Language of document : ECLI:EU:C:2024:216

DOMSTOLENS DOM (sjätte avdelningen)

den 7 mars 2024 (*)

”Begäran om förhandsavgörande – Skydd av personuppgifter – Förordning (EU) 2016/679 – Artiklarna 2, 4, 6, 10 och 86 – Uppgifter som innehas av en domstol och som rör fällande domar i brottmål mot en fysisk person – Muntligt utlämnande av sådana uppgifter till ett bolag på grund av ett uttagningsprov som anordnats av detta bolag – Begreppet behandling av personuppgifter – Nationell lagstiftning som reglerar tillgången till dessa uppgifter – Sammanjämkning av allmänhetens rätt att få tillgång till allmänna handlingar med skyddet av personuppgifter”

I mål C‑740/22,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Östra Finlands hovrätt (Finland) genom beslut av den 30 november 2022, som inkom till domstolen den 2 december 2022, i målet

Endemol Shine Finland Oy

meddelar

DOMSTOLEN (sjätte avdelningen)

sammansatt av avdelningsordföranden T. von Danwitz (referent) samt domarna P.G. Xuereb och I. Ziemele,

generaladvokat: T. Ćapeta,

justitiesekreterare: A. Calot Escobar,

efter det skriftliga förfarandet,

med beaktande av de yttranden som avgetts av:

–        Finlands regering, genom A. Laine och M. Pere, båda i egenskap av ombud,

–        Portugals regering, genom P. Barros da Costa, J. Ramos och C. Vieira Guerra, samtliga i egenskap av ombud,

–        Europeiska kommissionen, genom A. Bouchagiar, H. Kranenborg och I. Söderlund, samtliga i egenskap av ombud,

med hänsyn till beslutet, efter att ha hört generaladvokaten, att avgöra målet utan förslag till avgörande,

följande

Dom

1        Begäran om förhandsavgörande avser tolkningen av artiklarna 2.1, 4 led 2 och 86 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 137, 2018, s. 2) (nedan kallad dataskyddsförordningen).

2        Begäran har framställts i ett mål angående en nationell domstols vägran att lämna ut uppgifter om fällande domar i brottmål avseende en tredje part till Endemol Shine Finland Oy.

 Tillämpliga bestämmelser

 Unionsrätt

3        Skälen 4, 10, 11, 15, 19 och 154 i dataskyddsförordningen har följande lydelse:

”(4)      Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Denna förordning respekterar alla grundläggande rättigheter och iakttar de friheter och principer som erkänns i [Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan)], såsom de fastställts i fördragen, särskilt skydd för privat- och familjeliv, … skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till ett effektivt rättsmedel och en opartisk domstol …

(10)      För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom [Europeiska] unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. Vad gäller behandlingen av personuppgifter för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige, bör medlemsstaterna tillåtas att behålla eller införa nationella bestämmelser för att närmare fastställa hur bestämmelserna i denna förordning ska tillämpas. Jämte den allmänna och övergripande lagstiftning om dataskydd varigenom [Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 1)] genomförs har medlemsstaterna flera sektorsspecifika lagar på områden som kräver mer specifika bestämmelser. Denna förordning ger dessutom medlemsstaterna handlingsutrymme att specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter (nedan kallade känsliga uppgifter). Denna förordning utesluter inte att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas, inbegripet mer exakta villkor för laglig behandling av personuppgifter.

(11)      Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och specificeras och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av personuppgifter klargörs, samt att det finns likvärdiga befogenheter för övervakning och att det säkerställs att reglerna för skyddet av personuppgifter efterlevs och att sanktionerna för överträdelser är likvärdiga i medlemsstaterna.

(15)      För att förhindra att det uppstår en allvarlig risk för att reglerna kringgås bör skyddet för fysiska personer vara teknikneutralt och inte vara beroende av den teknik som används. Skyddet för fysiska personer bör vara tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt särskilda kriterier, bör inte omfattas av denna förordning.

(19)      Skyddet för fysiska personer när det gäller behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och det fria flödet av sådana uppgifter, säkerställs på unionsnivå av en särskild unionsrättsakt. Därför bör denna förordning inte vara tillämplig på behandling av personuppgifter för dessa ändamål. Personuppgifter som myndigheter behandlar enligt denna förordning och som används för de ändamålen bör emellertid regleras genom en mer specifik unionsrättsakt, nämligen Europaparlamentets och rådets direktiv (EU) 2016/680 [av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89)]. Medlemsstaterna får anförtro behöriga myndigheter i den mening som avses i direktiv (EU) 2016/680 uppgifter som inte nödvändigtvis utförs för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, så att behandlingen av personuppgifter för dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas av tillämpningsområdet för denna förordning.

