Language of document : ECLI:EU:C:2021:822

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

MICHAL BOBEK

föredraget den 6 oktober 2021(1)

Mål C245/20

X,

Z

mot

Autoriteit Persoonsgegevens

(begäran om förhandsavgörande från Rechtbank Midden-Nederland (Distriktsdomstolen i Midden-Nederland, Nederländerna))

”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Tillsynsmyndighetens behörighet – Domstolar som behandlar personuppgifter i sin dömande verksamhet – Utlämnande av rättegångshandlingar till en journalist”






I.      Inledning

1.        ”Offentlighet är rättvisans själva själ. Den är den starkaste drivkraften till ansträngning, och det säkraste av alla skydd mot oegentligheter … Det är endast genom offentliggörande som rättvisan föder säkerhet. Genom offentliggörandet förvandlas rättvisans tempel till en institution av högsta rang, som upprätthåller moralens viktigaste aspekter …”(2)

2.        Trots att de skrevs i 1800-talets gryning,(3) har Jeremy Benthams ord inte förlorat något av sin lyskraft. Inramningen var naturligtvis en helt annan på den tiden. En öppen och offentlig rättskipning behövde försvaras, inte bara gentemot vissa upplysta monarker (oftare inte särskilt upplysta absoluta monarker), utan även, eller snarare i synnerhet, gentemot ett antal egendomliga, men ändå kvardröjande, medeltida visioner om lagens och den rättsliga processens natur.(4)

3.        Det finns inga uttryckliga uppgifter om att rättvisans tempel har förvandlats till institutioner i det nationella målet. Det framgår icke desto mindre att principen om en öppen rättvisa i Nederländerna har lett till att pressen, den dag då huvudförhandlingen äger rum, kan få tillgång till vissa rättegångshandlingar i de mål som är anhängiga vid domstolen den dagen. Syftet med detta är att förbättra journalisternas rapportering av de mål som är uppe till förhandling.(5)

4.        Klagandena i förevarande mål är fysiska personer som ifrågasätter denna policy. De gör gällande att de inte hade samtyckt till att valda rättegångshandlingar i deras mål, som prövades av Raad van State (Högsta förvaltningsdomstolen, Nederländerna), skulle lämnas ut till en journalist. Klagandena besvärade sig till den nationella tillsynsmyndigheten och gjorde gällande att olika rättigheter och skyldigheter enligt förordning (EU) 2016/679 (nedan kallad dataskyddsförordningen)(6) hade åsidosatts. Tillsynsmyndigheten, som är svarande i målet, ansåg sig emellertid inte behörig att pröva detta besvär. Enligt dess mening utförde den nationella domstolen den omtvistade behandlingen av personuppgifter ”i sin dömande verksamhet” i enlighet med artikel 55.3 i dataskyddsförordningen.

5.        Mot denna bakgrund vill Rechtbank Midden-Nederland (Distriktsdomstolen i Midden-Nederland, Nederländerna) i huvudsak få klarhet i huruvida ett utlämnande till pressen av vissa rättegångshandlingar i syfte att förbättra medierapporteringen av ett mål som hörs inför öppna dörrar utgör en åtgärd av ”domstolar som behandlar personuppgifter i sin dömande verksamhet” i den mening som avses i artikel 55.3 dataskyddsförordningen.

II.    Tillämpliga bestämmelser

A.      Unionsrätt

6.        Skäl 20 i dataskyddsförordningen har följande lydelse:

”Eftersom denna förordning bland annat gäller för verksamhet inom domstolar och andra rättsliga myndigheter, skulle det i unionsrätt eller medlemsstaternas nationella rätt kunna anges vilken behandling och vilka förfaranden för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters behandling av personuppgifter. Tillsynsmyndigheternas behörighet bör inte omfatta domstolars behandling av personuppgifter när detta sker inom ramen för domstolarnas dömande verksamhet, i syfte att säkerställa domstolsväsendets oberoende när det utför sin rättskipande verksamhet, inbegripet när det fattar beslut. Det bör vara möjligt att anförtro tillsynen över sådan behandling av uppgifter till särskilda organ inom medlemsstaternas rättsväsen, vilka framför allt bör säkerställa efterlevnaden av bestämmelserna i denna förordning, främja domstolsväsendets medvetenhet om sina skyldigheter enligt denna förordning och hantera klagomål relaterade till sådan behandling av uppgifter.”

7.        I artikel 2.1 i samma förordning anges följande:

”Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.”

8.        Begreppet behandling definieras i artikel 4 led 2 i dataskyddsförordningen på följande sätt:

”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring”.

9.        Artikel 6 i samma förordning, med rubriken ”Laglig behandling av personuppgifter”, har i sin relevanta del följande lydelse:

”1.      Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

e)      Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f)      Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

2.      Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.

3.      Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

a)      unionsrätten, eller

b)      en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.”

10.      I artikel 51.1 i dataskyddsförordningen anges följande:

”Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen (nedan kallad tillsynsmyndighet).”

11.      I artikel 55.3 föreskrivs emellertid att ”[t]illsynsmyndigheterna … inte [ska] vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet”.

B.      Nationell rätt

12.      Uitvoeringswet AVG (lag om genomförande av dataskyddsförordningen) av den 16 maj 2016 (nedan kallad UAVG), implementerar dataskyddsförordningen i nederländsk rätt. I artikel 6 i denna lag anförtros svaranden ansvaret för att övervaka efterlevnaden av dataskyddsförordningen i Nederländerna. I UAVG återges inte det undantag som föreskrivs i artikel 55.3 i dataskyddsförordningen.

13.      Den 31 maj 2018 antog ordföranden för Afdeling bestuursrechtspraak van de Raad van State (avdelningen för förvaltningsrättsliga mål vid Högsta förvaltningsdomstolen, Nederländerna), samt domstolsförvaltningarna vid Centrale Raad van Beroep (Appellationsdomstolen för socialförsäkrings- och förvaltningsrättsliga mål, Nederländerna) och College van Beroep voor het bedrijfsleven (Appellationsdomstolen för handelsrättsliga mål, Nederländerna) föreskrifter för behandling av personuppgifter i förvaltningsdomstol. Genom dessa föreskrifter inrättades AVG-commissie bestuursrechtelijke colleges (dataskyddskommittén för förvaltningsdomstolar) (nedan kallad dataskyddskommittén). Denna kommitté har till uppgift att ge råd till Raad van State (Högsta förvaltningsdomstolen), domstolsförvaltningarna vid Centrale Raad van Beroep och College van Beroep voor het bedrijfsleven (Appellationsdomstolen för handelsrättsliga mål) om handläggningen av klagomål avseende respekten för de rättigheter som skyddas av dataskyddsförordningen.

III. Bakgrund, det nationella målet och tolkningsfrågorna

14.      Den 30 oktober 2018 prövade Raad van State en förvaltningsrättslig tvist mellan Z (nedan kallad medborgare Z) och borgmästaren i Utrecht (Nederländerna) (nedan kallad borgmästare M). I samband med denna tvist agerade X (nedan kallad advokat X) som ombud för medborgare Z (nedan tillsammans kallade klagandena).(7)

15.      Efter förhandlingen, och i närvaro av advokat X, kontaktades medborgare Z av en person som presenterade sig som journalist (nedan kallad journalist J). Denne journalist hade tillgång till flera rättegångshandlingar ur akten i målet. På fråga om dessa handlingar förklarade journalist J att han hade getts tillgång till dessa handlingar med stöd av den rätt att få tillgång till akten i målet som Raad van State (Högsta förvaltningsdomstolen) beviljat journalister.

16.      Samma dag skrev advokat X till ordföranden för Afdeling bestuursrechtspraak van de Raad van State (avdelningen för förvaltningsrättsliga mål vid Högsta förvaltningsdomstolen) (nedan kallad ordförande P) för att få bekräftat huruvida tillgång till akten i målet hade beviljats, och, om så var fallet, av vem, samt huruvida kopior hade gjorts med kännedom eller godkännande av personalen vid Raad van State (Högsta förvaltningsdomstolen).

17.      Genom skrivelse av den 21 november 2018 svarade ordförande P att Raad van State (Högsta förvaltningsdomstolen) ibland förser journalister med information rörande förhandlingar. Detta gör nämnda domstol bland annat genom att göra sådan information tillgänglig för granskning av journalister som befinner sig i byggnaden samma dag för att rapportera om en viss muntlig förhandling. Denna information innefattar en kopia av överklagandet (eller överklagandet till högre instans), av svarsinlagan och, vid överklagande till högre instans, av Rechtbanks (distriktsdomstol, Nederländerna) avgörande. Dessa kopior är endast tillgängliga för granskning på själva förhandlingsdagen, vilket innebär att informationen varken överförs till eller delas med media i förväg. De ifrågavarande handlingarna får inte lämna respektive domstols lokaler och kan inte heller tas med hem. Efter förhandlingsdagens slut förstörs kopiorna av de anställda på informationsavdelningen vid Raad van State (Högsta förvaltningsdomstolen).

18.      Medborgaren Z och advokat X ingav klagomål till Autoriteit Persoonsgegevens (dataskyddsmyndigheten, Nederländerna) och begärde tillsynsåtgärder. Denna myndighet fann att den saknade behörighet och vidarebefordrade dessa klagomål till dataskyddskommittén.

19.      Den hänskjutande domstolen har förklarat att den åtkomstpolicy för journalister som antagits av Raad van State (Högsta förvaltningsdomstolen) innebär att tredje part, som inte är part i förfarandet, får tillgång till vissa personuppgifter om parterna i målet, liksom, i förekommande fall, om deras befullmäktigade ombud. Dessa rättegångshandlingar kan innehålla personuppgifter som, exempelvis, kan härledas från ett befullmäktigat ombuds brevhuvud, vilket kan leda till identifiering. De kan även innehålla (specifika) personuppgifter om klaganden och/eller andra i en eller flera former, såsom uppgifter relaterade till brottsregister, kommersiell information eller medicinska uppgifter.

20.      I förevarande mål ledde utlämnandet av de ifrågavarande handlingarna i målet till att journalist J fick tillgång till överklagandeskrivelsen, svaromålet och den lägre instansens avgörande. Han fick därigenom tillgång till vissa personuppgifter om klagandena i det nationella målet, särskilt advokat X:s namn och adress och medborgare Z:s ”personnummer”.

21.      Den hänskjutande domstolen anser att sådan åtkomst till rättegångshandlingar och sådant (tillfälligt) tillhandahållande av kopior av dessa handlingar utgör ”behandling” av personuppgifter i den mening som avses i artikel 4 led 2 i dataskyddsförordningen. Nämnda domstol har påpekat att denna behandling ägde rum utan klagandenas samtycke. För att kunna avgöra huruvida Autoriteit Persoonsgegevens (dataskyddsmyndigheten) faktiskt kunde dra slutsatsen att den inte var behörig att pröva beslutet av Raad van State (Högsta förvaltningsdomstolen) att ge tillgång till de omtvistade rättegångshandlingarna, måste den hänskjutande domstolen emellertid tolka uttrycket ”domstolar som behandlar personuppgifter i sin dömande verksamhet” i artikel 55.3 i dataskyddsförordningen.

22.      Rechtbank Midden-Nederland (Distriktsdomstolen i Midden-Nederland) hyser tvivel om huruvida Raad van State (Högsta förvaltningsdomstolen) behandlade personuppgifter inom ramen för sin ”dömande verksamhet”, i den mening som avses i artikel 55.3 i dataskyddsförordningen, när den lämnade ut handlingar ur akten i målet mellan medborgare Z och borgmästare M till journalist J för att förbättra den sistnämndes rapportering av förhandlingarna i det målet, och har därför beslutat att vilandeförklara målet och ställa följande tolkningsfrågor till EU-domstolen:

”1.      Ska artikel 55.3 i [dataskyddsförordningen] tolkas så, att ’domstolar som behandlar personuppgifter i sin dömande verksamhet’ kan avse en domstolsmyndighet som ger tillgång till rättegångshandlingar som innehåller personuppgifter genom att ställa kopior av dessa rättegångshandlingar till en journalists förfogande på det sätt som beskrivs i förevarande beslut om hänskjutande?

1a.      Har det för svaret på denna fråga betydelse huruvida den nationella tillsynsmyndighetens tillsyn över denna typ av behandling av personuppgifter påverkar domstolens oberoende prövning i konkreta mål?

1b.      Har det för svaret på denna fråga betydelse att den (nationella) domstolen anser att arten av och syftet med behandlingen av uppgifterna är att informera en journalist för att underlätta dennes rapportering av en offentlig förhandling i en rättsprocess och på så sätt tillgodose intresset av offentlighet och insyn i rättskipningen?

1c.      Har det för svaret på denna fråga betydelse huruvida denna uppgiftsbehandling har uttryckligt stöd i nationell rätt?”

23.      Skriftliga yttranden har ingetts av medborgare Z, Autoriteit Persoonsgegevens (dataskyddsmyndigheten), den spanska, den nederländska, den polska och den finländska regeringen samt Europeiska kommissionen. Autoriteit Persoonsgegevens (dataskyddsmyndigheten), den spanska och den nederländska regeringen samt kommissionen utvecklade även sin talan vid den muntliga förhandlingen den 14 juli 2021.

IV.    Bedömning

24.      Detta förslag till avgörande är uppdelat på följande sätt. Jag kommer att inleda med några korta anmärkningar om huruvida tolkningsfrågorna kan tas upp till sakprövning (A). Sedan kommer jag att behandla artikel 55.3 i dataskyddsförordningen och diskutera de materiella och institutionella aspekterna av denna bestämmelse (B). Därefter kommer jag att applicera mina överväganden på förevarande mål (C). Jag kommer att avsluta med några påpekanden om den centrala fråga som förevarande mål handlar om, och samtidigt inte handlar om, nämligen dataskyddsförordningens tillämpning på nationella domstolar (D).

A.      Huruvida tolkningsfrågorna kan tas upp till sakprövning

25.      Medborgaren Z har gjort gällande att tolkningsfrågorna är av hypotetisk karaktär och således inte kan tas upp till sakprövning. Han begärde tillsynsåtgärder inte enbart på grund av den påstått med dataskyddsförordningen oförenliga åtkomstpolicyn, utan även på grund av underlåtenheten att i rätt tid anmäla personuppgiftsincidenten (det vill säga utlämnandet av personuppgifter till en journalist utan samtycke). Det föreligger vidare sakliga brister i den hänskjutande domstolens beslut om hänskjutande, eftersom de omtvistade rättegångshandlingarna inte lämnades ut av Raad van State (Högsta förvaltningsdomstolen), utan av anställda vid dess informationsavdelning. Eftersom beslutet om hänskjutande inte härrörde från en domstol i den mening som avses i artikel 55.3 i dataskyddsförordningen, skulle Autoriteit Persoonsgegevens (dataskyddsmyndigheten) följaktligen ha varit behörig att övervaka denna avdelnings behandling av personuppgifter.

