FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
JULIANE KOKOTT
av den 20 juli 2017(1)
Mål C‑434/16
Peter Nowak
mot
Data Protection Commissioner
(begäran om förhandsavgörande från Supreme Court (Högsta domstolen, Irland)
”Begäran om förhandsavgörande – Direktiv 95/46/EG – Behandling av personuppgifter – Begreppet personuppgifter – Tillgång till det egna provet – Examinators rättelser”
I. Inledning
1. Består ett skriftligt prov av personuppgifter, och kan examinanden därför eventuellt begära att provarrangören ska ge honom eller henne tillgång till det egna provet enligt dataskyddsdirektivet(2)? Detta är föremålet för denna begäran om förhandsavgörande från irländska Supreme Court (Högsta domstolen). Det nationella målet avser dock inte just tillgång till ett skriftligt prov, utan den förutvarande irländska dataskyddsombudsmannens vägran att behandla ett klagomål efter det att tillgång inte getts till personuppgifter.
2. I centrum står frågan huruvida examinandens svar på provet kan utgöra personuppgifter. Det kan emellertid också diskuteras huruvida det har betydelse att provet skrevs för hand och huruvida också examinatorns rättelser av provet utgör personuppgifter.
3. Dataskyddsdirektivet kommer visserligen inom kort att ersättas av den ännu inte tillämpliga allmänna dataskyddsförordningen(3), men begreppet personuppgifter berörs inte av detta. Denna begäran om förhandsavgörande har därför betydelse också för tillämpningen av unionens dataskyddslagstiftning i framtiden.
II. Tillämpliga bestämmelser
4. I artikel 2 a i dataskyddsdirektivet definieras olika begrepp och i synnerhet vad som avses med personuppgifter:
”I detta direktiv avses med
a) personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet,
b) behandling av personuppgifter (behandling): varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring,
c) register med personuppgifter (register): varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.”
5. Direktivets tillämpningsområde framgår av artikel 3:
”1. Detta direktiv gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
2. …”
6. I artikel 12 i dataskyddsdirektivet regleras rätten att få tillgång till uppgifter:
”Medlemsstaterna skall säkerställa att varje registrerad har rätt att från den registeransvarige
a) utan hinder och med rimliga intervall samt utan större tidsutdräkt eller kostnader
– få bekräftelse på om uppgifter som rör honom behandlas eller inte och information om åtminstone ändamålen med behandlingen, de berörda uppgiftskategorierna och mottagarna eller mottagarkategorierna till vilka uppgifterna utlämnas,
– få begriplig information om vilka uppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer,
– få kännedom om den logik som används när uppgifter som rör honom behandlas på automatisk väg åtminstone såvitt avser sådana automatiska beslut som avses i artikel 15.1,
b) i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i detta direktiv rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga.”
7. I skäl 41 förklaras syftet med rätten att få tillgång till uppgifter:
”Alla måste kunna utöva sin rätt att få tillgång till uppgifter som rör dem och som är föremål för behandling, för att i detalj kunna försäkra sig om att uppgifterna är korrekta och om att behandlingen är tillåten. …”
8. Artikel 13.1 i dataskyddsdirektivet utgör underlag för undantag från vissa bestämmelser:
”1. Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 6.1, 10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till
a) statens säkerhet,
b) försvaret,
c) allmän säkerhet,
d) förebyggande, undersökning, avslöjande av brott eller åtal för brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken,
e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos Europeiska unionen, inklusive monetära frågor, budgetfrågor och skattefrågor,
f) en tillsyns-, inspektions- eller regleringsfunktion som, även om den är av övergående karaktär, är förbunden med myndighetsutövning i de under punkterna c), d) och e) nämnda fallen,
g) skydd av den registrerades eller andras fri- och rättigheter.”