Vad gäller dessa behöriga myndigheters behandling av personuppgifter för ändamål som omfattas av tillämpningsområdet för denna förordning, bör medlemsstaterna kunna bibehålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning. I sådana bestämmelser får det fastställas mer specifika krav för dessa behöriga myndigheters behandling av personuppgifter för dessa andra ändamål, med beaktande av respektive medlemsstats konstitutionella, organisatoriska och administrativa struktur. När privata organs behandling av personuppgifter omfattas av tillämpningsområdet för denna förordning, bör denna förordning ge medlemsstaterna möjlighet att, under särskilda villkor, i lag begränsa vissa skyldigheter och rättigheter, om en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda särskilda viktiga intressen, däribland allmän säkerhet samt förebyggande, förhindrande, utredning, avslöjande och lagföring av brott eller verkställande av straffrättsliga påföljder eller skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten. Detta är exempelvis relevant i samband med bekämpning av penningtvätt eller verksamhet vid kriminaltekniska laboratorier.

(154)      Denna förordning gör det möjligt att vid tillämpningen av den ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar. Allmänhetens rätt att få tillgång till allmänna handlingar kan betraktas som ett allmänt intresse. Personuppgifter i handlingar som innehas av en myndighet eller ett offentligt organ bör kunna lämnas ut offentligt av denna myndighet eller detta organ, om utlämning stadgas i unionsrätten eller i medlemsstatens nationella rätt som är tillämplig på myndigheten eller det offentliga organet. Denna rätt bör sammanjämka allmänhetens rätt att få tillgång till allmänna handlingar och vidareutnyttjande av information från den offentliga sektorn med rätten till skydd av personuppgifter och får därför innehålla föreskrifter om den nödvändiga sammanjämkningen med rätten till skydd av personuppgifter enligt denna förordning. Hänvisningen till offentliga myndigheter och organ bör i detta sammanhang omfatta samtliga myndigheter eller andra organ som omfattas av medlemsstaternas nationella rätt om allmänhetens tillgång till handlingar. Europaparlamentets och rådets direktiv 2003/98/EG [av den 17 november 2003 om vidareutnyttjande av information från den offentliga sektorn (EUT L 345, 2003, s. 90)] ska inte på något sätt påverka skyddsnivån för fysiska personer med avseende på behandling av personuppgifter enligt bestämmelserna i unionsrätten och i medlemsstaternas nationella rätt och i synnerhet ändras inte de skyldigheter och rättigheter som anges i denna förordning genom det direktivet. I synnerhet ska direktivet inte vara tillämpligt på handlingar till vilka, med hänsyn till skyddet av personuppgifter, tillgång enligt tillgångsbestämmelserna är utesluten eller begränsad eller på delar av handlingar som är tillgängliga enligt dessa bestämmelser men som innehåller personuppgifter vilkas vidareutnyttjande i lag har fastställts som oförenligt med lagstiftningen om skydd för fysiska personer vid behandling av personuppgifter.”

4        I artikel 2 i dataskyddsförordningen, vars rubrik lyder ”Materiellt tillämpningsområde”, stadgas följande:

”1.      Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.      Denna förordning ska inte tillämpas på behandling av personuppgifter som

a)      utgör ett led i en verksamhet som inte omfattas av unionsrätten,

b)      medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i [EU-fördraget],

c)      en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll,

d)      behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.

3.      [Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 2001, s. 1)] är tillämplig på den behandling av personuppgifter som sker i EU:s institutioner, organ och byråer. Förordning (EG) nr 45/2001 och de av unionens övriga rättsakter som är tillämpliga på sådan behandling av personuppgifter ska anpassas till principerna och bestämmelserna i denna förordning i enlighet med artikel 98.

4.      Denna förordning påverkar inte tillämpningen av [Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (”Direktiv om elektronisk handel”) (EGT L 178, 2000, s. 1)]. särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet.”

5        Artikel 4 i dataskyddsförordningen har rubriken ”Definitioner”. I leden 1, 2, 6 och 7 i den artikeln föreskrivs följande:

”I denna förordning avses med

1)      personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer, eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,

2)      behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

6)      register: [varje] strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,

7)      personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlems staternas nationella rätt”.

