Language of document : ECLI:EU:C:2024:7

DOMSTOLENS DOM (tredje avdelningen)

den 11 januari 2024 (*)

”Begäran om förhandsavgörande – Tillnärmning av lagstiftning – Skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning) – Förordning (EU) 2016/679 – Artikel 4 led 7 – Begreppet personuppgiftsansvarig – En medlemsstats officiella tidning – Skyldighet att, i oförändrat skick, offentliggöra bolagshandlingar som upprättats av bolagen eller deras rättsliga företrädare – Artikel 5.2 – Behandling i flera på varandra följande led, ombesörjd genom flera olika personers eller enheters försorg, av personuppgifter som finns i sådana bolagshandlingar – Fastställande av vars och ens ansvar”

I mål C‑231/22,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av cour d’appel de Bruxelles (Appellationsdomstolen i Bryssel, Belgien) genom beslut av den 23 februari 2022, som inkom till domstolen den 1 april 2022, i målet

État belge

mot

Autorité de protection des données,

ytterligare deltagare i rättegången:

LM,

meddelar

DOMSTOLEN (tredje avdelningen)

sammansatt av avdelningsordföranden K. Jürimäe samt domarna N. Piçarra, M. Safjan (referent), N. Jääskinen och M. Gavalec,

generaladvokat: L. Medina,

justitiesekreterare: handläggaren C. Strömholm,

efter det skriftliga förfarandet och förhandlingen den 23 mars 2023,

med beaktande av de yttranden som avgetts av:

–        Autorité de protection des données, genom F. Biebuyck och P.Van Muylder, avocates, samt E. Kairis, advocaat,

–        Belgiens regering, genom P. Cottin, J.-C. Halleux och C. Pochet, samtliga i egenskap av ombud, biträdda av S. Kaisergruber och P. Schaffner, avocats,

–        Ungerns regering, genom Zs. Biró-Tóth och M.Z. Fehér, båda i egenskap av ombud,

–        Europeiska kommissionen, genom A. Bouchagiar, H. Kranenborg och A.‑C. Simon, samtliga i egenskap av ombud,

och efter att den 8 juni 2023 ha hört generaladvokatens förslag till avgörande,

följande

Dom

1        Begäran om förhandsavgörande avser tolkningen av artikel 4 led 7 och artikel 5.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelser i EUT L 127, 2018, s. 2 och EUT L 74, 2021, s. 35) (nedan kallad dataskyddsförordningen).

2        Begäran har framställts i ett mål mellan État belge (belgiska staten) och Autorité de protection des données (dataskyddsmyndigheten, Belgien) (nedan kallad dataskyddsmyndigheten), som är den tillsynsmyndighet som inrättats i Belgien med stöd av artikel 51 i dataskyddsförordningen. Målet rör ett beslut genom vilket dataskyddsmyndigheten ålade den myndighet som ansvarar för Moniteur belge – det vill säga den officiella tidning som i Belgien säkerställer framställning och spridning av ett brett urval av officiella och offentliga publikationer i pappersform och på elektronisk väg – att bifalla en fysisk persons begäran om radering av flera personuppgifter i en handling som offentliggjorts i denna officiella tidning.

 Tillämpliga bestämmelser

 Unionsrätt

3        I artikel 4 led 2 och 7 i dataskyddsförordningen föreskrivs följande:

”I denna förordning avses med

2.      behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

7.      personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,

…”

4        I artikel 5 i dataskyddsförordningen anges följande:

”1.      Vid behandling av personuppgifter ska följande gälla:

a)      Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b)      De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).

c)      De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

d)      De ska vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet).

e)      De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

f)      De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2.      Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

5        I artikel 17 i dataskyddsförordningen föreskrivs följande:

”1.      Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

a)      Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

b)      Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a eller artikel 9.2 a och det finns inte någon annan rättslig grund för behandlingen.

c)      Den registrerade invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2.

3.      Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:

b)      För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

d)      För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.

…”

6        Artikel 26 i dataskyddsförordningen har följande lydelse:

”1.      Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de registrerade utses.

2.      Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade.

3.      Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning med avseende på och emot var och en av de personuppgiftsansvariga.”

7        I artikel 51 i dataskyddsförordningen föreskrivs bland annat att medlemsstaterna ska föreskriva att en eller flera oavhängiga offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning.