26.      Jag föreslår att dessa invändningar ska lämnas utan avseende.

27.      Frågor som rör tolkningen av unionsrätten som hänskjuts av en nationell domstol presumeras generellt vara relevanta.(8) En tolkningsfråga från en nationell domstol kan bara avvisas då det är uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågeställningen är sant hypotetisk eller då EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts till den.(9) EU-domstolen är följaktligen i princip skyldig att meddela ett förhandsavgörande när de frågor som ställts avser tolkningen av en unionsbestämmelse.(10)

28.      Det sistnämnda är uppenbart fallet med tvisten i det nationella målet. Den hänskjutande domstolen är skyldig att tillämpa dataskyddsförordningen, och särskilt dess artikel 55.3, för att fastställa i vilken utsträckning Autoriteit Persoonsgegevens (dataskyddsmyndigheten) faktiskt var behörig att övervaka Raad van States (Högsta förvaltningsdomstolen) behandling (i förekommande fall) av personuppgifter. I den mån den nationella domstolen behöver vägledning angående tolkningen av denna bestämmelse, får den hänskjuta en fråga till EU-domstolen för förhandsavgörande.

29.      Den hänskjutande domstolen är vidare ensam behörig att fastställa de omständigheter i målet på grundval av vilka den söker vägledning från EU-domstolen.(11) Även om en begäran om förhandsavgörande skulle lida av vissa sakliga brister, ankommer det således inte på EU-domstolen att vare sig ifrågasätta huruvida den hänskjutande domstolens beslut är fullständigt eller att ta ställning till en viss tolkning av nationell rätt eller praxis.

30.      I alla händelser är frågan om vem som har lämnat ut vad och på vems instruktioner faktiskt en sakfråga som kan vara relevant när den hänskjutande domstolen ska tillämpa dataskyddsförordningen och den vägledning som EU-domstolen har gett. Denna fråga rör emellertid inte huruvida målet kan tas upp till sakprövning.

31.      Det är följaktligen uppenbart att förevarande mål kan tas upp till sakprövning.

B.      Artikel 55.3 i dataskyddsförordningen

32.      Det är uppenbart att dataskyddsförordningen är avsedd att gälla för medlemsstaternas domstolar. Denna förordning ska nämligen tillämpas på varje åtgärd eller kombination av åtgärder som vidtas beträffande personuppgifter. Den gör inte några institutionella undantag för domstolar eller andra specifika statliga organ.(12) Dataskyddsförordningen är, till sin utformning, institutionsblind.(13) Varje aktivitet som innebär behandling av personuppgifter omfattas, oberoende av sin karaktär. Slutligen bekräftas denna utformning av lagstiftningen i skäl 20 i dataskyddsförordningen genom att det uttryckligen anges att den ”bland annat gäller för verksamhet inom domstolar och andra rättsliga myndigheter”.

33.      Skild från frågan huruvida bestämmelserna i dataskyddsförordningen är materiellt tillämpliga, men ändå på sätt och vis oupplösligt förbunden därmed, är frågan om tillsyn över att dessa bestämmelser efterlevs. Det är sant att frågan om ”vem som ska utöva tillsyn” i viss mån kan vara skild från frågan om ”vad som ska övervakas”. Trots detta finns det ändå ett nödvändigt samband. Till att börja med skulle det knappast finnas behov av att diskutera frågor om tillsyn ifall vissa bestämmelser inte ens var materiellt tillämpliga, eller om de var föremål för omfattande undantag. Det skulle nämligen inte finnas något att övervaka.

34.      Frågan om behörighet att utöva tillsyn behandlas i artikel 55 i dataskyddsförordningen. Denna bestämmelse inleder avsnitt 2 (”Behörighet, uppgifter och befogenheter”) i kapitel VI (”Oberoende tillsynsmyndigheter”) i dataskyddsförordningen. I detta sammanhang tillskrivs i artikel 55 i förordningen tre typer av behörighet.

35.      För det första föreskrivs i artikel 55.1 i dataskyddsförordningen en skyldighet för medlemsstaterna att utse tillsynsmyndigheter för att säkerställa att dataskyddsförordningen efterlevs och att de olika berörda aktörerna fullgör sina skyldigheter.(14) Varje nationell tillsynsmyndighet ska ha de befogenheter som tilldelats den enligt dataskyddsförordningen inom sin egen medlemsstats territorium.

36.      För det andra föreskrivs i artikel 55.2 i samma förordning att om behandling utförs av myndigheter eller privata organ som agerar på grundval av artikel 6.1 c eller e ska tillsynsmyndigheten i den berörda medlemsstaten vara behörig. Denna bestämmelse föreskriver i sig ett undantag från artikel 56.1, som i sin tur ger den ansvariga tillsynsmyndigheten behörighet vid gränsöverskridande behandling.

37.      För det tredje skiljer artikel 55.3 i dataskyddsförordningen i detta sammanhang ut en annan specifik typ av behandling, nämligen behandling som domstolar utför i sin dömande verksamhet. Vad avser sådan verksamhet ska ”vanliga” tillsynsmyndigheter enligt artikel 55.1 i dataskyddsförordningen inte vara behöriga. Istället förklaras det i skäl 20 i dataskyddsförordningen att ”[d]et bör vara möjligt att anförtro tillsynen över sådan behandling av uppgifter till särskilda organ inom medlemsstaternas rättsväsen”.

38.      Jag drar två konsekvenser av lagstiftningens utformning.

39.      För det första handlar artiklarna 55 och 56 i dataskyddsförordningen huvudsakligen om att tillskriva behörighet. I detta sammanhang skulle det kanske kunna hävdas att artikel 55.1 i dataskyddsförordningen ska betraktas som ”regeln”, medan alla andra bestämmelser, inbegripet artikel 55.3, i dataskyddsförordningen, ska ses som ”undantag”. EU-domstolen har emellertid nyligen vägrat att acceptera denna logik.(15) Enligt min mening av ett gott skäl, nämligen att artiklarna 55 och 56 i dataskyddsförordningen handlar om att tillskriva behörighet på grundval av territoriella, typbaserade och aktörsbaserade dimensioner. Det skulle verkligen inte göra denna utformning rättvisa om den något trubbiga logiken att ”alla undantag ska tolkas restriktivt”, som lånats från sitt sammanhang i artikel 2.2 i dataskyddsförordningen, skulle appliceras på den tämligen ömtåliga väv som tillskrivandet av behörighet utgör.

40.      För det andra är artikel 55.3 i dataskyddsförordningen för sin tillämplighet underkastad två villkor. Det måste röra sig om ”behandling” i den mening som avses i dataskyddsförordningen (1). Vidare måste den utföras av ”domstolar som behandlar personuppgifter i sin dömande verksamhet” (2). Endast då kan det fastställas vilken institution som har ansvar för att övervaka att denna verksamhet är förenlig med dataskyddsförordningen. Det är dessa två villkor som jag nu kommer att behandla.

1.      Den materiella aspekten: Rör det sig om ”en behandling”?

a)      Gällande rätt

41.      Tillämpningsområdet för dataskyddsförordningen är brett definierat. I kraft av artikel 2.1 i dataskyddsförordningen ska förordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

42.      I artikel 4 led 2 tilläggs att begreppet ”behandling” innefattar ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej”, och nämner som exempel ”utlämning genom överföring, spridning eller tillhandahållande på annat sätt”. Detta begrepp har tolkats så, att det avser hela kedjan av åtgärder som rör personuppgifter.(16)

43.      I artikel 4 led 6 definieras begreppet ”register” som ”en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden”. Med hänsyn till denna breda formulering har EU-domstolen slagit fast att det är betydelselöst vilket medel och vilken struktur som valts för ett ”register” så länge personuppgifterna i praktiken kan erhållas med lätthet.(17)

44.      Dessa aspekter sammantagna innebär att behandling av personuppgifter i den mening som avses i dataskyddsförordningen ska anses föreligga när i) personuppgifter ii) behandlas iii) på automatisk väg och när på annat sätt behandlade personuppgifter ingår i ett register. Hur förhåller det sig då med den omtvistade behandlingen i förevarande mål?

45.      Det framgår av akten i målet att medborgare Z har ifrågasatt åtgärden att fysiskt visa de tre rättegångshandlingarna för journalist J för att underlätta dennes rapportering av förhandlingarna i målet mellan medborgare Z och borgmästare M. På detta sätt lämnades personuppgifter som fanns i (åtminstone en del av) dessa handlingar ut av Raad van State (Högsta förvaltningsdomstolen), i egenskap av personuppgiftsansvarig, utan den registrerades samtycke, vilket således innebar en (sannolikt rättsstridig) behandling i den mening som avses i artikel 4 led 2 i dataskyddsförordningen.

46.      Det förefaller vara otvistigt att de omtvistade rättegångshandlingarna innehöll vissa personuppgifter i den mening som avses i artikel 4 led 1 i dataskyddsförordningen. Det är uppenbart att upplysningar om sådant som advokat X:s namn och adress samt medborgare Z:s ”personnummer” ”avser en identifierad eller identifierbar fysisk person”.(18)

47.      Parterna tycks inte heller ifrågasätta att det föreligger en behandling i den mening som avses i artikel 4 led 2 i dataskyddsförordningen. Det är icke desto mindre där det kan uppstå vissa tvivel. Exakt vad var det för en specifik behandling(19) som gjorde att dataskyddsförordningen blev tillämplig?

48.      Det mest uppenbara valet i detta hänseende är ”utlämning genom överföring”(20) av de omtvistade handlingarna till en tredje part av anställda vid Raad van State (Högsta förvaltningsdomstolen). Rättspraxis ger stöd för denna uppfattning, eftersom EU-domstolen har ansett att informationsutlämnande(21) och allmänt röjande(22) av personuppgifter utgör ”behandling” i den mening som avses i artikel 4 led 2 i dataskyddsförordningen.

49.      Enligt artikel 2.1 i dataskyddsförordningen ska emellertid denna åtgärd åtminstone delvis ha företagits på automatisk väg. Det framgår inte av akten i målet huruvida den ifrågavarande åtgärden företogs på sådan automatisk väg. I dagens samhälle kommer det naturligtvis att, vid någon tidpunkt, förekomma åtminstone viss användning av automatiska medel. Med hänsyn till att hela behandlingskedjan måste beaktas,(23) har en sådan behandling åtminstone delvis utförts på automatisk väg i den mening som avses i artikel 2.1 i dataskyddsförordningen så länge någon, vid någon tidpunkt före utlämnandet av de omtvistade rättegångshandlingarna, har antingen skannat, kopierat, skrivit ut, e-postat eller på annat sätt hämtat dessa handlingar ur en databas.

50.      Alternativt, och under alla omständigheter, hämtades personuppgifterna uppenbarligen från själva akten i målet för att lämnas ut till journalist J. Detta innebär rent logiskt att Raad van State (Högsta förvaltningsdomstolen), vid upprättandet av denna akt, måste ha använt något slags identifieringsuppgifter (såsom målnummer, datum för tvisten eller namnen på de berörda parterna). En sådan akt utgör, man skulle till och med kunna säga per definition, ett ”register” i den mening som avses i artikel 4 led 6 i dataskyddsförordningen, eftersom den utgör en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier.(24)

51.      Även om ”på automatisk väg”-delen av definitionen i artikel 2.1 i dataskyddsförordningen skulle lämnas åt sidan, står det således ändå rätt klart att tre handlingar som tas ut och kopieras ur akten i ett mål vid en nationell domstol ingår i ett register, med andra ord själva akten i målet.

52.      Slutligen är inget av de undantag som föreskrivs i artikel 2.2 i dataskyddsförordningen, som ska tolkas restriktivt,(25) tillämpligt i förevarande fall. Utlämnandet av de omtvistade handlingarna utgör inte en verksamhet ”som inte omfattas av unionsrätten”, åtminstone inte såsom denna formulering har tolkats av EU-domstolen i detta specifika sammanhang. Det skulle faktiskt kunna anses att utlämnandet av rättegångshandlingar i förfaranden vid nationella domstolar inte omfattas av unionsrätten, särskilt inte i den konventionella meningen att det regleras i någon unionsrättsakt. I EU-domstolens nyligen avkunnade dom i målet Latvijas Republikas Saeima (Prickning av överträdelser) tolkades emellertid undantaget i artikel 2.2 a i dataskyddsförordningen så, att det endast är tillämpligt på statliga grundfunktioner i medlemsstaterna i den mån dessa funktioner kan placeras i kategorin verksamhet som syftar till att upprätthålla nationell säkerhet.(26) Om trafiksäkerhet inte har ansetts uppfylla kraven i skäl 16 i dataskyddsförordningen,(27) är det verkligen föga troligt att öppen rättvisa skulle göra det.

53.      Det finns heller inte något som tyder på att utlämnandet i förevarande mål hade samband med en brottsutredning eller verkställighet av straffrättsliga påföljder (även om det av något långsökt skäl skulle finnas behov att göra det under sådana omständigheter).(28) Följaktligen är det även uteslutet att artikel 2.2 d i dataskyddsförordningen är tillämplig.

54.      Sammanfattningsvis framgår det av den vida formuleringen och tolkningen av artiklarna 2.1, 4 led 2 och 4 led 6 i dataskyddsförordningen, samt av det ytterst snäva tillämpningsområdet för undantagen i artikel 2.2 i dataskyddsförordningen, att utlämnandet av rättegångshandlingar i förevarande mål omfattas av det materiella tillämpningsområdet för dataskyddsförordningen, antingen som behandling av personuppgifter som helt eller delvis företas på automatisk väg eller som annan behandling än automatisk av sådana uppgifter som ingår i ett register.

b)      Är lagen utformad på rätt sätt?

55.      Att förse en journalist med tre rättegångshandlingar för att han bättre ska förstå den muntliga förhandling han ska rapportera om är att behandla personuppgifter enligt dataskyddsförordningen. Denna slutsats är lika mycket ett svar som en problemformulering. Människor är sociala varelser. Huvuddelen av vårt samspel innefattar något slags informationsutbyte, oftast med andra människor. Bör praktiskt taget alla sådana informationsutbyten omfattas av dataskyddsförordningen?

56.      Om jag går till puben en kväll och till mina fyra vänner kring bordet på offentlig plats (vilket således knappast uppfyller villkoren för undantaget för verksamhet av privat natur eller som har samband med hans eller hennes hushåll i artikel 2.2 c i dataskyddsförordningen(29)) fäller en föga smickrande kommentar om min granne som innehåller personuppgifter om honom som jag just har mottagit via e-post (det vill säga på automatisk väg och/eller som en del av mitt register), blir jag då den personuppgiftsansvarige för dessa uppgifter och blir alla (rätt betungande) skyldigheter i dataskyddsförordningen plötsligt tillämpliga på mig? Eftersom min granne inte hade lämnat sitt samtycke till denna behandling (utlämning genom överföring), och eftersom det är osannolikt att skvaller någonsin kommer att ingå bland de legitima skäl som räknas upp i artikel 6 i dataskyddsförordningen,(30) är det tvunget att jag genom detta utlämnande bryter mot ett antal bestämmelser i dataskyddsförordningen, däribland merparten av den registrerades rättigheter enligt kapitel III.