III. Bakgrund och tolkningsfrågorna
9. Peter Nowak var revisorspraktikant (trainee accountant) och hade fått godkänt på olika prov vid Institute of Chartered Accountants of Ireland (institutet för auktoriserade revisorer) – nedan kallat CAI. Han fick dock fyra gånger underkänt på provet i strategisk finansiering och internredovisning (strategic finance and management accounting). Vissa hjälpmedel, såsom kursmaterial och litteratur, var tillåtna vid provet (open book exam).
10. Efter fjärde försöket hösten 2009 överklagade Peter Nowak provresultatet, men bestämde sig till sist i maj 2010 för att ansöka om att få tillgång till uppgifterna i enlighet med den irländska dataskyddslagstiftningen och begärde upplysningar om samtliga ”personuppgifter” om honom som fanns sparade hos CAI.
11. I ett brev av den 1 juni 2010 lämnade CAI ut sjutton dokument till Peter Nowak, men lämnade inte ut hans prov med motiveringen att CAI hade fått meddelande om att provet inte utgjorde ”personuppgifter” i den mening som avses i dataskyddslagstiftningen.
12. Därpå kontaktade Peter Nowak dataskyddsombudsmannens kontor (Office of the Data Protection Commissioner), bad om hjälp och gjorde gällande att hans skriftliga prov utgjorde personuppgifter. I juni 2010 mejlade dataskyddsombudsmannen till Peter Nowak för att informera honom om att, bland annat, ”skriftliga prov … vanligtvis inte behandlades [i dataskyddssyfte] … eftersom denna typ av handling i allmänhet inte utgjorde personuppgifter”.
13. Skriftväxlingen mellan Peter Nowak och den dåvarande dataskyddsombudsmannen fortsatte fram till dess att Peter Nowak lämnade in ett formellt klagomål den 1 juli 2010. I ett brev av den 21 juli 2010 meddelade dataskyddsombudsmannen Peter Nowak att han hade kontrollerat uppgifterna och inte fastställt något väsentligt åsidosättande av dataskyddslagstiftningen. I samma brev underrättades Peter Nowak om att materialet som denne hade begärt rättelse av ”inte föll under definitionen av personuppgifter på vilka [uppgiftsskyddslagstiftningen] är tillämplig”. Dataskyddsombudsmannen gjorde därför inte någon ytterligare prövning av klagomålet.
14. Peter Nowak väckte talan mot detta beslut vid de irländska domstolarna, där förfarandet nu har anhängiggjorts vid Supreme Court (Högsta domstolen), som har ställt följande frågor till EU-domstolen:
”1) Kan uppgifter som har registrerats som eller i svar av en examinand under ett yrkesprov utgöra personuppgifter i den mening som avses i dataskyddsdirektivet?
2) Om svaret på fråga 1 är att samtliga eller vissa av dessa uppgifter kan utgöra personuppgifter i den mening som avses i direktivet, vilka omständigheter är då relevanta för att i varje enskilt fall bedöma huruvida en sådan skrivning utgör personuppgift, och vilken vikt ska fästas vid sådana omständigheter?”
15. I förfarandet vid EU-domstolen har Peter Nowak och den nuvarande dataskyddsombudsmannen som parter i det nationella målet och dessutom Republiken Grekland, Irland, Republiken Polen, Republiken Portugal, Republiken Österrike, Ungern, Republiken Tjeckien och Europeiska kommissionen inkommit med skriftliga yttranden. Vid den muntliga förhandlingen den 22 juni 2017 var förutom Peter Nowak och Irlands dataskyddsombudsman också Irland och Europeiska kommissionen närvarande.
IV. Bedömning
16. Frågan huruvida skriftliga prov ska anses utgöra personuppgifter står i centrum för begäran om förhandsavgörande (se avsnitt A). Dessutom har några deltagare i målet diskuterat frågan huruvida examinatorers eventuella rättelser utgör personuppgifter om examinanden (se avsnitt B). Och slutligen har i synnerhet kommissionen yttrat sig om villkoren för att begära tillgång till personuppgifter enligt uppgiftsskyddslagstiftningen (se avsnitt C).