6        Artikel 5 i dataskyddförordningen, med rubriken ”Principer för behandling av personuppgifter”, har följande lydelse:

”1.      Vid behandling av personuppgifter ska följande gälla:

a)      Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b)      De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. …. (ändamålsbegränsning)

c)      De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

d)      de ska vara riktiga och, om nödvändigt, uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet).

e)      De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. … (lagringsminimering).

f)      De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

…”

7        Artikel 6 i nämnda förordning har rubriken ”Laglig behandling av personuppgifter”. I punkterna 1–3 i den artikeln föreskrivs följande:

”1.      Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)      Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b)      Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)      Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d)      Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e)      Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f)      Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

2.      Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.

3.      Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

a)      unionsrätten, eller

b)      en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.”

8        I artikel 10 i dataskyddsförordningen, vars rubrik lyder ”Behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott”, stadgas följande:

”Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.”

9        Artikel 23 i denna förordning, med rubriken ”Begränsningar”, har följande lydelse:

”1.      Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa

f)      skydd av rättsväsendets oberoende och rättsliga åtgärder,

…”

10      Artikel 85 i dataskyddsförordningen har rubriken ”Behandling och yttrande- och informationsfriheten” och innehåller i punkt 1 följande bestämmelse:

”Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.”

11      I artikel 86 i dataskyddsförordningen., med rubriken ”Behandling och allmänhetens tillgång till allmänna handlingar”, föreskrivs följande:

”Personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med denna förordning.”

 Finsk rätt

 Dataskyddslag (1050/2018)

12      I 1 § dataskyddslagen (1050/2018) föreskrivs följande:

”Genom denna lag preciseras och kompletteras [dataskyddsförordningen] och dess nationella tillämpning.”

13      28 § i denna lag har följande lydelse:

”På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister tillämpas vad som föreskrivs om offentlighet i myndigheternas verksamhet.”

 Lag om offentlighet i myndigheternas verksamhet (621/1999)

14      I 13 § lagen om offentlighet i myndigheternas verksamhet (621/1999) föreskrivs följande:

”En begäran om att få ta del av innehållet i en myndighetshandling skall individualiseras tillräckligt noggrant så att myndigheten skall kunna utreda vilken handling den avser. Den som begär en handling skall med diarier och andra register bistås vid individualiseringen av de handlingar som han önskar ta del av. Den som begär en handling behöver inte utreda sin identitet eller motivera sin begäran, om inte detta behövs för att myndigheten skall kunna utöva sin prövningsrätt eller kunna utreda om han eller hon har rätt att ta del av handlingens innehåll.

När begäran avser en sekretessbelagd handling, en uppgift ur ett personregister som förs av en myndighet eller någon annan handling ur vilken en uppgift kan lämnas ut endast under vissa förutsättningar, skall, om inte något annat särskilt bestäms, den som begär att få ta del av en handling meddela för vilket ändamål uppgifterna skall användas, lämna upplysningar om övriga omständigheter som myndigheten behöver för att kunna utreda förutsättningarna för utlämnande av uppgifter samt vid behov meddela hur uppgifterna kommer att skyddas.”

15      I 16 § i denna lag föreskrivs följande:

”Uppgifter kan lämnas ut ur en myndighetshandling muntligen eller så att handlingen läggs fram för påseende och kopiering eller får avlyssnas hos myndigheten eller så att en kopia eller en utskrift av den lämnas ut. Uppgifter om det offentliga innehållet i en handling skall lämnas ut på det sätt som begärts, om inte detta medför oskälig olägenhet för tjänsteverksamheten på grund av att antalet handlingar är stort, kopiering svår att genomföra eller någon annan därmed jämförbar orsak.

Personuppgifter ur en myndighets personregister får, om inte något annat särskilt bestäms i lag, lämnas ut i form av en kopia eller en utskrift eller i elektronisk form om mottagaren enligt bestämmelserna om skydd för personuppgifter har rätt att registrera och använda sådana personuppgifter. För direktmarknadsföring och för opinions- eller marknadsundersökningar får personuppgifter dock lämnas ut endast om det särskilt föreskrivs eller om den registrerade har samtyckt till detta.