57.      Ställd inför sådana verkligt bisarra frågor från generaladvokaten vid den muntliga förhandlingen insisterade kommissionen på att det finns gränser för dataskyddsförordningens tillämpningsområde. Kommissionen kunde emellertid inte förklara exakt var dessa gränser går. Den medgav faktiskt att till och med en oavsiktlig ”behandling” av personuppgifter tycks föranleda att denna förordning blir tillämplig och således de rättigheter och skyldigheter som följer av den.(31)

58.      Detta är precis den fråga som förevarande mål, återigen, aktualiserar: Bör det inte sättas några materiella gränser för dataskyddsförordningens räckvidd? Är det meningen att varje form av mänskligt samspel genom vilket information om andra människor lämnas ut, oavsett hur den lämnas ut, ska omfattas av tämligen betungande regler?

59.      I denna nya tidsålder, där det finns en ändlös strävan mot ökad automatisering, förefaller det som om nästan alla aspekter av all verksamhet förr eller senare kan kopplas till en maskin som i allt större utsträckning har egen databehandlingsförmåga. För det mesta är användningen av sådana uppgifter underordnad eller bagatellartad (”de minimis”), vilket innebär att det i många fall inte sker någon ”verklig” behandling. Det förefaller emellertid ändå som om varken åtgärdens art (ren överföring kontra verklig bearbetning av och med personuppgifterna), metoden för det potentiella utlämnandet (skriftligt, manuellt eller elektroniskt kontra muntligt), eller mängden personuppgifter (ingen de minimis-regel, ingen skillnad i att lämna ut enskilda uppgifter om en specifik person kontra att bearbeta uppsättningar av personuppgifter) spelar någon roll för dataskyddsförordningens tillämplighet.

60.      Jag är säkerligen inte den första som förvånar mig över vidden av vad som tydligen utgör en ”behandling” i den mening som avses i dataskyddsförordningen, eller tidigare direktiv 95/46/EG.(32) I sitt förslag till avgörande i målet kommissionen/Bavarian Lager försökte generaladvokaten Sharpston föreslå att det borde införas någon form av minimitröskel för när det ska anses föreligga en behandling.(33)

61.      Ett mer försiktigt förhållningssätt till begreppen ”personuppgifter” och ”behandling” hade även tidigare föreslagits av artikel 29 – arbetsgruppen för skydd av personuppgifter.(34) Den påpekade att ”man inte enbart utifrån det faktum att en viss situation skulle kunna anses innebära ”behandling av personuppgifter” enligt definitionen [kan] avgöra om situationen ska omfattas av bestämmelserna i [direktiv 95/46], och då särskilt artikel 3”.(35) Den underströk även att ”[t]illämpningsområdet för uppgiftsskyddsbestämmelserna [inte] bör … sträckas för långt”. Den förutsåg till och med klokt nog att ”en mekanistisk tillämpning av varje enskild bestämmelse i direktivet” skulle kunna leda till ”alltför betungande eller kanske till och med absurda konsekvenser”.(36)

62.      Vad som då bör krävas är kanske, som ett minimum, en förändring, hantering eller annan behandling som innebär ”mervärde” för eller ”skälig användning” av de ifrågavarande personuppgifterna. Alternativt, eller parallellt, skulle en tydligare tonvikt kunna läggas på uttrycket på automatisk väg som utesluter alla andra former av rent utlämnande på icke automatisk väg, oavsett om detta sker muntligt eller genom en ren granskning av en skriftlig handling. Om ett sådant, eller något annat liknande, tröskelprov lades till skulle det kunna bidra till att dataskyddsbestämmelserna åter fokuserades på sådan verksamhet som det till att börja med var meningen att de skulle avslöja,(37) medan sådan oavsiktlig, underordnad eller minimal användning av personuppgifter som annars skulle ådra sig dataskyddsförordningens fulla vrede och kraft skulle kunna lämnas åsido.

63.      Hur det än är med den saken är jag inte blind för det faktum att EU-domstolens stora avdelning för inte så länge sedan förkastade idén om att införa ett sådant prov i domen i målet kommissionen/Bavarian Lager.(38) På liknande sätt har EU-domstolen alltsedan dess fortsatt att på ett ganska expansionistiskt sätt tolka tillämpningsområdet för direktiv 95/46 och för dataskyddsförordningen.(39)

64.      Av detta skäl är jag därför tvungen att dra slutsatsen att det även i förevarande mål är fråga om behandling av personuppgifter i den mening som avses i artikel 2.1 i dataskyddsförordningen, och således även i den mening som avses i artikel 55.3 i denna förordning.

65.      Jag misstänker emellertid att EU-domstolen, eller unionslagstiftaren för den delen, en dag kan bli tvungen att ompröva dataskyddsförordningens räckvidd. Det nuvarande synsättet håller successivt på att förvandla dataskyddsförordningen till ett av de faktiskt mest förbisedda rättsliga ramverken i unionsrätten. Detta förhållande är inte nödvändigtvis avsiktligt. Det är snarare den naturliga biprodukten av att dataskyddsförordningens räckvidd är för långtgående, vilket i sin tur leder till att ett antal individer helt enkelt är lyckligt omedvetna om att även deras verksamhet omfattas av dataskyddsförordningen. Även om det förvisso är möjligt att ett sådant skydd för personuppgifter fortfarande kan ”tjäna människor”,(40) är jag helt säker på att det faktiskt inte fungerar väl eller ens bidrar till en lags, inbegripet dataskyddsförordningen, auktoritet eller legitimitet att den blir ignorerad på grund av att den är oskälig.

2.      Den institutionella aspekten: Är det fråga om ”domstolar som behandlar personuppgifter i sin dömande verksamhet”?

66.      När det nu har godtagits att det föreligger en ”behandling” i den mening som avses i artikel 55.3 i dataskyddsförordningen, behöver den andra, tämligen institutionella aspekten av denna bestämmelse utforskas. Hur ska uttrycket ”domstolar som behandlar personuppgifter i sin dömande verksamhet” tolkas?

67.      Syftet med denna bestämmelse är att göra åtskillnad mellan åtgärder som domstolar bör anses ha vidtagit ”i sin dömande verksamhet” och åtgärder som faller utanför denna kategori, såsom, förmodligen, administrativa uppgifter. En liknande distinktion återkommer i en rad andra lagstiftningssammanhang, framför allt vad gäller tillgång till handlingar och öppenhetsprincipen i artikel 15.3 fjärde strecksatsen FEUF.(41) Vid en närmare granskning framstår emellertid artikel 55.3 i dataskyddsförordningen som en specifik bestämmelse i sin egen rätt.

68.      Kommissionen har gjort gällande att uttrycket ”som behandlar personuppgifter i sin dömande verksamhet” ska ses på ett strikt funktionellt sätt och tolkas restriktivt. Den har hävdat att särskild hänsyn bör tas till skäl 20 i dataskyddsförordningen och syftet att säkerställa domstolsväsendets oberoende. Sett ur det perspektivet bör endast verksamhet som har eller skulle kunna ha ett direkt samband med rättsligt ”beslutsfattande” omfattas av uttrycket ”dömande verksamhet”, så att endast sådan verksamhet skulle falla utanför de behöriga tillsynsmyndigheternas behörighetsområde.

69.      Övriga parter i förevarande mål har intagit motsatt ståndpunkt. De har i huvudsak gjort gällande att bruket av ordet ”inbegripet” i skäl 20 i dataskyddsförordningen tyder på att unionslagstiftaren inte ville att uttrycket ”som behandlar personuppgifter i sin dömande verksamhet” skulle ges en snäv tolkning och att syftet att säkerställa domstolsväsendets oberoende måste ges en vid tolkning.

70.      Jag delar i stora drag denna senare uppfattning.

71.      Artikel 55.3 i dataskyddsförordningen definierar den behöriga tillsynsmyndighetens behörighet att utöva tillsyn. Såsom kommissionen med rätta påpekade vid den muntliga förhandlingen fungerar den inte som ett undantag från den övergripande tillsynsskyldigheten. När väl en behandling omfattas av det materiella tillämpningsområdet för dataskyddsförordningen, blir den nämligen därmed även underkastad kravet på att den ska kontrolleras av en oberoende myndighet enligt artikel 8.3 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och mer allmänt enligt artikel 16.2 FEUF. Denna tillsyn ska utföras av ett annat organ än den tillsynsmyndighet som utsetts i enlighet med artikel 51.1 i dataskyddsförordningen.

72.      För att tillsynsbehörigheten ska tilldelas ett annat organ än den allmänna tillsynsmyndigheten enligt artikel 55.1 i dataskyddsförordningen krävs det enligt artikel 55.3 i denna förordning, förutom att det är fråga om en behandling, för det första att det handlar om en viss typ av institution (”domstolar”) och, för det andra, att en specifik verksamhet utövas av dessa domstolar (”som behandlar personuppgifter i sin dömande verksamhet”). Detta innebär att det behöver göras ett prov som beaktar båda dessa kännetecken.

73.      Vad gäller det förstnämnda står det klart att, utanför det med nödvändighet autonoma området för artikel 267 FEUF, innebär begreppet ”domstol” ett organ som utgör en enhet i medlemsstatens rättssystem och är erkänd som sådan.(42) Såsom jag tidigare har föreslagit, och såsom den nederländska regeringen påpekade vid förhandlingen, är ”domstolsmässig” karaktär regel i fråga om domstolars verksamhet medan ”administrativ” karaktär ska anses utgöra ett undantag, eftersom sådan verksamhet är underordnad eller förbunden med deras huvudsakliga, dömande verksamhet.(43) Om det berörda organet med andra ord har utsetts till ”domstol” i medlemsstaternas rättsväsen, så presumeras det normalt att det utövar ”dömande verksamhet”, såvida inte motsatsen bevisas i ett enskilt fall.(44)

74.      Vad gäller det sistnämnda sker den funktionella korrigeringen av denna institutionella bestämning därefter genom en bedömning av den ifrågavarande verksamhetens typ eller art.(45) Autoriteit Persoonsgegevens (dataskyddsmyndigheten) samt den spanska och den nederländska regeringen har med rätta pekat på skäl 20 i dataskyddsförordningen för att understryka att när det specifikt gäller artikel 55.3 i dataskyddsförordningen ska denna korrigering tolkas brett.

75.      Inledningsvis vill jag ändå framhålla att definitionen i artikel 55.3 i dataskyddsförordningen helt korrekt har två aspekter, nämligen den institutionella aspekten och den funktionella korrigeringen (eller anpassningen). Det förhåller sig på det sättet för att den helt logiskt vill fånga in vissa funktioner (rättskipande) inom vissa institutioner (domstolar). Denna definition är inte och kan inte vara rent funktionell. Om så vore fallet och om uttrycket ”som behandlar personuppgifter i sin dömande verksamhet” skulle ges företräde framför begreppet ”domstolar”, så skulle andra organ och myndigheter i medlemsstaterna som i enskilda fall faktiskt utövar någon rättskipande funktion kunna göra anspråk på att betraktas som organ som faller utanför tillsynsmyndigheternas behörighet enligt artikel 55.1. Artikel 55.3 i dataskyddsförordningen är emellertid begränsad till domstolar som behandlar personuppgifter i sin dömande verksamhet. Den omfattar inte organ som behandlar personuppgifter i sin dömande verksamhet.

76.      Varför ska uttrycket ”som behandlar personuppgifter i sin dömande verksamhet” i nästa steg ges en vid tolkning, så att det sannolikt snarare inkluderar än exkluderar gränsfall?

77.      För det första skriver jag, i motsats till kommissionen, inte under på att förhållandet mellan artikel 55.1 och 55.3 i dataskyddsförordningen ska begränsas till den förenklade logiken i ”undantaget från regeln”. Såsom jag redan har förklarat ovan(46) inrättas genom artiklarna 55 och 56 i dataskyddsförordningen ett nyanserat system för tillskrivande av behörighet att utöva tillsyn över vissa territorier, vissa typer av behandling och vissa aktörer.

78.      För det andra kan det erinras om att det i skäl 20 andra meningen i dataskyddsförordningen anges att ”[t]illsynsmyndigheternas behörighet [inte] bör … omfatta domstolars behandling av personuppgifter när detta sker inom ramen för domstolarnas dömande verksamhet, i syfte att säkerställa domstolsväsendets oberoende när det utför sin rättskipande verksamhet, inbegripet när det fattar beslut”.(47)

79.      I detta sammanhang är orden ”i syfte att” och ”inbegripet” indikationer på den vida tolkning som ska ges uttrycket ”som behandlar personuppgifter i sin dömande verksamhet”.

80.      Å ena sidan är uttrycket ”i syfte att” i denna mening en upplysning om syftet och inte om begränsning. I detta skäl slås, genom ett abstrakt uttalande, fast att syftet med den behörighetsfördelning som föreskrivs i artikel 55.3 i dataskyddsförordningen är att skydda rättsväsendets oberoende. I motsats till vad kommissionen föreslog vid den muntliga förhandlingen innebär uttrycket ”i syfte att” faktiskt inte att varje behandling måste bidra till att domstolsväsendets oberoende säkerställs. Enkelt uttryckt anges det inte i skäl 20 att varje behandling som utförs av en domstol på ett individuellt och konkret sätt måste säkerställa rättsväsendets oberoende i syfte att undantas från tillsynsmyndighetens tillsyn enligt artikel 55.1. I den anges bara att på systemnivå har det särskilda tillsynssystemet inrättats i syfte att säkerställa domstolsväsendets oberoende. Detta är, enligt min mening, mycket olika former av ”i syfte att”.

81.      Å andra sidan bekräftas behovet av en vid tolkning av uttrycket ”dömande verksamhet” även av att ordet ”inbegripet” lagts till före uttrycket ”fattar beslut” i skäl 20 andra meningen i dataskyddsförordningen. Den koppling som därigenom skapas visar nämligen även att uttrycket ”dömande verksamhet” måste ges en vidare tolkning än enbart enskilda beslut i konkreta mål. Det finns således återigen inte något behov av att säkerställa att varje enskild behandling på ett synbart och tydligt sätt måste säkerställa domstolsväsendets oberoende. Snarare kan en domstol faktiskt anses agera inom ramen för sin ”dömande verksamhet” även när den utövar verksamhet som är knuten till domstolsväsendets allmänna funktion eller till domstolsförfarandets allmänna genomförande och administration, om det så, som en illustration, rör sig om att sammanställa och lagra handlingar, fördela mål på domare, förena mål, förlänga frister, genomföra och organisera muntliga förhandlingar, offentliggöra och sprida dess domar till den breda allmänheten (särskilt vad gäller högre domstolar), eller till och med att utbilda nya domare.