A. Provet
17. Supreme Court (Högsta domstolen) har ställt de båda frågorna, vilka jag kommer att besvara tillsammans, för att få klarhet i huruvida ett skriftligt prov omfattas av definitionen av personuppgifter i artikel 2 a i dataskyddsdirektivet. Bakgrunden till frågan är att Peter Nowak, som var examinand vid provet i fråga, med åberopande av den rätt att få tillgång till uppgifter som stadgas i artikel 12 i dataskyddsdirektivet, begärde att få tillgång till sitt skriftliga prov och utan framgång lämnade ett klagomål till den dåvarande irländska dataskyddsombudsmannen.
1. Definitionen av personuppgifter
18. Tillämpningsområdet för dataskyddsdirektivet är mycket vidsträckt, och ett stort antal typer av personuppgifter omfattas av direktivet.(4) Enligt artikel 2 a utgör varje upplysning som avser en identifierad eller identifierbar fysisk person personuppgifter.
a) Klassificering av skriftliga prov
19. Irlands nuvarande dataskyddsombudsman anser att ett skriftligt prov, särskilt om kursmaterial och litteratur är tillåtna, inte innehåller personuppgifter. Denna uppfattning torde i regel avse lösningen av provuppgifter betraktade var för sig. Eftersom provuppgifter vanligtvis är abstrakt formulerade eller avser fiktiva omständigheter(5) bör svaret på uppgifterna inte avse upplysningar om identifierade eller identifierbara fysiska personer.
20. Även om frågorna från Supreme Court (Högsta domstolen) tycks avse endast lösningen, nämligen de ”uppgifter som har registrerats … av en examinand” skulle det inte vara meningsfullt att avbryta undersökningen på detta stadium.
21. Såsom nästan alla övriga deltagare i målet helt riktigt har anfört innehåller ett skriftligt prov nämligen inte bara information om lösningen av vissa uppgifter, utan de examinander som skriver provet kopplas samman med lösningen. Genom provet dokumenteras att personen har deltagit i ett visst prov och vilket resultat han eller hon har uppnått. Att resultaten är kopplade till en person visar sig för övrigt också genom att examinanderna som regel anger de viktigaste provresultaten i sina cv:n.
22. För att ett skriftligt prov ska anses utgöra personuppgifter saknar det betydelse huruvida examinanden själv ska författa svar eller välja vissa svar enligt flervalsmetoden eller, som i det aktuella fallet, får använda kursmaterial och litteratur (open book exam).
23. Resultatets koppling till examinanden förstärks visserligen i den mån han eller hon själv ska författa svaren. När en examinand själv producerar en lösning återger han eller hon inte endast inlärda uppgifter, utan det framgår också hur examinanden tänker och arbetar.
24. I samtliga fall syftar ett prov dock inte till att erhålla information som är oberoende av en person – till skillnad från exempelvis en representativ enkät. Det ska i stället fastställa och dokumentera en viss persons prestation, nämligen examinandens prestation. Varje prov syftar till att undersöka examinandens högst personliga och individuella prestation. Det är inte utan orsak som det är strängt förbjudet att fuska och använda andras prestationer i samband med prov.
25. Ett skriftligt prov utgör följaktligen information om examinanden och är såtillvida en samling personuppgifter.
26. Att denna bedömning är korrekt framgår för övrigt också av att examinander har ett berättigat intresse av att med stöd av skyddet för privatlivet kunna motsätta sig att deras prov behandlas utanför prövningsförfarandet. Examinander måste nämligen inte finna sig i att deras prov lämnas ut till tredje man eller ens publiceras utan deras medgivande.
27. Till skillnad från vad Irlands dataskyddsombudsman har gjort gällande består personuppgifterna i ett skriftligt prov inte endast av resultatet på provet, uppnått betyg eller poäng som har tilldelats för vissa delar av provet. Dessa värden sammanfattar bara provprestationen, som är dokumenterad i detalj i själva provet.
