Budapest)

De præjudicielle spørgsmål:

1. Skal artikel 58, stk. 2, navnlig litra c), d) og g), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, herefter »databeskyttelsesforordningen«) fortolkes således, at en national tilsynsmyndighed under udøvelse af sine korrigerende beføjelser kan give den dataansvarlige eller databehandleren påbud om at slette personoplysninger, der er blevet behandlet ulovligt, uden at der foreligger en udtrykkelig anmodning fra den registrerede i henhold til databeskyttelsesforordningens artikel 17, stk. 1?

2. Såfremt det første præjudicielle spørgsmål besvares således, at tilsynsmyndigheden kan give den dataansvarlige eller databehandleren påbud om at slette personoplysninger, der er blevet behandlet ulovligt, uden at der foreligger en anmodning fra den registrerede, afhænger dette svar da af, om de pågældende personoplysninger er indsamlet hos den registrerede?

Domsafsigelse:

EU-Domstolen har den 14. marts 2024 afsagt dom i sagen, hvoraf følgende fremgår:

  • På grundlag af disse præmisser kender Domstolen (Femte Afdeling) for ret:
    • Artikel 58, stk. 1, litra d) og g), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en medlemsstats tilsynsmyndighed under udøvelsen af sin beføjelse til at vedtage de korrigerende foranstaltninger, der er fastsat i disse bestemmelser, har beføjelse til at give den dataansvarlige eller databehandleren påbud om at slette personoplysninger, der er blevet behandlet ulovligt, og dette selv om den registrerede ikke har fremsat nogen anmodning herom med henblik på at udøve sine rettigheder i henhold til denne forordnings artikel 17, stk. 1.
    • Artikel 58, stk. 2, i forordning 2016/679 skal fortolkes således, at en medlemsstats tilsynsmyndigheds beføjelse til at give påbud om sletning af personoplysninger, der er blevet behandlet ulovligt, kan omfatte såvel oplysninger, der er indsamlet hos den registrerede, som oplysninger, der stammer fra en anden kilde.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

OL

Sagsøger i hovedsagen:

Agentsia po vpisvaniyata

De præjudicielle spørgsmål:

  • Kan artikel 4, stk. 2, i direktiv [2009/101] fortolkes således, at [denne bestemmelse] forpligter medlemsstaten til at tillade offentliggørelse af en selskabsaftale, som i henhold til [handelslovens] artikel 119 [...] er underlagt et krav om registrering, når denne foruden selskabsdeltagernes navne, som i henhold til [registerlovens] artikel 2, stk. 2 [...] er underlagt obligatorisk [tilrådighedsstillelse for offentligheden], også indeholder yderligere personoplysninger? Ved besvarelsen af dette spørgsmål skal [der tages hensyn til], at [agenturet] er en institution i den offentlige sektor, over for hvilken direktivets bestemmelser, som har direkte virkning, ifølge Domstolens faste praksis kan påberåbes (dom af 7.9.2006, Vassallo, С-180/04, EU:C:2006:518, præmis 26 og den deri nævnte retspraksis).
  • Kan det – såfremt det første spørgsmål besvares bekræftende – lægges til grund, at agenturets behandling af personoplysninger under de omstændigheder, som udløste tvisten i hovedsagen, er nødvendig […] som omhandlet i [databeskyttelsesforordningens] artikel 6, stk. 1, litra e), [...] af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt?
  • Kan – såfremt de to første spørgsmål besvares bekræftende – en national bestemmelse som [registerlovens] artikel 13, stk. 9 [...] anses for lovlig, idet det heri bestemmes, at det i tilfælde af, at en [anmodning] eller bilagene til denne [anmodning] indeholder personoplysninger, som ikke er påkrævet ved loven, lægges til grund, at de personer, der har stillet oplysningerne til rådighed, har givet samtykke til agenturets behandling af disse oplysninger og til, at [de stilles til rådighed for offentligheden], uanset 32., 40., 42., 43. og 50. betragtning til [databeskyttelsesforordningen] som præcisering med hensyn til muligheden for en »frivillig offentliggørelse« også af personoplysninger som omhandlet i artikel 4, stk. 2, i direktiv [2009/101]?
  • Er det med henblik på at gennemføre forpligtelsen i henhold til artikel 3, stk. 7, i direktiv [2009/101], hvorefter medlemsstaterne træffer de fornødne foranstaltninger for at hindre uoverensstemmelse mellem indholdet af [offentliggørelsen] i henhold til [artikel 3, stk. 5,] og indholdet af [registret] eller aktmappen og for at tage hensyn til tredjemands interesse i at gøre sig bekendt med de væsentlige dokumenter vedrørende selskabet samt at få visse oplysninger om dette, som nævnes i tredje betragtning til dette direktiv, lovligt at indføre nationale bestemmelser, som fastsætter en procedure ([anmodningsformularer], indgivelse af kopier af dokumenter, hvori personoplysninger er skjult) for udøvelsen af en fysisk persons ret i henhold til [databeskyttelsesforordningens] artikel 17 [...] til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, hvis de personoplysninger, som forlanges slettet, er en del af offentliggjorte ([for offentligheden tilgængeliggjorte]) dokumenter, som er blevet stillet til rådighed for den dataansvarlige i henhold til en lignende procedure af en anden person, som også fastlagde formålet med den af denne person foranledigede behandling?
  • Handler [agenturet] i den situation, der ligger til grund for tvisten i hovedsagen, kun som dataansvarlig med hensyn til personoplysningerne, eller er [agenturet] også modtager af disse, hvis formålene med behandlingen af oplysningerne som en del af de dokumenter, der blev forelagt [med henblik på at blive gjort tilgængelige for offentligheden], blev fastlagt af en anden dataansvarlig?
  • Udgør en fysisk persons egenhændige underskrift en information om en identificeret fysisk person, [og er den følgelig] omfattet af begrebet »personoplysninger« som defineret i [databeskyttelsesforordningens] artikel 4, nr. 1)?
  • Skal begrebet »immateriel skade«[, der fremgår af databeskyttelsesforordningens] artikel 82, stk. 1 fortolkes således, at der skal foreligge en mærkbar ulempe og en objektivt konstaterbar påvirkning af personlige interesser, for at det kan lægges til grund, at der er tale om en immateriel skade, eller er det tilstrækkeligt, at den registrerede blot har været udsat for et kortvarigt tab af kontrollen over sine [personoplysninger] som følge af [tilrådighedsstillelsen af disse oplysninger] i [handelsregistret], idet dette ikke har haft nogen mærkbare eller skadelige konsekvenser for den registrerede?
  • Kan [udtalelse nr. 01-116(20)/01.02.2021] i henhold til [databeskyttelsesforordningens] artikel 58, stk. 3, litra b), fra den nationale tilsynsmyndighed, [(kommissionen til beskyttelse af personoplysninger)], hvorefter agenturet […] ikke har nogen retlige muligheder for eller beføjelser til af egen drift eller efter anmodning fra den registrerede at begrænse behandlingen af […] oplysninger, [der allerede er stillet til rådighed for offentligheden] […] anses for bevis som omhandlet i [databeskyttelsesforordningens] artikel 82, stk. 3 [...] for, at [agenturet] ikke er skyld i den begivenhed, der medførte skaden for den fysiske person?

Domsafsigelse:

EU-Domstolen har den 4. oktober 2024 afsagt dom i sagen, hvoraf følgende fremgår:

  • På grundlag af disse præmisser kender Domstolen (Første Afdeling) for ret:
    • Artikel 21, stk. 2, i Europa-Parlamentets og Rådets direktiv (EU) 2017/1132 af 14. juni 2017 om visse aspekter af selskabsrette skal fortolkes således, at den ikke pålægger en medlemsstat en forpligtelse til at tillade offentliggørelse i handelsregistret af en selskabsaftale, som er underlagt den obligatoriske offentliggørelse, der er fastsat i dette direktiv, og som indeholder andre personoplysninger end det krævede minimum af personoplysninger, hvis offentliggørelse ikke er påkrævet i henhold til denne medlemsstats lovgivning.
    • Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), navnlig dennes artikel 4, nr. 7) og 9), skal fortolkes således, at den myndighed, der har ansvaret for at føre handelsregistret i en medlemsstat, og som i dette register offentliggør personoplysninger, der fremgår af en selskabsaftale, som er underlagt den obligatoriske offentliggørelse, der er fastsat i direktiv 2017/1132, som er blevet sendt til myndigheden i forbindelse med en anmodning om optagelse af det pågældende selskab i det nævnte register, er såvel »modtager« af disse oplysninger som – bl.a. for så vidt som den gør dem tilgængelige for offentligheden – »dataansvarlig« for de nævnte oplysninger som omhandlet i denne bestemmelse, selv når denne aftale indeholder personoplysninger, der ikke er påkrævet i henhold til dette direktiv eller denne medlemsstats lovgivning.
    • Direktiv 2017/1132, navnlig dettes artikel 16, og artikel 17 i forordning 2016/679 skal fortolkes således, at de er til hinder for en lovgivning eller en praksis i en medlemsstat, som fører til, at den myndighed, der har ansvaret for at føre handelsregistret i denne medlemsstat, afslår enhver anmodning om sletning af personoplysninger, som ikke er påkrævet i henhold til dette direktiv eller den nævnte medlemsstats lovgivning, som fremgår af en selskabsaftale, der er offentliggjort i dette register, når der ikke er blevet indgivet en kopi af denne aftale, hvor disse oplysninger er skjult, til denne myndighed i strid med de processuelle regler, der er fastsat i denne lovgivning. 
    • Artikel 4, nr. 1), i forordning 2016/679 skal fortolkes således, at en fysisk persons egenhændige underskrift er omfattet af begrebet »personoplysninger« som omhandlet i denne bestemmelse.
    • Artikel 82, stk. 1, i forordning 2016/679 skal fortolkes således, at den registreredes kortvarige tab af kontrol over sine personoplysninger som følge af tilrådighedsstillelse online for offentligheden af disse oplysninger i handelsregistret i en medlemsstat kan være tilstrækkeligt til at forvolde en »immateriel skade«, for så vidt som den registrerede godtgør, at vedkommende faktisk har lidt en sådan skade, hvor lille den end måtte være, uden at begrebet »immateriel skade« kræver, at det godtgøres, at der foreligger yderligere konkrete negative konsekvenser.
    • Artikel 82, stk. 3, i forordning 2016/679 skal fortolkes således, at en udtalelse fra tilsynsmyndigheden i en medlemsstat, der er afgivet på grundlag af denne forordnings artikel 58, stk. 3, litra b), ikke er tilstrækkelig til at fritage den myndighed, der har ansvaret for at føre handelsregistret i denne medlemsstat, som er »dataansvarlig« som omhandlet i den nævnte forordnings artikel 4, nr. 7), for erstatningsansvar i henhold til samme forordnings artikel 82, stk. 2.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

Patērētāju tiesību aizsardzības centrs

Sagsøger i hovedsagen:

A

De præjudicielle spørgsmål:

  • Skal databeskyttelsesforordningens artikel 82, stk. 1, fortolkes således, at en ulovlig behandling af personoplysninger, der udgør en overtrædelse af den nævnte forordning, i sig selv kan udgøre et uberettiget indgreb i en persons ret til beskyttelse af sine personoplysninger og en skade, der er forvoldt på denne person?
  • Skal databeskyttelsesforordningens artikel 82, stk. 1, fortolkes således, at denne bestemmelse, når det ikke er muligt at genoprette den oprindelige situation før skadens indtræden, tillader, at der fastsættes en pligt til at undskylde som den eneste erstatning for den immaterielle skade?
  • Skal databeskyttelsesforordningens artikel 82, stk. 1, fortolkes således, at denne bestemmelse tillader, at omstændigheder, der er et udtryk for holdningen og begrundelsen hos den part, der behandler oplysningerne (f.eks. kravet om at udføre en opgave i samfundets interesse, den manglende hensigt om at skade personen eller vanskelighederne ved at forstå den lovgivningsmæssige ramme), begrunder, at der fastsættes en lavere erstatning for den nævnte skade?

Domsafsigelse:

EU-Domstolen har den 4. Oktober 2024 afsagt dom i sagen, hvoraf følgende fremgår:

  • På grundlag af disse præmisser kender Domstolen (Ottende Afdeling) for ret:

    • Artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at en overtrædelse af bestemmelserne i denne forordning ikke i sig selv er tilstrækkelig til at udgøre »skade« som omhandlet i artikel 82, stk. 1. 

    • Artikel 82, stk. 1, i forordning 2016/679 skal fortolkes således, at en undskyldning på grundlag af denne bestemmelse kan anses for at udgøre en passende erstatning for immateriel skade, heriblandt når det er umuligt at genoprette den situation, der forelå, før skaden indtraf, forudsat at denne erstatning gør det muligt fuldstændigt at kompensere for den skade, som den registrerede har lidt. 

    • Artikel 82, stk. 1, i forordning 2016/679 skal fortolkes således, at denne bestemmelse er til hinder for, at der kan tages hensyn til holdningen og begrundelsen hos den dataansvarlige med henblik på i givet fald at tildele den registrerede en erstatning, der er lavere end den skade, som den pågældende konkret har lidt.

Link til sagen på EU-Domstolens hjemmeside

Senest opdateret 25-10-2024