82.      För det tredje kan samma slutsats även dras av det uttalade syftet att säkerställa ”domstolsväsendets oberoende när den utför sin rättskipande verksamhet”. EU-domstolen har i sin rättspraxis, särskilt i senare domar, genomgående tolkat uttrycket ”domstolsväsendets oberoende” brett så att det innefattar domarnas möjlighet att utöva sitt ämbete utan någon form av (direkta eller indirekta, faktiska eller potentiella) påtryckningar.(48)

83.      Jag kan inte inse varför samma tolkning inte skulle kunna användas som bas för tolkningen av uttrycket ”domstolsväsendets oberoende” även när det gäller dataskyddsförordningen. Såvida man emellertid inte vill uppdra åt den behöriga tillsynsmyndigheten att på individuell basis bedöma huruvida dess tillsyn i ett konkret fall skulle kunna skada detta oberoende är en restriktiv tolkning av skäl 20 och artikel 55.3 i dataskyddsförordningen verkligen inte motiverad.

84.      Mot denna bakgrund finner jag det svårt att godta kommissionens argument och tolkning av begreppet domstolsväsendets oberoende. Vid den muntliga förhandlingen insisterade kommissionen gång på gång på att det, för att artikel 55.3 i dataskyddsförordningen ska vara tillämplig, krävs ett direkt samband mellan behandlingen av de ifrågavarande personuppgifterna och ett pågående rättsligt förfarande. Om så hade varit fallet, ställer jag mig frågande till exakt vad uttrycket domstolsväsendets oberoende, som unionslagstiftaren tydligt har stött sig på, hade kunnat tillföra definitionen av tillämpningsområdet för dömande verksamhet.

85.      Om uttrycket domstolsväsendets oberoende ska ha någon mening i detta sammanhang, så är det framför när det gäller att skydda rättsväsendets funktion mot indirekta anspelningar, påtryckningar och influenser. Om EU-domstolens senare praxis vittnar om något, så är det att indirekta hot mot rättsväsendets oberoende i praktiken är mer vanligt förekommande än direkta hot. Som ett anmärkningsvärt aktuellt exempel som faller under denna kategori kan nämnas systemet för disciplinära förfaranden mot domare.(49) I strikt bemärkelse är sådana förfaranden (eller det möjliga tillgripandet därav) inte direkt kopplade till enskilt beslutsfattande i domstolarna. Få skulle emellertid ifrågasätta deras relevans för den miljö i vilken sådana beslut fattas och de omfattas helt klart av uttrycket domstolsväsendets oberoende.

86.      Av alla dessa skäl kan jag inte godta kommissionens sätt att tolka uttrycket domstolar som behandlar personuppgifter i sin dömande verksamhet i artikel 55.3 i dataskyddsförordningen. Det skulle i huvudsak innebära att administrativ tillsyn enligt artikel 55.1 i dataskyddsförordningen alltid skulle vara tillåten, såvida det inte fanns ett direkt samband med, och förmodligen även en märkbar effekt på, domstolarnas beslutsfattande. Detta synsätt förbiser enligt min mening vad syftet med att säkerställa rättsväsendets oberoende rätteligen bör vara. Rättsväsendets oberoende handlar inte (endast) om att i efterhand konstatera att något redan har hänt. Det handlar framför allt om att på förhand skapa tillräckliga garantier för att vissa saker inte ska kunna hända.

87.      Detsamma gäller för argumentet att det naturligtvis inte kan tas för troligt att tillsynsmyndigheterna enligt artikel 55.1, även om de tilläts utöva tillsyn över domstolsverksamhet, skulle ha någon önskan att på förhand påverka rättsprocessen. Här vill jag bara hålla med. Inte heller detta har emellertid något med saken att göra om det mål som ska uppnås är att säkerställa rättsväsendets oberoende. Tolkningen och institutionsbyggandet i sådana fall kan inte utgå från en saklig logik (Har det redan hänt?) utan måste följa av en preventiv logik (Se till att sådana saker inte kan hända, oberoende av de berörda aktörernas specifika beteende.).(50)

88.      För det fjärde anser jag slutligen att detta i lagen angivna syfte med artikel 55.3 i dataskyddsförordningen även ger ett svar på hur gränsfallsscenarier, det vill säga gråzonen mellan det som är tydligt rättsligt och det som tydligt är något annat, förmodligen administrativt, ska behandlas.

89.      I praktiken vidtar domstolar naturligtvis ett antal gränsfallsåtgärder som kanske inte är direkt förknippade med ett domstolsavgörande i ett visst mål, men som kan ha en direkt eller indirekt inverkan på rättsprocessen. Man kan ta rättens ordförandes fördelning av mål som exempel, under förutsättning naturligtvis att rättssystemet ger ordföranden handlingsfrihet i detta avseende. Vid en snäv tolkning av vad som ska anses inrymmas i ”dömande verksamhet”, är det föga troligt att denna åtgärd skulle omfattas av artikel 55.3 i dataskyddsförordningen. En tillsynsmyndighet skulle därmed vara behörig att utöva tillsyn över den behandling av personuppgifter som sker inom ramen för denna verksamhet. Ändå är ett sådant beslut inte heller av administrativ karaktär. Det är faktiskt få som skulle ifrågasätta att fördelningen av ett mål till en tjänstgörande domare är en i grunden rättslig uppgift, och att ett inkräktande på denna skulle kunna få betydande effekter för rättsväsendets oberoende.

90.      Annan verksamhet som faller under samma kategori är exempelvis rättssalarnas rumsliga disposition, placeringsordning och handhavande under domstolens sammanträden; bruket av säkerhetsåtgärder för besökare, parter och ombud; videoinspelning, eller kanske till och med videoströmning, av förhandlingar; särskild åtkomst för pressen till de muntliga förhandlingarna; och till och med den information som finns tillgänglig på en domstols webbplats om förhandlingar och domar. Ingen av dessa (rena exempel på) verksamheter är vare sig rent rättskipande i den meningen att de har ett direkt samband med utgången i ett enskilt mål eller enbart administrativa. I många fall kan sådana typer av verksamhet, under vissa omständigheter, påverka en domstols oberoende ställning. Skulle det således vara lämpligt om domstolarnas eventuella efterlevnad av dataskyddsförordningen kontrollerades av en och samma myndighet som också skulle kunna stå som svaranden inför dessa domstolar i mål som väckts mot beslut som fattats av denna myndighet?

91.      I andra änden av spektrumet finns uppgifter som vid första anblicken förefaller vara rent administrativa, såsom underhåll av domstolsbyggnaderna, entreprenadavtal om cateringtjänster, eller normal hantering av leveranser och underhåll av institutioner och arbetsplatser. Det är sant att det även inom denna kategori kan förekomma gränsfall. Utbetalning av löner till domare kan vara just ett sådant exempel.(51) Om dessa arbetsuppgifter endast inbegriper en mekanisk behandling av fasta lönebesked, så är de av typiskt administrativ karaktär. Tillsynen över sådana verksamheter skulle således kunna falla inom behörighetsområdet för den tillsynsmyndighet som tillsatts i enlighet med artikel 51.1 i dataskyddsförordningen. Så snart emellertid ett element av handlingsfrihet läggs till denna uppgift, som exempelvis när det gäller att besluta om vilken typ av semesterersättning, julbonus eller bosättningsbidrag som en viss domare kan erhålla, kan denna verksamhet snabbt förlora sin oskyldiga, enbart administrativa status.(52)

92.      Det skulle nämligen inte vara förenligt med logiken i skäl 20 i dataskyddsförordningen om sådan verksamhet, enbart på grund av sin allmänna klassificering, skulle övervakas av tillsynsmyndigheten enligt artikel 51.1, och inte av den ”interna” myndighet som tillsatts specifikt för verksamhet som potentiellt kan påverka domstolsväsendets oberoende. Det blir här en fråga om konsekvens: man kan inte separera ett särskilt policybeslut som fattats inom ramen för den dömande verksamheten från dess genomförande ifall en kontroll av den administrativa personalens därav följande genomförandebeslut skulle föranleda samma problem med att rättsväsendets oberoende undergrävdes. Även genomförandet av ett policybeslut som fattats inom ramen för den dömande verksamheten ska, som sådant, falla utanför den behöriga (administrativa) tillsynsmyndighetens tillsynsområde.

93.      Sammanfattningsvis går det därför inte att, mot bakgrund av lagstiftarens syfte såsom det kommer till uttryck i skäl 20 i dataskyddsförordningen, se på klassificeringen av åtgärder som domstolar vidtar ”i sin dömande verksamhet” på ett individuellt och fallspecifikt sätt som fokuserar på det potentiella intrånget i vad som är ”dömande verksamhet” i varje enskilt fall. Ett sådant synsätt skulle per definition vara beroende av sak och omständigheter, ibland bredare och ibland snävare. Det tillvägagångssätt som väljs för tolkningen av detta uttryck måste därför vara strukturellt (det vill säga grunda sig på typen av verksamhet) och, till sin själva natur, förebyggande. Med hänsyn till principen om rättsväsendets oberoende bör därför de åtgärder som domstolarna vidtar i gränsfall, som när det föreligger tvivel beträffande arten av en typ av åtgärd eller finns minsta risk att tillsyn över sådan verksamhet skulle kunna påverka rättsväsendets oberoende, ligga (strukturellt) utanför tillsynsmyndighetens behörighetsområde enligt artikel 55.1.

94.      Efter att ha gett detta svar beträffande definitionen av uttrycket domstolar som behandlar personuppgifter i sin dömande verksamhet ska jag, för fullständighetens skull, avsluta med att kommentera tre ytterligare argument som de olika berörda parterna har framfört inom ramen för förevarande mål.

95.      För det första finner jag begränsat praktiskt värde i att lägga någon vikt vid bakgrunden till skäl 20 i dataskyddsförordningen. Den hänskjutande domstolen har förklarat att det framgår av förarbetena till dataskyddsförordningen att den ursprungliga versionen av skäl 20 i dataskyddsförordningen var formulerad analogt med skäl 80 i direktiv (EU) 2016/680.(53) Enligt den sistnämnda bör undantaget för ”behandling av personuppgifter inom ramen för domstolars dömande verksamhet” vara inskränkt till ”rättsliga verksamheter i domstolsmål och inte vara tillämpligt på övriga verksamheter där domare i enlighet med medlemsstaternas nationella rätt kan medverka”. I slutänden behölls emellertid inte någon sådan inskränkning av behörigheten i den slutliga versionen av skäl 20 i dataskyddsförordningen. Om någon slutsats kan dras av detta faktum, så handlar den snarare om kontrast än om analogi. Unionslagstiftaren har trots allt tydligt avvikit från denna tidigare lydelse och därmed sannolikt förkastat en restriktiv tolkning som skiljer mellan olika typer av ”dömande verksamhet”.

96.      För det andra går det i förevarande mål inte att nöja sig med att bara återupprepa en logik som betonar de distinktioner som gjorts inom ramen för lagstiftning och rättspraxis om tillgång till handlingar. Det syfte som ligger bakom skiljelinjen i artikel 15.3 fjärde stycket FEUF (som skyddar integriteten i rättsprocessen och pågående rättsliga förfaranden) skiljer sig från syftet med den förment identiska uppdelningen i artikel 55.3 i dataskyddsförordningen (som säkerställer rättsväsendets oberoende).

97.      När det mer specifikt gäller domarna i de förenade målen Sverige m.fl./API och kommissionen(54) och i målet Breyer/kommissionen,(55) som kommissionen har åberopat i förevarande mål, avser de skyddet för ”rättsliga förfaranden”, vilket är av undantagen i artikel 4 i förordning (EG) nr 1049/2001.(56) Som jag förklarade i mitt förslag till avgörande i målet Friends of the Irish Environment lägger detta undantag tonvikten på den begränsade varaktigheten av en enskild rättstvist snarare än på rättsväsendets ständigt pågående verksamhet.(57) Det ser därför i första hand på verksamheter som omfattas av artikel 4.2 i förordning nr 1049/2001 genom ett tidsmässigt objektiv. Detta tidsmässiga undantag från utlämningslogiken är emellertid helt främmande för artikel 55.3 i dataskyddsförordningen, som rör permanent tilldelning av behörighet att utöva tillsyn. Som generaladvokaten Sharpston så träffande formulerade saken i målet Flachglas Torgau, saknar sådan sant dömande verksamhet således ”tidsmässigt … början eller slut”.(58)

98.      För det tredje vill jag slutligen beröra frågan om varför den avvägning som den spanska regeringen har föreslagit mellan rätten till skydd för personuppgifter och vissa andra grundläggande rättigheter (som krävs enligt artikel 85 i dataskyddsförordningen) inte faller inom ramen för bedömningen enligt artikel 55.3 i denna förordning. Detta beror på att den objektiva bedömningen, vad gäller tilldelningen av tillsynsbehörighet, av huruvida en verksamhet utförs inom ramen för ”dömande verksamhet” inte är beroende av en avvägning mot grundläggande rättigheter. Enligt artikel 55.3 i dataskyddsförordningen är det i stället nödvändigt att göra en ”typbedömning” som, såsom jag har förklarat i de föregående avsnitten, är kopplad till rättsväsendets allmänna funktion och policybeslut som har samband därmed.

99.      Jag antyder inte på något sätt att det inte behöver göras en avvägning vid bedömningen av huruvida ett utlämnande av handlingar är förenligt med rätten till skydd för personuppgifter. Det är det verkligen, men först senare, vid bedömningen av huruvida det omtvistade utlämnandet (som skedde inom ramen för domstolens ”dömande verksamhet”) stod i proportion till det eftersträvade målet och därmed var förenligt med de materiella bestämmelserna i dataskyddsförordningen.(59)

100. Sammanfattningsvis föreslår jag att uttrycket ”som behandlar personuppgifter i sin dömande verksamhet”, i den mening som avses i artikel 55.3 i dataskyddsförordningen, ska ses ur ett institutionellt perspektiv (”Är det en domstol?”), som sedan eventuellt korrigeras genom en funktionell bedömning av den ifrågavarande verksamhetens art (”Vilken typ av åtgärd vidtar domstolen?”). Med hänsyn till det syfte som anges i skäl 20 i dataskyddsförordningen bör det vid sistnämnda bedömning av åtgärden göras en vid tolkning av uttrycket ”dömande verksamhet” som sträcker sig utöver rent rättsligt beslutsfattande i konkreta mål. Den ska även innefatta all verksamhet som indirekt kan påverka rättsväsendets oberoende. Domstolar ska, som sådana, normalt anses agera inom ramen för sin ”dömande verksamhet”, såvida det inte, i fråga om en viss typ av verksamhet, kan fastställas att den uteslutande är av administrativ karaktär.