28. Bedömningen att ett skriftligt prov klassificeras som personuppgifter ändras inte om ett identifikationsnummer eller en streckkod anges på provet i stället för examinandens namn. Enligt artikel 2 a i dataskyddsdirektivet räcker det nämligen att den berörda personen kan identifieras åtminstone indirekt för att det ska vara fråga om personuppgifter.(6) Och åtminstone om examinanden begär att få ut provet från den organisation som har anordnat provet kan denna identifiera vederbörande med hjälp av identifikationsnumret.
b) Handstilens betydelse
29. Peter Nowak, Polen och Tjeckien anser också helt riktigt att handskrivna svar innehåller ytterligare information om examinanderna, nämligen om deras handstil. Ett prov som skrivs för hand utgör därmed i praktiken ett handstilsprov som åtminstone potentiellt kan åberopas som bevis vid en senare tidpunkt för att undersöka om en annan text också har författats med examinandens handstil. Det kan alltså ge information om examinandens identitet.
30. Frågan huruvida ett sådant handstilsprov otvetydigt kan identifiera skribenten kan inte spela någon roll för klassifikationen som personuppgifter. Det finns nämligen många andra personuppgifter som isolerade inte gör det möjligt att identifiera personer otvetydigt. Det är därför inte heller nödvändigt att bestämma om handstilen ska anses utgöra en biometrisk uppgift.
2. Syftet med rätten att få tillgång till uppgifter
31. Till skillnad från Irlands uppfattning talar inte heller det syfte med rätten att få tillgång till personuppgifter som anges i skäl 41 i dataskyddsdirektivet mot en sådan klassificering av ett skriftligt prov. Enligt detta måste alla kunna utöva sin rätt att få tillgång till uppgifter som rör dem och som är föremål för behandling, för att i detalj kunna försäkra sig om att uppgifterna är korrekta och om att behandlingen är tillåten. Irland befarar att examinanden med stöd av detta och den rätt till rättelse som anges i artikel 12 b kräver att felaktiga provsvar korrigeras.
a) Ändamålsorienterad tolkning av begreppet personuppgifter
32. Jag vill till att börja med erinra om att det i det aktuella fallet bara i andra hand är fråga om rätten att få tillgång till personuppgifter. Det är i första hand fråga om tolkningen av begreppet personuppgifter. Såsom kommissionen helt riktigt förklarade vid den muntliga förhandlingen har många andra krav i dataskyddsdirektivet anknytning till detta begrepp. I artikel 6.1 a krävs det till exempel att personuppgifter behandlas på ett korrekt och lagligt sätt, och i artikel 6.1 b föreskrivs att personuppgifter ska samlas in för bestämda ändamål.
33. I förevarande mål är det av särskilt intresse att tillsynsmyndigheterna enligt artikel 8.3 i stadgan om de grundläggande rättigheterna, artikel 16.2 FEUF och artikel 28 i dataskyddsdirektivet ska genomföra en fullständigt oberoende utredning av huruvida de unionsrättsliga bestämmelserna om skydd för fysiska personer med avseende på behandling av personuppgifter iakttas.(7) I detta sammanhang ger artikel 8.1 och 8.3 i stadgan och artikel 28.4 i dataskyddsdirektivet de personer som uppgifterna i fråga avser rätt att lämna in en begäran till de nationella tillsynsmyndigheterna för att tillvarata sina grundläggande rättigheter.(8)
34. Frågan huruvida information ska klassificeras som personuppgifter kan därför inte avgöras av om det finns specifika bestämmelser om tillgång till denna information som eventuellt skulle kunna gälla vid sidan om rätten att få tillgång till uppgifter eller skulle kunna gälla i stället. Och inte heller problem i samband med en rätt till rättelse kan vara utslagsgivande för att fastslå att personuppgifter föreligger. Om vederbörlig hänsyn tas till dessa faktorer kan vissa personuppgifter nämligen uteslutas ur dataskyddsdirektivets skyddssystem som helhet, trots att de bestämmelser som i stället är tillämpliga inte garanterar ett likvärdigt, utan på sin höjd ett fragmentariskt skydd.