…”

 Lag om offentlighet vid rättegång i allmänna domstolar (370/2007)

16      I 1 § lagen om offentlighet vid rättegång i allmänna domstolar (370/2007) föreskrivs följande:

”Rättegången och rättegångshandlingar är offentliga, om inte något annat föreskrivs i denna lag eller i någon annan lag.”

 Lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018)

17      Enligt 1 § 1 momentet i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, (1054/2018) ska denna lag tillämpas vid sådan behandling av personuppgifter som utförs av behöriga myndigheter när det är fråga om, bland annat, handläggning av brottmål i domstol. Enligt 1 § 4 momentet ska denna lag dock endast tillämpas på sådan behandling av personuppgifter som avses i 1 momentet som är helt eller delvis automatiserad eller där de uppgifter som behandlas utgör eller är avsedda att utgöra ett register eller en del av ett sådant.

18      I 2 § 2 momentet i samma lag anges följande:

”På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister tillämpas vad som föreskrivs om offentlighet i myndigheternas verksamhet.”

 Målet vid den nationella domstolen och tolkningsfrågorna

19      Endemol Shine Finland Oy, klaganden i det nationella målet, begärde muntligen att Södra Savolax tingsrätt (Finland) skulle lämna upplysningar om eventuella fällande domar i pågående eller redan avslutade brottmål avseende en fysisk person som deltog i ett uttagningsprov som anordnats av detta bolag, i syfte att fastställa huruvida denna person hade ett brottsligt förflutet.

20      Södra Savolax tingsrätt ogillade klagandens talan samtidigt som den fann att ansökan avsåg offentliga beslut eller upplysningar i den mening som avses i lagen om offentlighet vid rättegång i allmänna domstolar. Enligt nämnda tingsrätt motsvarades det skäl som åberopats av klaganden i det nationella målet inte av något av de skäl avseende behandling av fällande domar i brottmål eller lagöverträdelser som innefattar brott vilka anges i 7 § dataskyddslagen. Även en sökning i denna tingsrätts informationssystem hade utgjort en behandling av personuppgifter, vilket innebar att de begärda uppgifterna inte heller kunde lämnas ut muntligen.

21      Klaganden i det nationella målet överklagade denna dom till Östra Finlands hovrätt, som är den hänskjutande domstolen, och gjorde gällande att det muntliga utlämnandet av de begärda uppgifterna inte utgör en behandling av personuppgifter i den mening som avses i artikel 4 led2 i dataskyddsförordningen.

22      Den hänskjutande domstolen vill få klarhet i huruvida artiklarna 2.1 och 4 led 2 i dataskyddsförordningen ska tolkas så, att muntligt utlämnande av uppgifter om eventuella fällande domar i pågående eller avslutade brottmål mot en fysisk person utgör behandling av personuppgifter i den mening som avses i förordningen. Härvidlag har den hänskjutande domstolen påpekat att de finländska myndigheternas behandling av personuppgifter regleras i dataskyddslagen. De begränsningar som normalt är knutna till behandling av sådana uppgifter är emellertid inte tillämpliga, inte bara på grund av den offentliga karaktären av de uppgifter som innehas av dessa myndigheter, utan även på grund av 28 § i denna lag och 2 § 2 momentet i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018).

23      För att sammanjämka skyddet av personuppgifter med allmänhetens rätt att få tillgång till information begränsar 16 § lagen om offentlighet i myndigheternas verksamhet (621/1999) utlämnandet av personuppgifter ur en myndighets personregister, vilket kan ske i form av en kopia eller en utskrift eller i elektronisk form. Eftersom nämnda paragraf inte omfattar situationen att personuppgifter ur en myndighets personregister lämnas ut muntligen finns det anledning att fråga sig hur en sådan sammanjämkning ska säkerställas då samtidigt viktiga aspekter i samband med skyddet av personuppgifter ska beaktas när personuppgifter som finns i en myndighets personregister lämnas ut muntligen.

24      Mot denna bakgrund beslutade Östra Finlands hovrätt (Finland) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

”1)      Utgör en muntlig överföring av personuppgifter en behandling av personuppgifter i den mening som avses i artikel 2.1 jämförd med artikel 4 led 2 i [dataskyddsförordningen]?

2)      Kan allmänhetens rätt att få tillgång till allmänna handlingar jämkas samman med rätten till skydd av personuppgifter i enlighet med artikel 86 i [dataskyddsförordningen] genom att ge obegränsad tillgång till uppgifter om fällande domar i brottmål samt överträdelser som rör en fysisk person från en domstols personregister, när syftet med begäran är att uppgifterna ska överföras till sökanden muntligen?