C.      Förevarande mål

101. Efter att ha föreslagit ett allmänt prov som enligt min mening följer av artikel 55.3 i dataskyddsförordningen, går jag nu över till de tolkningsfrågor som ställts av den hänskjutande domstolen.

102. Jag erinrar om att fråga 1 i huvudsak syftar till att få klarhet i huruvida nationella domstolar behandlar personuppgifter ”i sin dömande verksamhet”, i den mening som avses i artikel 55.3 i dataskyddsförordningen, när de lämnar ut vissa rättegångshandlingar till en journalist för att underlätta dennes rapportering av ett visst mål. De övriga frågorna bygger på EU-domstolens svar på den första tolkningsfrågan genom att begära vägledning om huruvida bedömningen av fråga 1 påverkas av, för det första, den omständigheten att den nationella tillsynsmyndigheten eventuellt inkräktar på rättsväsendets oberoende i ett konkret mål (fråga 1a); för det andra, arten av och syftet med behandlingen av uppgifter, det vill säga utlämnandet av information till en journalist för att underlätta dennes rapportering av en offentlig muntlig förhandling i ett mål (fråga 1b); och, för det tredje, huruvida det finns en rättslig grund för ett sådant utlämnande av handlingar eller ej (fråga 1c).

103. För att börja med fråga 1 ska uttrycket ”domstolar som behandlar personuppgifter i sin dömande verksamhet” i den mening som avses i artikel 55.3 i dataskyddsförordningen, såsom jag har förklarat i föregående avsnitt av detta förslag till avgörande, ges en institutionell tolkning som därefter, i förekommande fall, anpassas genom en bred ”korrigering relaterad till verksamhetstyp”.

104. I förevarande mål är den institutionella klassificeringen klar. Raad van State (Högsta förvaltningsdomstolen) fungerar nämligen som övre instans i förvaltningsrättsliga mål i Nederländerna. På samma sätt är de berörda parterna, vad avser frågan huruvida den omtvistade åtgärden faller inom kategorin personuppgifter som domstolen behandlar i sin ”dömande verksamhet”, eniga om att utlämnandet av rättegångshandlingar till en journalist för att underlätta dennes rapportering av en muntlig förhandling faller inom ramen för den typ av dömande verksamhet som avses i artikel 55.3 i dataskyddsförordningen.

105. Jag håller med. En policy, såsom den som är aktuell i förevarande mål, vilken innebär att valda rättegångshandlingar lämnas ut till pressen för att göra domstolarnas arbete mer transparent och begripligt, knyter an till kärnan i rätten till en rättvis rättegång(60) och hänför sig klart till behandling av personuppgifter inom ramen för ”dömande verksamhet”. Nämnda utlämnande utgör nämligen en del av det moderna rättsväsendets större uppgift att hålla allmänheten informerad om hur rättvisa har uppnåtts å deras vägnar.(61)

106. I motsats till vad medborgare Z har hävdat saknar det för detta resonemang betydelse att det var informationsavdelningen vid Raad van State (Högsta förvaltningsdomstolen), vilken vad jag förstår består av annan domstolspersonal än domare, som lämnade ut de omtvistade handlingarna. Bortsett från att det, på grund av rättsväsendets institutionella oberoende, är denna institution själv som bestämmer om den interna arbetsfördelningen, skedde det omtvistade utlämnandet, såsom den hänskjutande domstolen har förklarat, och vilket den nederländska regeringen bekräftade vid den muntliga förhandlingen, dessutom under överinseende av ordförande P.

107. Även om det omtvistade beslutet om utlämnande inte hade fattats av en avdelning inom den nationella domstolen, utan i stället av ett externt organ som stod under den nationella domstolens allmänna överinseende, skulle emellertid resultatet ha blivit detsamma. För det första beror detta på att om verksamhetstypen omfattas så saknar det betydelse vem som har utsetts att vidta denna åtgärd enligt nationell rätt. För det andra kan strukturskillnader på nationell nivå inte leda till att resultatet blir ett annat när en viss verksamhet endast tjänar som korrigering av en enkel institutionell klassificering.(62) I annat fall skulle en tillsynsmyndighet såsom Autoriteit Persoonsgegevens (dataskyddsmyndigheten) få kontroll över presspolicyn vid Raad van State (Högsta förvaltningsdomstolen), vilket, indirekt, skulle göra det möjligt för den att pröva ett materiellt beslut som fattats av nämnda domstol avseende offentliggörande av rättvisan i ett konkret mål.

108. Detta leder mig till fråga 1a. Här vill den hänskjutande domstolen få klarhet i huruvida den i varje enskilt fall måste fastställa huruvida tillsyn skulle påverka rättsväsendets oberoende.

109. Svaret är ”nej”. Som jag har förklarat ovan(63) ska hänvisningen till ”dömande verksamhet” i skäl 20 i dataskyddsförordningen inte förstås så, att det krävs en prövning i varje enskilt fall av om det föreligger ett hot mot domstolsväsendets oberoende. Den representerar snarare den övergripande ändamålsförklaringen bakom bestämmelsen i artikel 55.3 i dataskyddsförordningen, som är av institutionell karaktär. Denna ändamålsförklaring leder till att alla typer av domstolsverksamhet, där det finns en risk att tillsynen över dess förenlighet med dataskyddsförordningen ens indirekt skulle kunna påverka domstolsväsendets oberoende inom tillämpningsområdet för artikel 55.3 i dataskyddsförordningen, ska inkluderas i förebyggande syfte.

110. Det kan tilläggas att ur en mer praktisk synvinkel, frånsett argument av strukturell, konstitutionell natur, är en sådan lösning även den enda rimliga och praktiska. Är det verkligen någon som på allvar skulle föreslå att en nationell tillsynsmyndighet enligt artikel 55.1 i dataskyddsförordningen, då den avgör om den är behörig att handlägga ett ärende över huvud taget, måste göra en fullskalig individuell bedömning av varje typ av behandling? Ska dessa myndigheter verkligen inlåta sig på den föga avundsvärda uppgiften att på individuell basis fastställa för vilka behandlingsåtgärder som tillsynen skulle kunna påverka den ifrågavarande nationella domstolens oberoende, och för vilka den inte skulle göra det, och omedelbart filtrera vad de har rätt att kontrollera i enlighet därmed?

111. Detta har samband med det svar som ska ges på fråga 1b. Den exakta karaktären på och det exakta syftet med en viss behandling är nämligen inte avgörande för svaret på den strukturella frågan om när domstolen behandlar personuppgifter i sin ”dömande verksamhet”. Öppen rättvisa och administrationen av denna är visserligen särskilt viktiga uppgifter för det moderna domstolsväsendet i ett demokratiskt samhälle. Dessa överväganden spelar dock ingen roll för bedömningen enligt artikel 55.3 i dataskyddsförordningen, så länge den ifrågavarande behandlingen är en naturlig del av det vidare begreppet ”dömande verksamhet”. Varje annan slutsats skulle nämligen i smyg återinföra den typ av restriktiv tolkning av artikel 55.3 i dataskyddsförordningen som kommissionen har föreslagit.

112. Apropå det kastar just denna punkt strålkastarljuset på varför säkerställandet av domstolsväsendets oberoende endast kan hänföra sig till det övergripande och strukturella mål som föranledde införandet av artikel 55.3 i dataskyddsförordningen, och inte till förutsättningar som ska fastställas i varje enskilt fall.(64) Om så inte vore fallet, skulle det vara ganska uppenbart att ”intresset av öppenhet och transparens i rättskipningen”, vilket den hänskjutande domstolen har uppgett vara det relevanta syftet med den berörda behandlingen av personuppgifter i förevarande mål, inte skulle vara detsamma som att ”säkerställa domstolsväsendets oberoende”.

113. Det skulle i så fall bara vara möjligt att resonera på två sätt. Antingen skulle man behöva dra slutsatsen att öppenheten i rättskipningen har ett annat syfte än domstolsväsendets oberoende. I så fall skulle utlämnande till journalister falla utanför tillämpningsområdet för artikel 55.3 i dataskyddsförordningen, vilket alla berörda parter, inklusive kommissionen för den delen, säger helt enkelt inte kan vara fallet. Alternativt skulle man i så fall behöva blåsa upp uttrycket ”domstolsväsendets oberoende” (som redan nu inte är särskilt snävt) så överdrivet mycket att det även omfattade öppenhet och transparens i domstolsväsendet, och möjligen andra värden, och därigenom förvandla allt som ägde rum i det rättsliga forat till ett intresse eller värde som var en naturlig del av domstolsväsendets oberoende. Detta skulle emellertid i sin tur innebära att hela strukturen ställdes på huvudet. Domstolsväsendets oberoende är inte ett mål i sig. Det har inget egenvärde. Det är i sig av transitivt värde, ett medel för ett mål som ska uppnås genom att det finns en oberoende domarkår, nämligen rättvis och opartisk tvistlösning.

114. Det betyder inte att det aldrig skulle kunna vara till nytta att undersöka en behandlings art och syfte. Det är det naturligtvis. Dock inte på det stadium då det avgörs vilken räckvidd artikel 55.3 i dataskyddsförordningen ska ha, utan i stället då det avgörs om en behandling är laglig enligt artikel 6.1 i dataskyddsförordningen eller någon annan materiell bestämmelse i denna förordning. Det skulle faktiskt kunna vara helt relevant att göra en bedömning av varför en viss behandling har ägt rum vid fastställandet av huruvida nämnda behandling var, säg, ”nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning”, i den mening som avses i artikel 6.1 e i dataskyddsförordningen. Likaså är behandlingens art och syfte en naturlig del av bedömningen av huruvida de principer som anges i artikel 5 i dataskyddsförordningen har iakttagits.

115. Det är här som fråga 1c ansluter till och fortsätter diskussionen längs samma spår. Prövningen av huruvida det behövs en rättslig grund i nationell rätt, och vilken typ av rättslig grund som krävs, är även här inriktad på om behandlingen är berättigad och laglig. Detta är en fråga som ska bedömas enligt artikel 6 i dataskyddsförordningen. Även om det i handlingarna i målet på ett allmänt sätt nämns att UAVG ”genomför” dataskyddsförordningen, sägs det dock ingenting om hur artikel 6 i dataskyddsförordningen har beaktats i samband med den omtvistade behandlingen i förevarande mål. Dessutom har den hänskjutande domstolen inte ställt någon direkt fråga om behandlingens laglighet.

116. Rent allmänt kan jag bara hänvisa till de synpunkter som nyligen framförts på denna punkt i mitt förslag till avgörande i målet Valsts ieņēmumu dienests.(65) En nationell rättslig grund som inrättats med stöd av artikel 6 i dataskyddsförordningen behöver nämligen endast omfatta vad som i sak är en allmän och kontinuerlig praxis att lämna ut handlingar till pressen. När det finns en sådan allmän rättslig grund kan jag inte inse att det skulle behövas vare sig ett syfte eller proportionalitet bakom varenda enskilt beslut avseende behandling av personuppgifter.(66)

D.      En coda: dataskyddsförordningen och rättsväsendets funktion

117. Förevarande mål liknar en lök. Det har många skikt. Om man håller sig till det yttre skiktet av de frågor som den hänskjutande domstolen har ställt, och tar och besvarar dem rent bokstavligt, skulle man, inklusive EU-domstolen, faktiskt kunna stanna där. Ett svar skulle ha getts på det centrala problem som den hänskjutande domstolen har ställts inför, och som innefattas i dess första fråga angående artikel 55.3 i dataskyddsförordningen.

118. Jag anser att det skulle vara möjligt, och inom ramen för förevarande mål helt berättigat, att stanna kvar i detta yttre skikt. Löken behöver inte skalas om det inte uttryckligen begärs.

119. Samtidigt går det emellertid inte att dölja att den hänskjutande domstolen, vad gäller det sanna innehållet i tolkningsfrågorna, successivt glider över från frågan om behörighet enligt artikel 55.3 i dataskyddsförordningen till den materiella prövningen av målet, möjligen enligt artikel 6 i dataskyddsförordningen, särskilt genom fråga 1b och fråga 1c. Allt detta glidande och korsande kan naturligtvis hänföras till att det är en ny fråga som den hänskjutande domstolen har ställt och att gränslinjerna för tolkningen av artikel 55.3 i dataskyddsförordningen är oklara. När väl denna tolkning är klar blir svaret på alla frågor tydligt och dessa överväganden överflödiga.

120. Icke desto mindre kan allt detta faktiskt även tas som en indikation på något annat, nämligen att det är ganska svårt att på ett smidigt sätt separera frågan om behörighet enligt artikel 55.3 i dataskyddsförordningen från bedömningen av sakfrågan och tillämpningsområdet för hela instrumentet över huvud taget. Vad vore det för vits med att överväga vem som ska utöva tillsyn över vem om dataskyddsförordningen faktiskt inte var tillämplig alls på vissa typer av verksamhet?(67) Detsamma gäller för det fall att en medlemsstat lagligt skulle undanta domstolarna från skyldigheterna i dataskyddsförordningen. Om det inte har ålagts några konkreta skyldigheter finns det inte heller något att övervaka.

121. Samtidigt har medborgaren Z i sitt skriftliga yttrande, som till större delen rör målets institutionella och processuella skikt, uttryckt tvivel om huruvida artikel 55.3 i dataskyddsförordningen är förenlig med artiklarna 8.3 och 47 i stadgan. Han anser att artikel 55.3 i dataskyddsförordningen är ogiltig i den mån den fråntar den (allmänt behöriga) tillsynsmyndigheten enligt artikel 55.1 sin behörighet att utöva tillsyn utan att, samtidigt, ålägga medlemsstaterna en skyldighet att inrätta en annan oberoende myndighet i linje med ordalydelsen i artikel 8.3 i stadgan och artikel 16.2 FEUF. Denna lucka i lagstiftningen medför även med säkerhet att artikel 47 i stadgan, och möjligen till och med artikel 19.1 FEU, åsidosätts. Det påstås frånta medborgare Z alla möjligheter till ett effektivt rättsmedel inför en oavhängig domstol.

122. Med vederbörlig hänsyn tagen till alla dessa synpunkter anser jag dock, med tanke på att ingen av dessa frågor faktiskt uttryckligen har tagits upp av den hänskjutande domstolen, men också med hänsyn till det förevarande målets omfattning och sammanhang samt de argument som har framförts under förfarandets gång, att det är bäst att lämna dessa frågor till ett annat mål, för det fall att behovet faktiskt skulle uppstå.