 Belgisk rätt

8        I artikel 472 i loi-programme du 24 décembre 2002 (ramlagen av den 24 december 2002) (Moniteur belge av den 31 december 2002, s. 58686) föreskrivs följande:

Moniteur belge är en officiell tidning som ges ut av redaktionsledningen för Moniteur belge, vilken ska sammanställa alla de texter som ska offentliggöras i Moniteur belge.”

9        I artikel 474 i denna ramlag föreskrivs följande:

Moniteur belge ska publiceras av Moniteur belges redaktionsledning i fyra tryckta pappersexemplar.

Ett exemplar ska lagras elektroniskt. Konungen fastställer villkoren för den elektroniska lagringen …”

10      Artikel 475 i nämnda ramlag har följande lydelse:

”Tidningen ska i övrigt vara tillgänglig för allmänheten på den webbplats som tillhör Moniteur belges redaktionsledning.

Utgåvorna på webbplatsen ska vara exakta elektroniska kopior av de pappersexemplar som föreskrivs i artikel 474.”

11      Artikel 475 bis i samma ramlag har följande lydelse:

”Varje medborgare kan till självkostnadspris, från Moniteur belge, erhålla en kopia av de handlingar och dokument som offentliggörs i Moniteur belge. Detta sker genom en gratis telefontjänst som också ansvarar för att ge medborgarna hjälp med dokumentsökning.”

12      I artikel 475 ter i ramlagen av den 24 december 2002 föreskrivs följande:

”Andra kompletterande åtgärder ska vidtas genom en kunglig förordning som antas i ministerrådet för att säkerställa största möjliga spridning och tillgång till den information som finns i Moniteur belge.”

 Målet vid den nationella domstolen och tolkningsfrågorna

13      En fysisk person i Belgien var majoritetsaktieägare i ett privat bolag med begränsat ägaransvar. Sedan delägarna i bolaget beslutat att minska bolagskapitalet, ändrades bolagsordningen genom beslut av bolagets extra bolagsstämma den 23 januari 2019.

14      I enlighet med bolagslagen, i dess lydelse enligt lagen av den 7 maj 1999 (Moniteur belge av den 6 augusti 1999, s. 29440), upprättade en notarie ett utdrag ur detta beslut på uppdrag av den fysiska personen. Notarien översände därefter utdraget till kansliet vid den behöriga domstolen, det vill säga den företagsdomstol inom vars domkrets bolaget har sitt säte. Domstolen översände sedan detta utdrag i enlighet med relevanta lagbestämmelser till redaktionsledningen för Moniteur belge för offentliggörande.

15      Den 12 februari 2019 offentliggjordes utdraget i oförändrad form, det vill säga utan kontroll av dess innehåll, i bilagorna till Moniteur belge i enlighet med tillämpliga lagbestämmelser.

16      Samma utdrag innehåller beslutet att sätta ned bolagskapitalet, storleken på det ursprungliga kapitalet och på minskningen, det nya aktiekapitalbeloppet och den nya texten till bolagsordningen. Utdraget innehåller även ett avsnitt med uppgifter om namnen på bolagets två delägare, bland annat namnet på den fysiska person som avses i punkt 13 ovan, samt vilka belopp som återbetalats till dem jämte deras bankkontonummer (nedan kallat det omtvistade avsnittet).

17      Efter att ha konstaterat att notarien hade begått ett fel genom att i det utdrag som nämns i punkt 14 ovan inkludera det omtvistade avsnittet, trots att detta inte krävs enligt lag, begärde den aktuella fysiska personen, med hjälp av notarien och dennes dataskyddsombud, att åtgärder skulle vidtas för att få avsnittet raderat. Begäran gjordes med stöd av rätten till radering enligt artikel 17 i dataskyddsförordningen.

18      Service public fédéral Justice (federala justitiemyndigheten, nedan kallad SPF Justice), som Moniteur belges redaktionsledning är knuten till, avslog begäran om radering bland annat genom beslut av den 10 april 2019.

19      Den 21 januari 2020 lämnade nämnda fysiska person in ett klagomål mot SPF Justice till dataskyddsmyndigheten för att få fastställt att begäran om radering var välgrundad och att villkoren för utövande av rätten till radering enligt artikel 17.1 i dataskyddsförordningen var uppfyllda.

20      Genom beslut av den 23 mars 2021 skickade dataskyddsmyndigheten en ”reprimand” till SPF Justice och anmodade samtidigt SPF Justice att bifalla begäran snarast möjligt, dock senast 30 dagar efter delgivningen av beslutet.