3)      Har det betydelse för svaret på fråga 2 om sökanden är ett bolag eller en privatperson?”

 Prövning av tolkningsfrågorna

 Den första frågan

25      Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 2.1 jämförd med artikel 4 led 2 i den allmänna dataskyddsförordningen ska tolkas så, att muntligt utlämnande av uppgifter om eventuella fällande domar i pågående eller avslutade brottmål mot en fysisk person utgör behandling av personuppgifter i den mening som avses i artikel 4 led 2 i förordningen, och om så är fallet, huruvida denna behandling omfattas av det materiella tillämpningsområdet för förordningen, såsom detta definieras i artikel 2.1 däri.

26      Domstolen erinrar inledningsvis om att enligt fast rättspraxis ska vid tolkningen av en unionsbestämmelse inte bara lydelsen beaktas, utan också sammanhanget och de mål som eftersträvas med de föreskrifter som bestämmelsen ingår i (dom av den 12 januari 2023, Österreichische Post (Information om mottagarna av personuppgifter), C‑154/21, EU:C:2023:3, punkt 29).

27      Det ska vidare understrykas att det i det nationella målet inte har bestritts att de uppgifter som klaganden i det nationella målet har begärt ska lämnas ut utgör personuppgifter i den mening som avses i artikel 4.1 i dataskyddsförordningen.

28      I artikel 4 led 2 i dataskyddsförordningen definieras ”behandling” som ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej”.

29      Det framgår bland annat av uttrycket ”en åtgärd” att unionslagstiftaren har haft för avsikt att ge begreppet ”behandling” en vid innebörd, en tolkning som stöds av den omständigheten att uppräkningen av åtgärder i nämnda bestämmelse inte är uttömmande, vilket framgår av uttrycket ”såsom” (se, för ett liknande resonemang, dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål), C‑175/20, EU:C:2022:124, punkt 35, och dom av den 22 juni 2023, Pankki S, C‑579/21, EU:C:2023:501, punkt 46).

30      Uppräkningen omfattar bland annat utlämning genom överföring, spridning och ”tillhandahållande på annat sätt”, och dessa åtgärder kan utföras automatiserat eller ej. Härvidlag uppställs i artikel 4 led2 i dataskyddsförordningen inte något villkor vad gäller formen för den ”icke-automatiska” behandlingen. Begreppet behandling inbegriper följaktligen muntligt utlämnande.

31      Denna tolkning av begreppet behandling stöds av dataskyddsförordningens syfte, vilket, såsom framgår av artikel 1 samt skälen 1 och 10, bland annat består i att säkerställa en hög skyddsnivå av fysiska personers grundläggande fri- och rättigheter, i synnerhet rätten till skydd för privat- och familjelivet med avseende på behandling av personuppgifter, vilken är stadfäst i artikel 8.1 i stadgan och i artikel 16.1 FEUF (se, för ett liknande resonemang, dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda), C‑60/22, EU:C:2023:373, punkt 64). Det är nämligen uppenbart att en möjlighet att kringgå tillämpningen av denna förordning genom att lämna ut personuppgifter muntligen i stället för att lämna ut dem skriftligen skulle strida mot detta syfte.

32      Under dessa omständigheter omfattar begreppet behandling i artikel 4 led 2 i dataskyddsförordningen nödvändigtvis muntligt utlämnande av personuppgifter.

33      Frågan kvarstår emellertid om en sådan behandling omfattas av dataskyddsförordningens materiella tillämpningsområde. I artikel 2 i förordningen, i vilken tillämpningsområdet fastställs, föreskrivs i punkt 1 att förordningen ska vara tillämplig på sådan behandling av personuppgifter ”som helt eller delvis företas på automatisk väg” samt på ”annan behandling än automatisk av sådana personuppgifter som ingår i eller kommer att ingå i ett register”.

34      Det framgår av ordalydelsen i den sistnämnda bestämmelsen och av skäl 15 i dataskyddsförordningen att förordningen omfattar både automatisk behandling av personuppgifter och manuell behandling av sådana uppgifter, detta för att göra skyddet för personer vars uppgifter behandlas oberoende av de metoder som används och för att undvika allvarliga risker för att detta skydd kringgås. Av nämnda förordning framgår emellertid även att den endast är tillämplig på manuell behandling av personuppgifter om de uppgifter som behandlas ”ingår i eller kommer att ingå i ett register” (se, analogt, dom av den 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 53).