123. Jag nöjer mig därför med att helt enkelt avsluta med några anmärkningar om dataskyddsförordningens lagstiftningsmässiga utformning vad gäller domstolarnas dömande funktion. Jag har bemödat mig om att förstå det legislativa resonemanget bakom arrangemanget med sakinnehåll – undantag – tillsyn över efterlevnaden av dataskyddsförordningen. Jag är emellertid fortfarande inte klar över exakt vad lagstiftaren ville uppnå med att underkasta domstolarnas dömande verksamhet de skyldigheter som följer av dataskyddsförordningen. Detta med tanke på denna verksamhets inneboende natur (1), men även med hänsyn till vem ska uppdras att övervaka domstolarnas efterlevnad av dataskyddsförordningen (2).

1.      Sakinnehållet: allt är lagligt

124. Hur förändrar dataskyddsförordningen, när den väl ska tillämpas på domstolsväsendet, det sätt på vilket dömande verksamhet ska bedrivas? Med hänsyn till dataskyddsförordningens synbarligen gränslösa tillämpningsområde, kan det förefalla förvånande att de krav som till följd därav läggs på denna funktion förefaller vara överraskande lindriga. De materiella bestämmelserna i dataskyddsförordningen antingen förutsätter redan att all normal behandling i rättsligt syfte är laglig, eller hänvisar till medlemsstaternas kompletterande (och eventuellt begränsande) bestämmelser, eller tillåter i vart fall en generös avvägning mot vissa grundläggande rättigheter och principer i ett demokratiskt samhälle, vilket igen gör det möjligt att göra i stort sett vilka avsteg som helst vad avser domstolsverksamhet.

125. Artikel 6.1 e i dataskyddsförordningen innehåller ett exempel på detta. Enligt den bestämmelsen betraktas varje behandling som är ”nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning” som laglig. Ett liknande (om än mer uttryckligt) undantag föreskrivs i artikel 9.2 f i samma förordning för behandling av särskilda kategorier av personuppgifter. Om någon av dessa bestämmelser är tillämplig krävs inget samtycke från den registrerade. Medlemsstaterna ska då specificera mer exakt hur uppgiftsbehandlingen ska ske i sådana situationer.(68) Med andra ord, och med förbehåll för de principer för behandling av personuppgifter som anges i artikel 5 i dataskyddsförordningen,(69) utgör denna förordning i sig en rättslig grund för att all behandling av personuppgifter som utförs av nationella domstolar och som är nödvändig för att de ska kunna utföra sina officiella uppgifter ska anses laglig.

126. I kraft av artikel 23.1 f i dataskyddsförordningen får medlemsstaterna därutöver begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt i vissa fall i artikel 5 i förordningen, för att skydda ”rättsväsendets oberoende och rättsliga åtgärder”. Vid den muntliga förhandlingen förklarade kommissionen att artikel 23.1 f i dataskyddsförordningen ska förstås som att den fungerar på liknande sätt som artikel 52.1 i stadgan och inte bör ses som en ytterligare en bestämmelse som begränsar tillsynsmyndighetens behörighet.

127. Jag delar kommissionens uppfattning på denna punkt. Artikel 23.1 f i dataskyddsförordningen har ingen direkt koppling till artikel 55.3 i dataskyddsförordningen.(70) Den gör det icke desto mindre möjligt för medlemsstaterna att göra massundantag från den registrerades rättigheter enligt kapitel III i dataskyddsförordningen för vad som också förefaller vara något slags dömande verksamhet (”rättsväsendets oberoende och rättsliga åtgärder”).

128. Slutligen är allt detta möjligt utan att det ens (ännu) har gjorts någon avvägning mot andra grundläggande rättigheter och intressen än skyddet för personuppgifter, som kan anses ingå i bedömningen av den enskilda behandlingens laglighet (och kravet på minimering – proportionalitet som inryms i denna). Med hänsyn till kraven på insyn och öppenhet i rättskipningen är det sannolikt att dessa innefattar all normal användning av personuppgifter i syfte att döma.

129. Resultatet ger intryck av att unionslagstiftaren själv har kapitulerat. Unionsrätten lägger nämligen ett allomfattande ramverk avseende uppgiftsskydd på rättsväsendet, som måste iakttas, samtidigt som den möjliggör så många materiella undantag. Om man därtill lägger den ”behörighetsinskränkning” som införts genom artikel 55.3 i dataskyddsförordningen har lagen i själva verket gått varvet runt till att bibehålla de nationella domstolarnas sätt att gå tillväga innan dessa bestämmelser infördes. Detta föranleder då frågan vad ett sådant lapptäcke av regler skulle vara bra för, när dessa regler i verkligheten har förändrat mycket litet på nationell nivå.

130. Därmed inte sagt att ett sådant utfall inte skulle välkomnas. Enligt min mening kan det inte vara på annat sätt. Detta är inte enbart för att tillmötesgå medlemsstaternas olika rättsliga och konstitutionella traditioner i fråga om rättskipningens offentlighet.(71) Det är framför allt en inneboende del av själva rättskipningsfunktionen. Att döma innebär att föra individualiserade detaljer till det offentliga forat. Jag vill mycket gärna betona båda aspekterna av detta påstående.

131. Å ena sidan är det de faktiska omständigheterna och detaljerna i varje enskilt mål som utgör grunden för domstolens legitimitet. Domaren avgör ett konkret mål. Hans eller hennes arbete består inte i att utarbeta abstrakta, allmänna och anonyma regler som är frikopplade från individuella omständigheter och situationer. Det är lagstiftarens jobb. Ju mer ett domstolsavgörande avviker från eller döljer de faktiska omständigheterna i ett offentligt domstolsärende, eller om det senare offentliggörs med betydande inskränkningar, desto oftare blir det obegripligt och desto mindre legitimt blir det som domstolsavgörande.(72)

132. Å andra sidan har det ända sedan romersk tid, och sannolikt redan tidigare, varit så att en rättssökande som bett samhället eller senare staten om hjälp med att få sitt anspråk fastställt och verkställt har varit tvungen att kliva ut i det offentliga rummet och få sin sak prövad där. På den klassiska romerska tiden hade käranden till och med rätt att använda våld mot svaranden om denne vägrade att uppträda offentligt (i den nordöstra delen av Forum Romanus kallad comitium) inför domaren (som satt på en stol med hjul på en tribun upphöjd över allmänheten – därav för övrigt ordet tribunal), när han har kallades inför rätta (in ius vocatione).(73)

133. Det är riktigt att det senare framträdde andra visioner om god rättskipning och dess offentliggörande. De fångas kanske bäst av ett citat av en domare vid Parlement de Paris som år 1336 skrev instruktioner till sina yngre kolleger och förklarade varför de aldrig skulle röja vare sig konstaterade fakta eller grunderna för deras avgörande: ”För det är inte av godo att vem som helst kan sätta sig till doms över innehållet i ett dekret eller säga att ”det är likartat eller inte”, utan pratsjuka främlingar bör hållas ovetande och deras munnar stängda, så att inte andra orsakas skada. … För ingen bör känna till vilka hemligheter som döljer sig i högsta domstolen, som inte har någon överordnad utom gud ….”(74)

134. I modern tid anses det, för att återvända till öppningscitatet av Jeremy Bentham, på nytt att till och med pratsjuka främlingar bör ha rätt att se och förstå rättvisan. Efter den moderna teknikens ankomst måste naturligtvis ett antal frågor omvärderas kontinuerligt, så att pratsjuka främlingar inte kan orsaka andra skada.

135. Alla sådana förändringar, i synnerhet de som berör öppenhet och insyn i rättskipningen, måste emellertid begränsas till vad som är absolut nödvändigt för att inte rasera grunderna för hela strukturen.(75) Dömande verksamhet är och förblir individualiserat beslutsfattande som kräver ett visst mått av personliga detaljer och uppgifter, vilket, särskilt när det gäller dess resultat, måste ske i det offentliga forat.

136. Jag avslutar i detta avseende med ett specifikt exempel, som jag redan har anspelat på i detta förslag till avgörande,(76) på att dataskyddsförordningen enligt min mening inte inbegriper någon rätt till en ”anonym rättegång”. Mot bakgrund av allt vad som beskrivits ovan framstår det som bisarrt och farligt att anse att rättssökande som för att få sin tvist löst kliver ut i det offentliga forat, där domare talar å samhällets vägnar och agerar under sina landsmäns vakande ögon, bör ha rätt att kräva att deras identitet hemlighålls och att deras mål normalt avidentifieras, inbegripet för den domstol som har att avgöra målet, utan att det finns några specifika och tunga skäl till denna anonymitet.(77)

137. Offentliggörandet av rättskipningen är förvisso inte absolut. Det finns välgrundade och nödvändiga undantag.(78) Det enda man ska hålla i minnet här är helt enkelt vad som är regeln och vad som är undantaget. Offentliggörande och öppenhet måste vara huvudregeln, varifrån det naturligtvis är möjligt och ibland nödvändigt att göra undantag. Om inte dataskyddsförordningen ska förstås som ett återinförande av vad som var god sed i 1300-talets Parlement de Paris, eller av andra aspekter av Ancien Régime eller Star Chamber(s) för den delen,(79) är det emellertid ganska svårt att förklara varför detta inbördes förhållande nu, i personuppgiftsskyddets namn, måste kastas om, så att sekretess och anonymitet blev regeln, från vilken öppenhet kanske ibland skulle kunna bli ett välkommet undantag.

138. Sammanfattningsvis och generellt sett kan man bara återigen fråga sig, såvitt avser den övergripande legislativa utformningen av dataskyddsförordningens tillämplighet på domstolarnas dömande verksamhet, varför systemet skulle utformas så att det (först) innefattar allt och därefter (på ett senare stadium) i praktiken tar bort verkningarna av detta breda tillämpningsområde genom enskilda materiella bestämmelser, eller potentiellt fullt ut genom artikel 23.1 f i dataskyddsförordningen. Borde då inte nationella domstolar, när de ”behandlar personuppgifter i sin dömande verksamhet”, helt enkelt ha undantagits från dataskyddsförordningens tillämpningsområde?

2.      Institutionerna och procedurerna: quis custodiet ipsos custodes [vem övervakar övervakarna]?

139. Det institutionella skiktet är kopplat till det materiella. Detta lägger frågan om ”hur” till den redan tämligen tunga materiella frågan om ”varför”. Hur, och av exakt vem, ska domstolar som behandlar personuppgifter i sin dömande verksamhet rent praktiskt övervakas vad gäller deras efterlevnad av dataskyddsförordningen? Om det är meningen att de nationella domstolarna ska tillämpa dataskyddsförordningen och att de behöriga tillsynsmyndigheterna inte ska ansvara för tillsynen över domstolarna när de behandlar personuppgifter ”i sin dömande verksamhet” enligt artikel 55.3 i dataskyddsförordningen, vem finns det då som kan upprätthålla den grundläggande rätt till skydd av personuppgifter som garanteras i artikel 8.1 och 8.3 i stadgan?

140. Här ger kopplingen mellan artikel 55.3 och skäl 20 i dataskyddsförordningen, enligt min mening, upphov till vissa problem.

141. Samtliga parter i förevarande mål har förklarat att artikel 55.3 i dataskyddsförordningen måste läsas mot bakgrund av skäl 20 i samma förordning. I detta skäl anges att nationella tillsynsmyndigheter, när de utövar tillsyn och säkerställer efterlevnaden av dataskyddsförordningen, ändå inte får inkräkta på principen om domstolsväsendets oberoende genom att övervaka behandling av personuppgifter som sker inom ramen för ”domstolarnas dömande verksamhet”. I skäl 20 tredje meningen i dataskyddsförordningen anges vidare att ”[d]et bör vara möjligt att anförtro tillsynen över sådan behandling av uppgifter till särskilda organ inom medlemsstaternas rättsväsen”.

142. Är emellertid det tillvägagångssätt som föreslås i skäl 20 förenligt med kravet på ”oberoende” i artikel 8.3 i stadgan? Hur ska någon ”tillsynsdomstol”, sålunda inrättad av medlemsstaterna inom ramen för deras nationella rättssystem för att säkerställa att dataskyddsförordningen efterlevs, faktiskt kunna uppträda som en oberoende tredje part i förhållande till just de domstolar som påstås ha överträtt dataskyddsförordningen? Ställer inte detta till problem med artikel 47 i stadgan?

143. När man överväger en lämplig institutionell och processuell struktur för denna typ av situationer får man snabbt en känsla av ”déjà-vu” och påminns om de diskussioner som inleddes genom domen i målet Köbler.(80) Vem ska fastställa statens skadeståndsansvar för domstolsavgöranden som strider mot unionsrätten? Är det andra ”normala” domstolar inom rättsväsendet, med risk för att det en dag blir så att domstolen i sista instans prövar sitt eget ansvar? Eller en särskilt inrättad överdomstol? Vad händer om denna överdomstol också gör fel? I detta avseende aktualiserar skäl 20 i dataskyddsförordningen återigen just den fråga som medlemsstaterna ställde sig avvisande till i målet Köbler, nämligen frågan huruvida domstolsväsendets ”verkliga” oberoende ska äventyras genom en verkställbar extern rätt att pröva handlingar eller underlåtelser i domstol som åsidosätter bestämmelserna om skydd för personuppgifter.(81)

144. Till skillnad från domen i målet Köbler, där jag förmodar att ett antal förnuftiga hjärnor kunde se någon mening med principen att medlemsstater ska vara skyldiga att ersätta skada som vållats enskilda genom överträdelser av unionsrätten som beror på ett avgörande av en domstol som dömer i sista instans,(82) är det inte alls uppenbart varför ett sådant ”verkligt” oberoende ska offras för tillsynen av efterlevnaden av ett sekundärrättsligt instrument, såsom dataskyddsförordningen, där det redan föreskrivs andra verkställighetsmedel. Det går naturligtvis inte att förneka att detta instrument har en stark förankring i primärrätten genom artiklarna 8 i stadgan och artikel 16 FEUF. Poängen är snarare att ett rättsmedel mot och ett skadeståndsansvar för domstolar i egenskap av personuppgiftsansvariga redan existerar i artiklarna 79 och 82 i dataskyddsförordningen, oberoende av artikel 55.3 i samma förordning.

145. Samtidigt är det kanske möjligt att finna en lösning om den tredje meningen i skäl 20 i dataskyddsförordningen inte tas alltför bokstavligt. Det är trots allt bara ett skäl och inte en fristående och således bindande rättslig bestämmelse.(83) Om man valde detta angreppssätt, vilket vissa medlemsstater uppenbarligen faktiskt har gjort, skulle de materiella bestämmelserna i dataskyddsförordningen bara anses fastställa rättigheter som bör kunna åberopas vid de nationella domstolarna inom ramen för de normala rättsliga förfaranden som står till förfogande i den aktuella medlemsstaten.(84)

146. Om detta faktiskt var den institutionella och processuella väg som valdes skulle man kanske kunna undvika såväl problemet med att låta en ”beroende tredje part” utöva tillsyn över domstolarnas verksamhet som behovet av att inrätta en överdomstol för att kunna övervaka andra domstolar. Med detta sagt skulle man med detta angreppssätt sannolikt ändå inte uppfylla kravet i artikel 8.3 i stadgan att en ”oberoende” myndighet ska kontrollera att rätten till skydd för personuppgifter efterlevs.(85)

147. Ur den synvinkeln förefaller lösningen med en ”intern domstol” vara det enda genomförbara svaret på den ovan beskrivna gåtan hur dataskyddsförordningens överbyggnad ska passas in i det nationella domstolsväsendets tämligen specifika värld.(86)

148. Även om man skulle anta att den enda sättet som var förenligt med stadgan skulle vara att inrätta en sådan ”intern överprövningsmyndighet”, förefaller det ändå något oklart exakt vad denna myndighet skulle vara tänkt att kontrollera.