b) Rättelse av uppgifter
35. Om man emellertid koncentrerar sig på rätten att få tillgång till uppgifter och frågan om rättelse, ska det erkännas att denna rätt beträffande ett skriftligt prov uppenbarligen inte får utnyttjas för att, när tillgång har getts till uppgifterna, med stöd av artikel 12 b i dataskyddsdirektivet kräva att innehållet i provet, det vill säga den lösning som examinanden har skrivit ned, rättas.(9) Såsom Polen helt riktigt har understrukit ska det nämligen bedömas i enlighet med artikel 6.1 d huruvida personuppgifter är korrekta och fullständiga med hänsyn till det syfte för vilket uppgifterna har samlats in och behandlas. Ett skriftligt prov har till syfte att fastställa examinandens kunskaper och färdigheter vid tidpunkten för provet, vilket visar sig just genom provprestationen och särskilt genom felen på provet. Fel i lösningen betyder därför inte att de personuppgifter som provet utgör är felaktiga.
36. En rättelse skulle dock komma i fråga om det visade sig att provet dokumenterade personens provprestation på ett felaktigt sätt eller ofullständigt. Ett sådant fall skulle till exempel föreligga om – vilket Grekland har påpekat – en annan examinands prov har kopplats till den berörda personen, vilket bland annat skulle kunna bevisas med hjälp av handstilen, eller om delar av provet har gått förlorade.
37. Det kan för övrigt inte uteslutas att en examinand senare har ett berättigat intresse av att de personuppgifter som provet utgörs av utplånas i enlighet med artikel 12 b i dataskyddsdirektivet, det vill säga att provet förstörs. Man skulle kunna utgå från att ett sådant intresse skulle föreligga som senast när provet har förlorat sitt bevisvärde i samband med en kontroll av provresultatet, eftersom tidsfrister har löpt ut. Ett villkor också för denna rätt att få provet utplånat är att det erkänns att provet utgör personuppgifter.
38. Slutligen är rättelse och andra anspråk enligt artikel 12 b i dataskyddsdirektivet, blockering och utplåning, inte det enda syftet med rätten till tillgång till uppgifter.
39. I skäl 41 beskrivs visserligen syftet med tillgången till uppgifter på så sätt att den berörda personen ska kunna övertyga sig om att uppgifterna är korrekta och att det är tillåtet att behandla dem. Genom att använda en motsvarighet till ordet ”särskilt” i de flesta språkversionerna(10) har lagstiftaren emellertid redan visat att syftet är mer omfattande. Också oberoende av om uppgifter rättas, utplånas eller blockeras har de berörda personerna nämligen i regel ett berättigat intresse av att få veta vilka uppgifter om dem som den registeransvarige behandlar.
40. Det är visserligen riktigt att examinandens behov av information till att börja med torde vara mycket begränsat när det gäller ett prov. Vederbörande torde i regel minnas sina svar ganska väl och också räkna med att provorganisationen arkiverar provet.
41. Några år senare torde examinanden inte längre minnas provet alls lika tydligt, varför det torde finnas ett faktiskt behov av information i samband med en begäran om upplysningar – oberoende av anledningen till behovet. Med tiden ökar dessutom osäkerheten om huruvida provet fortfarande arkiveras – särskilt efter det att eventuella tidsfrister för överklagande och omprövning har löpt ut. I en sådan situation måste examinanden åtminstone kunna få veta om provet ännu finns kvar. Ett villkor också för en sådan begäran är att det erkänns att provet utgör examinandens personuppgifter.
c) Missbruk av rätten till upplysningar
42. Jag ska dessutom behandla frågan om missbruk av rättigheterna enligt dataskyddslagstiftningen, eftersom Irlands dataskyddsombudsman klassificerade Peter Nowaks överklagande som missbruk och Republiken Tjecken har bedömt det som missbruk i detta förfarande. Denna kritik tycks avse den omständigheten att Peter Nowak inte utnyttjade förfarandet för att kontrollera provresultatet, utan gjorde gällande en rättighet enligt dataskyddslagstiftningen.