35      Eftersom ett muntligt utlämnande i sig utgör en annan behandling än automatisk, måste de uppgifter som är föremål för denna behandling således vara sådana som ”ingår” eller ”kommer att ingå” i ett ”register” för att behandlingen ska omfattas av dataskyddsförordningens materiella tillämpningsområde.

36      Vad gäller begreppet ”register” anges i artikel 4 led 6 i dataskyddsförordningen att det omfattar ”en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden”.

37      Härvidlag har domstolen redan slagit fast att med hänsyn till det mål som anges i punkt 34 ovan står det klart att denna bestämmelse ger en vid definition av begreppet ”register”, särskilt eftersom det anges att den omfattar ”[varje]” strukturerad samling av personuppgifter. Vidare syftar kravet att samlingen av personuppgifter måste vara ”[strukturerad] enligt särskilda kriterier” endast till att göra uppgifter om en person lättillgängliga. Bortsett från detta krav innehåller artikel 4 led 6 i dataskyddsförordningen inga regler om vilka metoder som kan användas för att strukturera ett register eller om registrets utformning. I synnerhet framgår det inte av denna bestämmelse eller någon annan bestämmelse i denna förordning att personuppgifterna i fråga måste ingå i särskilda kartotek eller förteckningar eller någon annan form av sökbart system, för att man ska kunna konstatera att det är fråga om ett register, i den mening som avses i denna förordning (se, analogt, dom av den 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punkterna 56–58).

38      I förevarande fall framgår det av begäran om förhandsavgörande att de uppgifter som klaganden i det nationella målet har begärt finns i ”en domstols personregister”. Det förefaller således som om dessa uppgifter ingår i ett register i den mening som avses i artikel 4 led 6 i dataskyddsförordningen, vilket det emellertid ankommer på den hänskjutande domstolen att kontrollera, och det saknar härvidlag betydelse huruvida uppgifterna finns i elektroniska databaser eller i fysiska akter eller register.

39      Mot denna bakgrund ska den första frågan besvaras enligt följande. Artikel 2.1 jämförd med artikel 4 led 2 i dataskyddsförordningen ska tolkas så, att muntligt utlämnande av uppgifter om eventuella fällande domar i pågående eller avslutade brottmål mot en fysisk person utgör behandling av personuppgifter i den mening som avses i artikel 4 led 2 i förordningen, och denna behandling omfattas av denna förordnings materiella tillämpningsområde när dessa uppgifter ingår i eller kommer att ingå i ett register.

 Den andra och den tredje frågan

40      Den hänskjutande domstolen har ställt den andra och den tredje frågan, vilka ska prövas tillsammans, för att få klarhet i huruvida bestämmelserna i dataskyddsförordningen, särskilt artikel 86 däri, ska tolkas så, att de utgör hinder för att uppgifter om fällande domar i brottmål mot en fysisk person i ett register som förs av en domstol lämnas ut muntligen till vilken person som helst för att säkerställa allmänhetens tillgång till allmänna handlingar, utan att den person som begär utlämnandet behöver visa att personen har ett särskilt intresse av att erhålla dessa uppgifter, och huruvida svaret på denna fråga varierar beroende på om personen är ett bolag eller en privatperson.

41      Denna fråga har sitt ursprung i den nationella lagstiftning som är aktuell i det nationella målet, eftersom denna lagstiftning inte kräver att de nationella bestämmelserna om skydd av personuppgifter iakttas när sådana uppgifter lämnas ut muntligen.

42      Domstolen erinrar härvidlag om att enligt artikel 288 andra stycket FEUF är en förordning till alla delar bindande och direkt tillämplig i varje medlemsstat. Således har bestämmelserna i en förordning, på grund av deras beskaffenhet och funktion i unionens rättskällesystem, i allmänhet omedelbara verkningar i de nationella rättsordningarna, utan att det krävs att de nationella myndigheterna antar några tillämpningsföreskrifter (dom av den 16 juni 2022, Port de Bruxelles och Région de Bruxelles-Capitale, C‑229/21, EU:C:2022:471, punkt 47, och dom av den 30 mars 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, punkt 77).