149. Såsom har förklarats i föregående avsnitt av detta förslag till avgörande, presumeras det, för det första, i dataskyddsförordningen att domstolarnas behandling av personuppgifter är laglig. Utöver denna allmänna presumtion gör den det möjligt att begränsa såväl vissa rättigheter och skyldigheter som grundläggande principer avseende behandlingen av personuppgifter genom nationella lagstiftningsåtgärder.

150. I flertalet, om inte alla, medlemsstater regleras det, för det andra, i den nationella processrättsliga lagstiftning som gäller för domstolsförfaranden på ett mycket mer detaljerat sätt hur personuppgifter ska hanteras under alla enskilda stadier av domstolsförfarandet, nämligen vad en specifik handling ska och inte får innehålla, vem som har tillgång till vad, under vilka förutsättningar vilken information får raderas eller rättas, vilka sekretessbegränsningar som gäller, vilken information och vilka uppgifter som ett domstolsavgörande ska innehålla, och så vidare.(87)

151. För det tredje är nationella domares åsidosättande av dessa regler redan föremål för tillsyn och potentiella påföljder av åtminstone två slag. Å ena sidan finns det åtgärder som riktar sig mot själva avgörandet, och som kan leda till att det ogiltigförklaras. Å andra sidan finns det system för att utkräva personligt ansvar av domare genom disciplinära förfaranden.

152. Med hänsyn till denna lagstiftningsmiljö hade man kunnat föreställa sig att dataskyddsförordningen skulle innehålla bestämmelser om samspelet med andra rättsliga ramverk. Vilken lagstiftning är lex specialis och hur är det tänkt att olika institutionella och processuella ramverk ska samexistera? Hur ska eventuella normativa konflikter lösas? Dataskyddsförordningen innehåller dessvärre inte några bestämmelser om sådana konflikter, vilket föranleder den separata frågan om huruvida dataskyddsförordningen faktiskt ska förstås så att den har företräde framför nationella processrättsliga regler eller om den ska tolkas som ett komplement till dessa.

153. Innebär detta, om så skulle vara fallet, till exempel att de registrerade kan begära att de nationella domstolarna ”rättar” deras inlagor utanför de nationella processuella tidsfristerna (enligt artikel 16 i dataskyddsförordningen)?(88) Vad händer om en part, ställd inför en negativ utgång i ett mål, lyckas nå upp till tröskeln för att åberopa sin ”rätt att bli bortglömd” (enligt artikel 17 i dataskyddsförordningen) för att få ett avgörande eller ett förhandlingsprotokoll raderat från rättsväsendets kollektiva minne efter det att domen har meddelats?(89)

154. Mot bakgrund av all denna oreda är det kanske inte helt förvånande att ett antal medlemsstater har haft begripliga svårigheter med att inrätta lämpliga institutionella strukturer i enlighet med artikel 55.3 i dataskyddsförordningen som ändå är förenliga med artikel 8.3 i stadgan.(90)

155. De båda aspekter som behandlats i detta avsnitt, det vill säga de materiella respektive institutionella och processrättsliga aspekterna, ger i kombination en känsla av förvirring som nämndes redan i början av avsnitt D. Varför skapar man, med tanke på dessa ännu bestående systemiska problem, över huvud taget sådana halvhjärtade, men anmärkningsvärt svepande överbyggnader? För att, såvitt avser domstolarnas rättskipande verksamhet, hävda i stort sett obefintliga materiella rättigheter? Är allt detta verkligen mödan värt?

V.      Förslag till avgörande

156. Jag föreslår att EU-domstolen ska besvara de tolkningsfrågor som hänskjutits av Rechtbank Midden-Nederland (Distriktsdomstolen i Midden-Nederland, Nederländerna) på följande sätt:

Fråga 1

Artikel 55.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska tolkas så, att domstolar ”behandlar personuppgifter i sin dömande verksamhet” när de som praxis lämnar ut rättegångshandlingar till en journalist för att underlätta dennes rapportering av en offentlig förhandling.

Fråga 1a

Det krävs inte enligt artikel 55.3 i förordning 2016/679 att det fastställs huruvida en behandling av personuppgifter som nationella domstolar utför ”i sin dömande verksamhet” påverkar domstolens oberoende beslutsfattande i varje konkret mål.

Fråga 1b

Bestämningen av en viss behandlings art och syfte ingår inte bland de kriterier som enligt artikel 55.3 i förordning 2016/679 ska beaktas vid fastställandet av huruvida de nationella domstolarna agerade inom ramen för ”sin dömande verksamhet”.

Fråga 1c

Vid avgörandet av huruvida de nationella domstolarna utförde behandlingen av personuppgifter ”i sin dömande verksamhet”, i den mening som avses i artikel 55.3 i förordning 2016/679, saknar det betydelse huruvida dessa domstolars åtgärder hade uttryckligt stöd i nationell rätt.


1      Originalspråk: engelska.


2      Burton, J.H. (red.), Benthamiana: or select extracts from the works of Jeremy Bentham, Lea & Blanchard, Philadelphia, 1844, s. 139.


3      Den citerade texten publicerades ursprungligen i Bentham, J., Draught of a New Plan for the organisation of the Judicial Establishment in France: proposed as a Succedaneum to the Draught presented, for the same purpose, by the Committee of Constitution, to the National Assembly, December 21st, 1789, London, 1790.


4      Som en illustration kan nämnas att enligt Parlement de Paris praxis på 1300-talet måste de faktiska omständigheterna och grunderna för ett avgörande hållas hemliga. De ansågs vara en del av den rättsliga överläggningsprocessen, vilka skulle hållas hemliga. Se Dawson, J.P., The Oracles of the Law, The University of Michigan Law School, 1968, s. 286–289. För närmare detaljer, se även Sauvel, T., ”Histoire du jugement motivé”, 61(5) Revue du droit public, 1955.


5      Se, som bakgrundsinformation, Dutch Judiciary Press Guidelines 2013 (Det nederländska domstolsväsendets riktlinjer för pressen 2013), tillgängliga på: https://www.rechtspraak.nl/SiteCollectionDocuments/Press-Guidelines.pdf, artikel 2.3 och förklaringarna därtill på sidorna 6 och 7.


6      Europaparlamentets och rådets förordning av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1).


7      Namnen på huvudparterna har ändrats något för att i en mer lättsmält form bättre kunna leda läsaren genom den snårskog av generaliserad pseudoavidentifiering som EU-domstolen tillämpat sedan år 2018 (se Europeiska unionens domstols pressmeddelande av den 29 juni 2018, ”Från och med den 1 juli 2018 kommer EU-domstolen att avidentifiera mål om förhandsavgörande där fysiska personer är parter eller på annat sätt förekommer”, https://curia.europa.eu/jcms/upload/docs/application/pdf/2018–06/cp180096sv.pdf). Om EU-domstolens framtida rättsliga prosa ska se ut som en roman av Kafka, så varför inte även anamma vissa av Kafkas positiva litterära kvaliteter?


8      Dom av den 10 december 2018, Wightman m.fl. (C‑621/18, EU:C:2018:999, punkt 27).


9      Dom av den 18 maj 2021, Asociaţia ”Forumul Judecătorilor din România” m.fl. (C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 och C‑397/19, EU:C:2021:393, punkt 116 och där angiven rättspraxis).


10      Dom av den 16 juli 2020, Facebook Ireland och Schrems (C‑311/18, EU:C:2020:559, punkt 73 och där angiven rättspraxis).


11      Se, exempelvis, dom av den 18 juli 2007, Lucchini (C‑119/05, EU:C:2007:434, punkt 43), dom av den 26 maj 2011, Stichting Natuur en Milieu m.fl. (C‑165/09 till C-167/09, EU:C:2011:348, punkt 47), och dom av den 26 april 2017, Farkas (C‑564/15, EU:C:2017:302, punkt 37).


12      Se artiklarna 2.1 och 4 led 2 i dataskyddsförordningen.


13      Jämför i detta avseende med, exempelvis, artikel 2.2 i Europaparlamentets och rådets direktiv 2003/4/EG av den 28 januari 2003 om allmänhetens tillgång till miljöinformation och om upphävande av rådets direktiv 90/313/EEG (EGT L 41, 2003, s. 26).


14      Se, för ett liknande resonemang, dom av den 15 juni 2021, Facebook Ireland m.fl. (C‑645/19, EU:C:2021:483, punkt 47 och där angiven rättspraxis).


15      Angående förhållandet mellan artiklarna 55.1 och 56.1, se dom av den 15 juni 2021, Facebook Ireland m.fl. (C‑645/19, EU:C:2021:483, punkterna 47–50).


16      Se, exempelvis, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning av överträdelser) (C‑439/19, EU:C:2021:504, punkterna 71–72 och 76–77), som fastställde att såväl utlämnandet av vissa personuppgifter till allmänheten som allmänhetens tillgång till en databas som innehöll dessa personuppgifter var att anse som ”behandling” i enlighet med artikel 2.1 i dataskyddsförordningen; och dom av den 17 juni 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punkterna 97–123), där två olika typer av behandling av personuppgifter, av två olika företag, som ägde rum ”i ett tidigare led” respektive ”i ett senare skede”, var föremål för bedömning. Se, för ett liknande resonemang, även dom av den 16 januari 2019, Deutsche Post (C‑496/17, EU:C:2019:26, punkterna 60–69), angående olika myndigheters massbehandling av skatterelaterade uppgifter om fysiska personer.


17      Dom av den 10 juli 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, punkt 62).


18      Se artikel 4 led 1 i dataskyddsförordningen. Beträffande en vid tolkning av begreppet personuppgifter, se, exempelvis, dom av den 20 december 2017, Nowak (C‑434/16, EU:C:2017:994, punkt 62).


19      Detta borde verkligen vara utgångspunkten för bedömningen av parternas eventuella rättigheter och skyldigheter enligt dataskyddsförordningen. Se dom av den 29 juli 2019, Fashion ID (C‑40/17, EU:C:2019:629, punkterna 72 och 74), och mitt förslag till avgörande i målet Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål) (C‑175/20, ECLI:EU:C:2021:690, punkt 42).


20      Såsom föreskrivs i artikel 4 led 2 i dataskyddsförordningen.


21      Se, exempelvis, dom av den 29 juni 2010, kommissionen/Bavarian Lager (C‑28/08 P, EU:C:2010:378, punkt 69), och dom av den 19 april 2012, Bonnier Audio m.fl. (C‑461/10, EU:C:2012:219, punkt 52).


22      Se, exempelvis, dom av den 29 januari 2008, Promusicae (C‑275/06, EU:C:2008:54, punkt 45), och dom av den 6 oktober 2020, Privacy International (C‑623/17, EU:C:2020:790, punkt 41), i samband med Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37). Se även dom av den 6 oktober 2015, Schrems (C‑362/14, EU:C:2015:650, punkt 45), i samband med överföring av personuppgifter till ett tredjeland.


23      Se ovan, punkt 42, i detta förslag till avgörande. Se emellertid även punkt 47 och behovet av att klart identifiera den specifika behandlingen så att det kan fastställas vilka rättigheter och skyldigheter som följer därav.


24      Se dom av den 10 juli 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, punkt 57). Se dock förslag till avgörande av generaladvokaten Sharpston i målet kommissionen/Bavarian Lager (C‑28/08 P, EU:C:2009:624, punkt 142–150).


25      Se, exempelvis, dom av den 9 juli 2020, Land Hessen (C‑272/19, EU:C:2020:535, punkt 68).


26      Dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning av överträdelser) (C‑439/19, EU:C:2021:504, punkt 66 och där angiven rättspraxis).


27      Där detta skäl, som i sig är mycket snävare än artikel 2.2 a i dataskyddsförordningen, dessutom tolkades på ett påfallande reduktionistiskt sätt – se dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning av överträdelser) (C‑439/19, EU:C:2021:504, punkterna 66–68).


28      Se skälen 16 och 19 i dataskyddsförordningen.


29      Även detta undantag ska dessutom tolkas snävt och således begränsas till verksamhet av rent (i betydelsen uteslutande) privat natur eller som har samband med hans eller hennes hushåll, se exempelvis dom av den 11 december 2014, Ryneš (C‑212/13, EU:C:2014:2428, punkt 30).


30      Jag skulle naturligtvis alltid kunna pröva att åberopa artikel 6.1 c (att skvallra i en pub är en rättslig förpliktelse som åvilar mig på grund av sociala konventioner) eller artikel 6.1 d i dataskyddsförordningen (det ligger i mina vänners, det vill säga en annan fysisk persons, grundläggande intresse att ha något att tala om i en pub, vilket kräver att informationen överförs). Jag misstänker emellertid att en nationell dataskyddsmyndighet inte skulle vara imponerad av ett så innovativt resonemang.


31      Vilket kan ha varit ett av motiven till att Appellationsdomstolen (England och Wales) (Förenade kungariket), av skäl relaterade till ”förnuft såväl som rättvisa”, fann att avidentifiering av personuppgifter inte i sig ska betecknas som ”behandling” enligt UK Data Protection Act 1998 (1998 års lag om skydd för personuppgifter i Förenade konungariket). Se dom av den 21 december 1999, Regina mot Department of Health, Ex Parte Source Informatics Ltd [1999] EWCA Civ 3011, på s. [45].


32      Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).


33      Förslag till avgörande av generaladvokaten Sharpston av den 15 oktober 2009 i målet kommissionen/Bavarian lager (C‑28/08 P, EU:C:2009:624, punkterna 135–146).


34      Ett rådgivande organ som inrättades genom artikel 29 i direktiv 95/46 (nedan kallad artikel 29-gruppen), numera ersatt av Europeiska dataskyddsstyrelsen (EDPB), som inrättats i enlighet med artikel 68 i dataskyddsförordningen.


35      Se artikel 29-gruppens yttrande 4/2007 om begreppet personuppgifter (01248/07/EN WP 136, av den 20 juni 2007, s. 4 och 5).


36      Ibidem, s. 6.


37      Historiskt sett var det ingen som hade några problem med behandling av personuppgifter så länge det inte hade skapats ett första register och databaser med stora mängder data som gjorde det möjligt att skapa ny kunskap och ny data genom automatisk sammanläggning av och/eller enkel åtkomst till dessa uppgifter. Borde inte denna historiska erfarenhet och dessa historiska behov inte också vägleda den nuvarande tolkningen av de lagar som inrättats för detta specifika ändamål?