43. Det stämmer i detta avseende att det inte är tillåtet att åberopa bestämmelser i unionsrätten när det är fråga om missbruk eller bedrägeri.(11)
44. Ett objektivt och ett subjektivt rekvisit ska vara uppfyllt för att det ska anses föreligga ett förfarande som utgör missbruk. Vad gäller det objektiva rekvisitet ska det föreligga vissa objektiva förhållanden av vilka det sammantaget framgår att målsättningen med de berörda unionsbestämmelserna inte har uppnåtts, trots att de villkor som uppställs i dessa bestämmelser formellt sett har uppfyllts. För att det ska anses vara fråga om ett förfarande som utgör missbruk krävs även att ett subjektivt rekvisit är uppfyllt i den meningen att det ska föreligga vissa objektiva förhållanden av vilka det framgår att de ifrågavarande transaktionernas huvudsakliga syfte varit att uppnå en otillbörlig fördel. Förbudet mot förfaranden som utgör missbruk är nämligen inte relevant när det kan finnas en annan motivering för transaktionerna än att uppnå en (oberättigad) fördel.(12)
45. Om skriftliga prov utgjorde personuppgifter skulle målet med dataskyddsdirektivet inte ha uppnåtts enligt dataskyddsombudsmannens och Irlands argument, eftersom en rätt att få tillgång till uppgifter enligt dataskyddslagstiftningen skulle göra det möjligt att kringgå bestämmelser om prövningsförfarandet och överklagande av bedömningen av provet.
46. Om det görs gällande att förfarandet för prövning och överklagande av provresultat har kringgåtts genom rätten att få tillgång till uppgifter enligt dataskyddslagstiftningen, ska detta emellertid bemötas med hjälp av bestämmelserna i dataskyddsdirektivet. Jag tänker i detta avseende särskilt på artikel 13 enligt vilken det, för att skydda vissa där angivna intressen, är tillåtet att införa undantag från rätten att få tillgång till uppgifter.
47. Om dessa skäl i vissa situationer, som kanske i samband med prov, inte motiverar undantag, ska det erkännas att lagstiftaren prioriterade kraven enligt dataskyddslagstiftningen, vilka utgår från de grundläggande rättigheterna, framför andra konkret berörda intressen.
48. Det ska dock påpekas att detta spänningsförhållande är mindre tydligt i den allmänna dataskyddsförordningen som ska gälla i framtiden: dels får rätten att få en kopia av personuppgifter enligt artikel 15.4 i förordningen inte kränka andra personers rättigheter och friheter, dels är skälen för att begränsa skyddet enligt dataskyddslagstiftningen något mer omfattande i artikel 23 i förordningen än i artikel 13 i direktivet, eftersom särskilt andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse enligt artikel 23.1 e i förordningen kan motivera begränsningar.
49. Däremot räcker inte enbart existensen av andra nationella bestämmelser som också avser upplysningar om skriftliga prov för att man ska kunna utgå från att syftet med direktivet inte är uppfyllt.
50. Men även om man skulle anse att syftet inte har uppnåtts framgår det inte vilken den oberättigade fördelen skulle vara, om en examinand fick tillgång till sitt prov med stöd av rätten att få tillgång till uppgifter. Det kan i synnerhet inte vara fråga om missbruk när man får upplysningar med stöd av rätten att få tillgång till uppgifter som man annars inte hade haft tillgång till. Om det redan var möjligt att få tillgång till personuppgifter hade det inte varit nödvändigt att införa rätten att få tillgång till uppgifter enligt dataskyddslagstiftningen. Syftet med rätten att få tillgång till uppgifter enligt dataskyddslagstiftningen är snarare att göra det möjligt för de berörda personerna att – med förbehåll för undantagen i artikel 13 i dataskyddsdirektivet – få tillgång till sina egna uppgifter, om annars ingen rätt att få tillgång till uppgifterna föreligger.
3. Slutsats i denna del
51. Det kan sammanfattningsvis konstateras att ett prov som har skrivits för hand och som kan kopplas till en examinand utgör personuppgifter i den mening som avses i artikel 2 a i dataskyddsdirektivet.