43      En nationell domstol är således skyldig att tillämpa kraven i dataskyddsförordningen i dess helhet, även om det inte finns någon specifik bestämmelse i tillämplig nationell rätt som tillåter att den aktuella registrerades intressen beaktas (se, för ett liknande resonemang, dom av den 2 mars 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, punkterna 44 och 59).

44      Av det ovan anförda följer att muntligt utlämnande av uppgifter om fällande domar i brottmål mot en fysisk person endast får ske om de villkor som uppställs i dataskyddsförordningen är uppfyllda när dessa uppgifter ingår i eller kommer att ingå i ett register.

45      Det ska i detta sammanhang erinras om att enligt domstolens fasta praxis ska all behandling av personuppgifter dels vara förenlig med de i artikel 5 i förordningen angivna principerna för personuppgiftsbehandling, dels – med hänsyn till den princip om laglighet som föreskrivs i artikel 5.1 a – uppfylla något av de i artikel 6 uppräknade villkoren som gör att behandlingen anses vara laglig (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 96, och dom av den 7 december 2023, SCHUFA Holding m.fl. (Scoring), C‑634/21, EU:C:2023:957, punkt 67).

46      I synnerhet kan den behandling av personuppgifter som är aktuell i det nationella målet, det vill säga det muntliga utlämnandet till allmänheten av uppgifter om brott hänföras till artikel 6.1 e i dataskyddsförordningen. Där anges att behandlingen är laglig om, och i den utsträckning, den är ”är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning” (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 99).

47      Vad mer specifikt gäller uppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott, föreskriver artikel 10 i dataskyddsförordningen ytterligare begränsningar i behandlingen av dessa. Enligt denna bestämmelse får behandling av dessa uppgifter ”endast … utföras under kontroll av en myndighet”, förutom om den är ”tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs” (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 100).

48      Domstolen har redan slagit fast att varken artikel 6.1 e eller artikel 10 i dataskyddsförordningen innehåller något allmänt eller ovillkorligt förbud mot att en myndighet ges behörighet, eller till och med en skyldighet, att lämna ut personuppgifter till den som framställer en begäran därom (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 103).

49      Dataskyddsförordningen utgör således inte hinder för att personuppgifter lämnas ut till allmänheten när utlämnandet är nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning i den mening som avses i artikel 6.1 e i förordningen. Samma sak gäller även när de aktuella uppgifterna omfattas av artikel 10 i dataskyddsförordningen under förutsättning att lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs i den lagstiftning som tillåter att uppgifterna lämnas ut (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 104).

50      I förevarande fall framgår det av beslutet om hänskjutande och av den finska regeringens skriftliga yttrande att de nationella lagarna om offentlighet i myndigheternas verksamhet och om offentlighet vid rättegång i allmänna domstolar syftar till att utföra den uppgift av allmänt intresse som möjliggör säkerställande av allmänhetens tillgång till allmänna handlingar.

51      Under dessa omständigheter önskar den hänskjutande domstolen särskilt få klarhet i huruvida den behandling av personuppgifter som är aktuell i det nationella målet kan anses vara tillåten mot bakgrund av proportionalitetsprincipen, särskilt mot bakgrund av den avvägning som ska göras mellan, å ena sidan, allmänhetens rätt att få tillgång till allmänna handlingar, som avses i artikel 86 i dataskyddsförordningen, och, å andra sidan, de grundläggande rättigheterna till respekt för privatlivet och skydd av personuppgifter, vilka stadfästs i artiklarna 7 och 8 i stadgan.

52      Vad gäller de sistnämnda rättigheterna ska det erinras om att, såsom anges i skäl 4 i dataskyddsförordningen, de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter inte utgör några absoluta rättigheter, utan ska förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter. Begränsningar får således göras, förutsatt att de, i enlighet med vad som anges i artikel 52.1 i stadgan, är föreskrivna i lag och förenliga med det väsentliga innehållet i de grundläggande rättigheterna och med proportionalitetsprincipen. Enligt den sistnämnda principen får begränsningar endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller av behovet av skydd för andra människors rättigheter och friheter. Begränsningarna får inte gå utöver vad som är strikt nödvändigt, och den lagstiftning som innebär ett ingrepp måste innehålla tydliga och precisa bestämmelser som reglerar räckvidden och tillämpningen av den aktuella åtgärden (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 105).