38      Dom av den 29 juni 2010, kommissionen/Bavarian Lager (C‑28/08 P, EU:C:2010:378, punkterna 70 och 71).


39      För mer detaljer, se även mitt förslag till avgörande i målet Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål) (C‑175/20, ECLI:EU:C:2021:690, punkterna 35–41).


40      Skäl 4 i dataskyddsförordningen.


41      För en översikt över olika andra rättsområden där det görs en sådan uppdelning, se mitt förslag till avgörande i målet Friends of the Irish Environment (C‑470/19, EU:C:2020:986, punkterna 71–75 och 81–82), respektive mitt förslag till avgörande i målet kommissionen/Breyer (C‑213/15 P, EU:C:2016:994, punkterna 52–64).


42      Se mitt förslag till avgörande i målet Pula Parking (C‑551/15, EU:C:2016:825, punkterna 85 och 86).


43      Se mitt förslag till avgörande i målet Friends of the Irish Environment (C‑470/19, EU:C:2020:986, punkt 87).


44      Se, som ett exempel på en sådan situation, dom av den 16 december 2008, Cartesio (C‑210/06, EU:C:2008:723, punkt 57 och där angiven rättspraxis).


45      Se mitt förslag till avgörande i målet Friends of the Irish Environment (C‑470/19, EU:C:2020:986, punkt 71).


46      Se ovan, punkt 39, i detta förslag till avgörande.


47      Min kursivering.


48      Se dom av den 27 februari 2018, Associação Sindical dos Juízes Portugueses (C‑64/16, EU:C:2018:117, punkt 44), dom av den 25 juli 2018, Minister for Justice and Equality (Brister i domstolssystemet) (C‑216/18 PPU, EU:C:2018:586, punkt 38 [63]), dom av den 24 juni 2019, kommissionen/Polen (Högsta domstolens oavhängighet) (C‑619/18, EU:C:2019:531, punkt 72), dom av den 2 mars 2021, A.B. m.fl. (Utnämning av domare vid Högsta domstolen – Rättsmedel) (C‑824/18, EU:C:2021:153, särskilt punkterna 117–119), och dom av den 18 maj 2021, Asociaţia ”Forumul Judecătorilor din România” m.fl. (C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 och C‑397/19, EU:C:2021:393, punkt 188).


49      Senast, dom av den 15 juli 2021, kommissionen/Polen (Disciplinärt regelverk för domare) (C‑791/19, EU:C:2021:596), och beslut av den 14 juli 2021, kommissionen/Polen (C‑204/21 R, EU:C:2021:593).


50      Förutsatt naturligtvis att [James Madisons ord om den amerikanska konstitutionen i] Federalist papers nr 51 [(1788)] (”Om människor vore änglar skulle det inte behövas någon regering. Om änglar styrde över mänskligheten, skulle det varken behövas någon extern eller intern kontroll av regeringen.”) fortsatt har giltighet även för dataskyddsförordningen.


51      I sitt centralregister över behandlingen (tillgängligt på: https://curia.europa.eu/jcms/jcms/p1_3301336/sv/), som upprättats i enlighet med artikel 31.5 i Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut 1247/2002/EG (EUT L 295, 2018, s. 39), betecknar EU-domstolen själv behandlingsåtgärder avseende utbetalning av löner som en ”administrativ verksamhet”. Se https://curia.europa.eu/jcms/upload/docs/application/pdf/2021–01/paie.pdf.


52      Och därmed kanske bli ytterligare en möjlig ingrediens i indirekta påtryckningar – det är ingen tillfällighet att domarlöner i många rättssystem är strikt reglerade i lag för att därigenom med avsikt utesluta varje möjlighet till sådan påverkan.


53      Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89).


54      Dom av den 21 september 2010, Sverige m.fl./API och kommissionen (C‑514/07 P, C‑528/07 P och C‑532/07 P, EU:C:2010:541).


55      Dom av den 18 juli 2017, kommissionen/Breyer (C‑213/15 P, EU:C:2017:563).


56      Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 2001, s. 43).


57      Se mitt förslag till avgörande i målet Friends of the Irish Environment (C‑470/19, EU:C:2020:986, punkterna 90–92).


58      Förslag till avgörande av generaladvokaten Sharpston i målet Flachglas Torgau (C‑204/09, EU:C:2011:413, punkt 73).


59      Se, i detta avseende, tillämpningen av denna bedömning i dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning av överträdelser) (C‑439/19, EU:C:2021:504, punkterna 104–116).


60      Se, för ett liknande resonemang, angående artikel 6.1 i Europeiska konventionen om skydd för de mänskliga rättigheterna (Europakonventionen), Europadomstolens dom av den 8 december 1983, Axen mot Tyskland (CE:ECHR:1983:1208JUD000827378, § 32), Europadomstolens dom av den 22 februari 1984, Sutter mot Schweiz (CE:ECHR:1984:0222JUD000820978, § 26), Europadomstolens dom av den 14 november 2000, Riepan mot Österrike (CE:ECHR:2000:1114JUD003511597, § 27), Europadomstolens dom av den 12 juli 2001, Malhous mot Republiken Tjeckien (CE:ECHR:2001:0712JUD003307196, § 62), och Europadomstolens dom av den 28 oktober 2010, Krestovskiy mot Ryssland (CE:ECHR:2010:1028JUD001404003, § 24).


61      Se, i detta hänseende, Europadomstolens dom av den 26 april 1979, Sunday Times mot Förenade kungariket (CE:ECHR:1979:0426JUD000653874, § 67).


62      Betänk, i detta avseende, om informationsavdelningen inte vore en del av domstolen, utan i stället hade inrättats som en del av en separat institution, såsom var fallet med arkiveringsverksamheten i dom av den 15 april 2021, Friends of the Irish Environment (C‑470/19, EU:C:2021:271, punkt 43). För vidare bedömning, se mitt förslag till avgörande i målet Friends of the Irish Environment (C‑470/19, EU:C:2020:986, punkt 107).


63      Punkterna 76–86 i detta förslag till avgörande.


64      Såsom allmänt beskrivits redan ovan i punkterna 84–86 i detta förslag till avgörande.


65      Se mitt förslag till avgörande i målet Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål) (C‑175/20, ECLI:C:2021:690).


66      Ibidem, punkterna 83–85.


67      Det är också därför som detta förslag till avgörande logiskt sett måste inledas (i punkt 32) med en allmän bekräftelse av att dataskyddsförordningen i princip gäller för domstolar.


68      Se skälen 40 och 52, artikel 6.2 och 6.3 samt artikel 9.2 och 9.3 i dataskyddsförordningen.


69      Dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning av överträdelser) (C‑439/19, EU:C:2021:504, punkt 96 och där angiven rättspraxis).


70      Vad gäller dessa båda bestämmelsers normativa tillämpningsområde. I praktiken är det, vilket jag redan har anspelat på i punkt 120 i detta förslag till avgörande, inte så stor skillnad mellan en begränsning av tillsynen med hänvisning till behörigheten (enligt artikel 55.3 i dataskyddsförordningen) och en begränsning av tillsynen med hänvisning till en materiell begränsning vad avser viss verksamhet (enligt artikel 23.1 f i dataskyddsförordningen).


71      Det är ingen hemlighet att olika medlemsstater lägger olika tonvikt på, eller åtminstone har konkurrerande visioner om, insyn i rättsväsendet. Se till exempel, vad gäller video- och ljudupptagningar av rättsliga förfaranden, Hess, B., och Koprivica Harvey, A., ”Open Justice in Modern Societies: What Role for Courts?” i Hess, B. och Koprivica Harvey, A. Open Justice: The Role of Courts in a Democratic Society, Nomos, 2019, s. 30–35. Angående olika traditioner (mestadels av långt äldre datum än dataskyddsförordningen) rörande avidentifiering av parter i rättsliga förfaranden för senare offentliggörande av domen, se Generaldirektoratet för bibliotek, forskning och dokumentation, forskningsrapport, ”Anonymity of the parties on the publication of court decisions” (”Parternas anonymitet vid offentliggörandet av domstolsavgöranden”) (mars 2017, ändrad i januari 2019), tillgänglig på: https://curia.europa.eu/jcms/upload/docs/application/pdf/2021–02/ndr_2017–002_neutralisee-en.pdf, s. 9 och 10).


72      I vissa rättssystem i det förgångna brukade förresten de högsta domstolsinstanserna göra svepande normativa uttalanden som var frikopplade från eller helt utanför ramen för enskilda mål. Detta sker ännu i dag i vissa rättssystem. Det brukar emellertid vara starkt ifrågasatt med hänsyn till maktfördelning och rättslig legitimitet. Se, för ett liknande resonemang, Kühn, Z., ”The Authoritarian Legal Culture at Work: The Passivity of Parties and the Interpretational Statements of Supreme Courts”, Croatian Yearbook of European Law and Policy, vol. 2, 2008, s. 19.


73      Bartošek, M., Dějiny římského práva, Academia, Prague, 1995, s. 81, eller Sommer, O., Učebnice soukromého římského práva. I. díl, Všehrd, Prag, 1946, s. 121 och 122. Se även Harries, J., Law and Empire in Late Antiquity, Cambridge University Press, 1999, s. 101, 104 och 105.


74      Se Dawson, JP., The Oracles of the Law, The University of Michigan Law School, 1968, s. 288 och 289.


75      Se, i detta avseende, exempelvis McLachlin, B., ”Courts, Transparency and Public Confidence – to the Better Administration of Justice”, Deakin Law Review, vol. 8(1), 2003, s. 3 och 4. Se även Bingham, T., The Rule of Law, Penguin, 2010, s. 8.


76      Se ovan, fotnot 7, i detta förslag till avgörande.


77      Angående problemet med överanonymisering av domstolsavgöranden, se Wiwinius, JC., ”Public hearings in judicial proceedings” i Hess, B. och Koprivica Harvey, A., Open Justice: The Role of Courts in a Democratic Society, Nomos, 2019, s. 98 och 101.


78      Såsom skydd för utsatta personer, barn, våldsoffer, affärshemligheter, nationella hemligheter och så vidare. I samtliga dessa fall, vilka är välkända inom alla nationella rättsordningar, brukar det emellertid redan ha införts specifika förfaranden i respektive nationell processlagstiftning som gör det möjligt att utestänga allmänheten från vissa delar av eller hela det rättsliga förfarandet och domen, inklusive ge full anonymitet, med hänsyn till de särskilda behoven i varje enskilt mål.


79      Se Krynen, J., L’État de justice France, XIIIe–XXe siècle: L’idéologie de la magistrature ancienne, Gallimard, 2009, s. 79 ff. och Van Caenegem, R.C., Judges, Legislators and Professors: Chapters in European Legal History, Cambridge University Press, 1987, s. 159.


80      Dom av den 30 september 2003, Köbler (C‑224/01, EU:C:2003:513).


81      Ibidem, punkt 42.


82      Ibidem, punkt 59. Åtminstone de hjärnor inom rättsväsendet som redan rent principiellt har godtagit statens ansvar för rättskränkningar. Vad gäller de övriga skulle ett judiciellt ansvar för sistainstansens avgöranden kanske fortfarande vara att, såsom titeln på en anmärkningsvärd artikel beskrev det, tänka det otänkbara – se Toner, H., ”Thinking the Unthinkable? State Liability for Judicial Acts after Factortame (III)”, Yearbook of European Law, vol. 17, 1997. s. 165.


83      Vilket EU-domstolen upprepar hela tiden som en principsak – se, exempelvis, dom av den 12 juli 2005, Alliance for Natural Health m.fl. (C‑154/04 och C‑155/04, EU:C:2005:449, punkterna 91 och 92), dom av den 21 december 2011, Ziolkowski och Szeja (C‑424/10 och C‑425/10, EU:C:2011:866, punkterna 42 och 43), eller dom av den 25 juli 2018, Confédération paysanne m.fl. (C‑528/16, EU:C:2018:583, punkterna 44–46 och 51). Det ska för rättvisans skull medges att denna tolkningspraxis, såsom för övrigt redan illustrerats av det sistnämnda avgörandet, i verkligheten ändå är något mer varierad.


84      Konkret innebär detta att ett klagomål avseende en lägre domstols behandling av personuppgifter således skulle prövas av appellationsdomstolen på samma sätt som varje annan invändning mot en processuell åtgärd som vidtagits av den lägre domstolen, och så vidare.


85      Eftersom rättspraxis avseende begreppet ”oberoende” enligt artikel 28.1 i dataskyddsförordningen nu även anpassas till den allmänna tolkningen av begreppet ”oberoende” i unionsrätten. Jämför dom av den 16 oktober 2012, kommissionen/Österrike (C‑614/10, EU:C:2012:631, punkterna 41–44) och den rättspraxis som anges i fotnot 49 i detta förslag till avgörande.


86      Samtidigt som det med avsikt inte avbryter den ändlösa diskussionen om huruvida kontrollen av denna domstol skulle behöva ske med hjälp av en ”överintern” domstol, som då skulle kontrolleras av en ”över-överintern domstol” och så vidare. För en lösning som EU-domstolen själv har valt, se beslut av Europeiska unionens domstol av den 1 oktober 2019 om införande av en intern kontrollmekanism i fråga om personuppgiftsbehandling som sker i samband med domstolens dömande verksamhet (EUT C 383, 2019, s. 2).


87      Se, beträffande lagstiftningen i England och Wales, Frankrike, Tyskland, Italien, Polen och Sverige, Direktoratet för forskning och dokumentation, forskningsrapport, ”Methods of management of confidential data in the context of national judicial proceedings” (”Metoder för hantering av konfidentiella uppgifter inom ramen för nationella domstolsförfaranden”) (oktober 2018), tillgänglig på: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020–11/ndr_2018–007_neutralisee-en.pdf, s. 2.


88      Se dom av den 20 december 2017, Nowak (C‑434/16, EU:C:2017:994).


89      Med all respekt för domen av den 13 maj 2014, Google Spain och Google (C‑131/12, EU:C:2014:317), är det osannolikt att internet skulle glömma bara för att det föreläggs att göra det genom ett dekret. Senare rättspraxis, särskilt den gren som avser den territoriella räckvidden och verkställigheten av ”rätten att bli bortglömd”, påminner därför allt mer om att slåss mot väderkvarnar.


90      Se Generaldirektoratet för forskning och dokumentation, forskningsrapport, ”Supervision of courts’ compliance with personal data protection rules when acting in their judicial capacity” (”Tillsyn över domstolarnas efterlevnad av reglerna om skydd för personuppgifter när de utför sin rättskipande verksamhet”) (juli 2018), tillgänglig på: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020–11/ndr_2018–004_synthese-neutralisee-en.pdf, s. 3.