B. Examinatorns eventuella rättelser i provet
52. Några av deltagarna, och särskilt Peter Nowak, har tagit upp frågan huruvida examinatorns eventuella rättelser i provet också utgör personuppgifter om examinanden.
53. Det är emellertid inte nödvändigt att besvara ovanstående fråga för att avgöra det nationella målet, eftersom detta inte avser frågan huruvida examinatorns eventuella rättelser utgör uppgifter om Peter Nowak. Föremålet för förfarandet är i stället huruvida den dåvarande irländska dataskyddsombudsmannen fick avvisa Peter Nowaks klagomål med motiveringen att provet från början inte utgjorde personuppgifter. Huruvida examinatorns rättelser också ska anses som uppgifter om examinanden ska inte Supreme Court (Högsta domstolen), utan – om talan bifalls – i första hand den nuvarande irländska dataskyddsombudsmannen avgöra. Jag ska ändå behandla detta för den händelse EU-domstolen ändå tar upp denna aspekt.
54. Till skillnad från det skriftliga provet som helhet är det, när det gäller examinatorns rättelser, svårt att tänka sig en rätt till rättelse, utplåning eller blockering av felaktiga uppgifter enligt dataskyddslagstiftningen. Det verkar nämligen uteslutet att kommentarer i provet faktiskt avser ett annat prov eller inte återger examinatorns uppfattning. Det är nämligen exakt denna uppfattning som rättelserna ska dokumentera. Enligt dataskyddsdirektivet skulle de därför inte heller vara felaktiga och behöva korrigeras om den bedömning som dokumenterats i examinatorns rättelser inte var motiverad objektivt sett.
55. Eventuella invändningar mot rättelserna skulle därför behandlas i samband med ett klagomål på bedömningen av provet.
56. Man skulle dock kunna tänka sig att den rätt till utplåning som har nämnts ovan beträffande provet också inbegriper examinatorns rättelser.
57. Ändå skulle en rätt att få tillgång till uppgifter när det gäller examinatorns rättelser i första hand ha till syfte att informera examinanden om bedömningen av vissa delar av provet.
58. Förevarande mål liknar såtillvida ett mål där EU-domstolen fann att rätten att få tillgång till uppgifter inte skulle utvidgas till att omfatta ett utkast till en rättslig analys av en asylansökan, eftersom detta inte uppfyllde dataskyddsdirektivets mål, utan målet att garantera sökanden tillgång till administrativa handlingar.(13) I det aktuella fallet skulle man kunna utgå från att tillgång till upplysningar om bedömningen av ett skriftligt prov i första hand skulle ges i samband med prövningsförfarandet eller ett speciellt förfarande för att klaga på bedömningar av prov, och inte med stöd av dataskyddslagstiftningen. Och då prövningsförfarandet inte omfattas av unionsrätten, regleras en eventuell rätt till upplysningar i detta sammanhang endast i nationell rätt.
59. I den nämnda domen fastslog EU-domstolen dessutom att en sådan rättslig analys inte utgör en upplysning om den som ansöker om uppehållstillstånd, utan på sin höjd en upplysning om den behöriga myndighetens bedömning och tillämpning av gällande rätt i sökandens fall.(14) Vid en första anblick skulle man också kunna tillämpa denna bedömning på examinatorns rättelser. De skulle därför bara visa hur examinatorn bedömer svaren.
60. Det är i själva verket alls inte nödvändigt att en examinator vet vem som har skrivit svaren när han eller hon rättar provet. Tvärtom fästs det, så som i det nationella målet, i många skriftliga prövningsförfaranden stor vikt vid att examinatorerna inte känner till examinandernas identitet för att undvika intressekonflikter eller partiskhet. Deras rättelser har då till att börja med ingen anknytning till examinanden – vilket väl också var fallet med det omtvistade provet.