53      För att fastställa huruvida ett utlämnande till allmänheten av personuppgifter om fällande domar i brottmål, såsom det i det nationella målet, är nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, i den mening som avses i artikel 6.1 e i dataskyddsförordningen, och huruvida den lagstiftning som tillåter utlämnandet innehåller lämpliga skyddsåtgärder för de registrerades rättigheter och friheter, i den mening som avses i artikel 10 i dataskyddsförordningen, ska det följaktligen särskilt prövas om det ingrepp i de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter som detta utlämnande medför – med beaktande av hur allvarligt ingreppet är – kan anses vara motiverat, och framför allt proportionerligt, med hänsyn till förverkligandet av de eftersträvade målen (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 106).

54      Vad gäller hur allvarligt ingreppet i dessa rättigheter är har domstolen redan slagit fast att behandlingen av uppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder, på grund av dessa uppgifters särskilda känslighet, kan utgöra ett särskilt allvarligt ingrepp i den grundläggande rätten till respekt för privatlivet och skydd av personuppgifter enligt artiklarna 7 och 8 i stadgan. Eftersom sådana uppgifter avser beteenden som samhället tar avstånd från, kan ett beviljande av tillgång till dessa uppgifter nämligen stigmatisera den berörda personen och därmed utgöra ett allvarligt ingrepp i hans eller hennes privatliv eller yrkesliv (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkterna 74, 75 och 112).

55      Även om den tillgång för allmänheten till allmänna handlingar som den hänskjutande domstolen hänvisat till utgör ett allmänt intresse som kan motivera att personuppgifter som förekommer i sådana handlingar lämnas ut, såsom framgår av skäl 154 i förordningen, måste dock allmänhetens tillgång till allmänna handlingar sammanjämkas med de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter, vilket för övrigt är ett uttryckligt krav enligt artikel 86 i dataskyddsförordningen. Med beaktande bland annat av hur känsliga uppgifterna om fällande domar i brottmål är, och av allvarlighetsgraden i det ingrepp i de berörda personernas grundläggande rättigheter avseende respekt för privatlivet och skydd för personuppgifter som utlämnandet av dessa uppgifter innebär, måste dessa rättigheter anses väga tyngre än allmänhetens intresse av att få tillgång till allmänna handlingar (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 120).

56      Av samma skäl kan rätten till informationsfrihet enligt artikel 85 i dataskyddsförordningen inte tolkas så, att den motiverar att personuppgifter avseende fällande dom i brottmål lämnas ut till var och en som begär ut sådana uppgifter (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 121).

57      Det saknar härvidlag betydelse huruvida den person som begär tillgång till uppgifter om fällande domar i brottmål är ett bolag eller en enskild eller om sådana uppgifter lämnas ut skriftligen eller muntligen.

58      Mot bakgrund av ovanstående ska den andra och den tredje frågan besvaras enligt följande. Bestämmelserna i dataskyddsförordningen, särskilt artiklarna 6.1 e och 10 däri, ska tolkas så, att de utgör hinder för att uppgifter om fällande domar i brottmål mot en fysisk person i ett register som förs av domstol lämnas ut muntligen till vilken person som helst för att säkerställa allmänhetens tillgång till allmänna handlingar, utan att den person som begär utlämnandet behöver visa att personen har ett särskilt intresse av att erhålla dessa uppgifter. Det saknar härvidlag betydelse huruvida personen är ett bolag eller en privatperson.

 Rättegångskostnader

59      Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (sjätte avdelningen) följande:

1)      Artiklarna 2.1 och 4 led 2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ska tolkas så,

att muntligt utlämnande av uppgifter om eventuella fällande domar i pågående eller avslutade brottmål mot en fysisk person utgör behandling av personuppgifter i den mening som avses i artikel 4 led 2 i förordningen, och denna behandling omfattas av denna förordnings materiella tillämpningsområde när dessa uppgifter ingår i eller kommer att ingå i ett register.

2)      Bestämmelserna i förordning 2016/679, bland annat artiklarna 6.1 e och 10 däri,

ska tolkas så,

att de utgör hinder för att uppgifter om fällande domar i brottmål mot en fysisk person i ett register som förs av en domstol lämnas ut muntligen till vilken person som helst för att säkerställa allmänhetens tillgång till allmänna handlingar, utan att den person som begär utlämnandet behöver visa att personen har ett särskilt intresse av att erhålla dessa uppgifter. Det saknar härvidlag betydelse huruvida personen är ett bolag eller en privatperson.

Underskrifter

*      Rättegångsspråk: finska.