61. Ändå har dessa rättelser till syfte att bedöma provprestationen och har såtillvida indirekt anknytning till examinanden. Den organisation som anordnar provet kan också utan problem identifiera examinanden och koppla vederbörande till examinatorns rättelser så snart som den får tillbaka det rättade provet från examinatorn.
62. Såsom Österrike dessutom har förklarat kan kommentarerna i provet – till skillnad från exempelvis ett kortfattat utlåtande om provet – i normala fall inte skiljas från provet, eftersom de inte skulle ha något värde för bedömningen om de saknades. Själva provet utgör emellertid personuppgifter om examinanden, vilket har förklarats ovan. Och uppgifterna samlas in och behandlas just för att möjliggöra en bedömning av examinandens prestation genom examinatorns rättelser.
63. Redan på grund av denna nära koppling mellan provet och examinatorns rättelser i detta utgör också dessa rättelser personuppgifter om examinanden enligt artikel 2 a i dataskyddsdirektivet.
64. Möjligheten att kringgå besvärsförfarandet för prövningar är däremot inte ett skäl för att utesluta att dataskyddslagstiftningen tillämpas. Den omständigheten att det eventuellt samtidigt finns ytterligare bestämmelser om tillgång till vissa uppgifter kan inte väga tyngre än dataskyddslagstiftningen. Det skulle på sin höjd vara möjligt att upplysa de berörda personerna om den rätt att få tillgång till upplysningar som samtidigt gäller, så länge som den kan åberopas på ett effektivt sätt.
65. Jag vill för fullständighetens skull påpeka att examinatorernas rättelser samtidigt utgör examinatorernas personuppgifter. Deras rättigheter kan i princip motivera inskränkningar i rätten att få tillgång till uppgifter enligt artikel 13.1 g i dataskyddsdirektivet, om de väger tyngre än examinandens berättigade intressen. En definitiv lösning på denna potentiella intressekonflikt torde dock i regel vara att det rättade provet förstörs så snart som det inte är möjligt att i efterhand kontrollera prövningsförfarandet på grund av att viss tid har förflutit.
C. Övriga villkor för att tillämpa dataskyddsdirektivet
66. Kommissionen har gjort en riktig bedömning när den påpekat att tillämpningen av dataskyddsdirektivet och rätten att få tillgång till uppgifter omfattas av ytterligare villkor, utöver att det ska finnas personuppgifter, och också gör det möjligt att begränsa rätten att få tillgång till uppgifter.
67. Det har dock inte ställts frågor om dessa ytterligare villkor och möjliga begränsningar, varför EU-domstolen inte behöver gå in på detta. Det tycks inte heller vara nödvändigt att undersöka detta för att Supreme Court (Högsta domstolen) ska kunna avgöra huruvida den dåvarande irländska dataskyddsombudsmannen gjorde rätt när denna vägrade pröva Peter Nowaks klagomål ytterligare.
68. Om EU-domstolen ändå vill yttra sig om dessa frågor är vid en första anblick särskilt artikel 3.1 i dataskyddsdirektivet av intresse. Där anges att direktivet bara gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
69. Det tycks som om det inte var nödvändigt att behandla Peter Nowaks prov på automatisk väg, till exempel genom att läsa in det i ett elektroniskt databehandlingssystem och spara det. Man kan ändå utgå från att det åtminstone finns i ett ”register”. Ett register måste nämligen enligt artikel 2 c i dataskyddsdirektivet inte nödvändigtvis vara lagrat i ett elektroniskt databehandlingssystem. Begreppet omfattar snarare varje strukturerad samling personuppgifter som är tillgänglig enligt vissa kriterier. En fysisk samling prov på papper, som har sorterats i alfabetisk ordning eller enligt andra kriterier, uppfyller redan dessa krav.
V. Förslag till avgörande
70. Jag föreslår därför att EU-domstolen besvarar tolkningsfrågorna enligt följande:
Ett prov som har skrivits för hand och som kan kopplas till en examinand utgör tillsammans med en examinators eventuella rättelser personuppgifter i den mening som avses i artikel 2 a i direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.