21      Belgiska staten överklagade den 22 april 2021 beslutet till cour d’appel de Bruxelles (Appellationsdomstolen i Bryssel, Belgien), som är hänskjutande domstol, och yrkade att beslutet skulle upphävas

22      Den hänskjutande domstolen påpekar att parterna är oense om hur begreppet personuppgiftsansvarig i artikel 4 led 7 i dataskyddsförordningen ska tolkas då de personuppgifter som finns i det omtvistade avsnittet, vars offentliggörande inte krävdes enligt lag, har behandlats av flera potentiella, ”på varandra följande” personuppgiftsansvariga. Dessa utgörs, för det första, av den notarie som upprättade det utdrag som innehåller det omtvistade avsnittet genom att felaktigt föra in dessa personuppgifter, för det andra, av kansliet vid den domstol dit utdraget senare gavs in innan det därefter skickades till Moniteur belge för offentliggörande och, för det tredje, av Moniteur belge som, i enlighet med de lagbestämmelser som reglerar dess ställning och uppdrag, offentliggjorde utdraget i oförändrad form, det vill säga utan att ha några som helst gransknings- eller ändringsbefogenheter, efter att har erhållit det från nämnda domstol.

23      Den hänskjutande domstolen vill i detta sammanhang få klarhet i huruvida Moniteur belge kan anses som personuppgiftsansvarig i den mening som avses i artikel 4 led 7 i dataskyddsförordningen. Om så är fallet önskar den hänskjutande domstolen – som samtidigt påpekar att parterna i det nationella målet inte har åberopat det gemensamma ansvar som föreskrivs i artikel 26 i dataskyddsförordningen – även få klarhet i huruvida Moniteur belge ska anses ensam ansvarig, enligt artikel 5.2 i förordningen, för iakttagandet av de principer som anges i artikel 5.1 i förordningen, eller om detta ansvar ska anses kumulativt åligga de offentliga organ som i ett tidigare led har behandlat personuppgifterna i det omtvistade avsnittet, det vill säga den notarie som upprättade utdraget innehållande detta avsnitt och den företagsdomstol inom vars domkrets det privata bolaget med begränsat ägaransvar har sitt säte.

24      Mot denna bakgrund beslutade cour d’appel de Bruxelles (Appellationsdomstolen i Bryssel) att vilandeförklara målet och ställa följande tolkningsfrågor till EU-domstolen:

”1)      Ska artikel 4 led 7 i [dataskyddsförordningen] tolkas så, att en officiell tidning i en medlemsstat – vilken har ett allmännyttigt uppdrag att offentliggöra och arkivera officiella handlingar och vilken enligt tillämplig nationell lagstiftning ska offentliggöra rättsakter och officiella handlingar som andra offentliga instanser har begärt att tidningen ska offentliggöra, i den form de överlämnas av dessa instanser efter det att de själva har behandlat personuppgifterna i dessa rättsakter och handlingar, utan att den nationella lagstiftaren har gett tidningen något utrymme för skönsmässig bedömning i fråga om innehållet i de handlingar som ska offentliggöras och i fråga om ändamålet och medlen för offentliggörandet – är personuppgiftsansvarig?

2)      För det fall den första frågan besvaras jakande, ska då artikel 5 [punkt] 2 i [dataskyddsförordningen] tolkas så, att den officiella tidningen i fråga ska vara ensamt skyldig att iaktta de förpliktelser som åligger den personuppgiftsansvarige enligt denna bestämmelse, med undantag av de andra offentliga instanser som först har behandlat uppgifterna i de rättsakter och officiella handlingar som de har begärt att tidningen ska offentliggöra? Eller åligger dessa förpliktelser kumulativt var och en av de på varandra följande personuppgiftsansvariga?”

 Prövning av tolkningsfrågorna

 Den första frågan

25      Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 4 led 7 i dataskyddsförordningen ska tolkas så, att den institution eller det organ som ansvarar för en medlemsstats officiella tidning – och som enligt denna stats lagstiftning bland annat har en skyldighet att, i oförändrad form, offentliggöra rättsakter och officiella handlingar som har upprättats av tredje man under eget ansvar i enlighet med tillämpliga bestämmelser och därefter har överlämnats till en domstol som sedan skickar dem till nämnda institution eller organ för offentliggörande – kan anses vara ”personuppgiftsansvarig” för personuppgifterna i dessa rättsakter och handlingar i den mening som avses i denna bestämmelse.

26      Det ska inledningsvis preciseras att begreppet personuppgiftsansvarig i artikel 4 led 7 i dataskyddsförordningen förutsätter att det föreligger en ”behandling” av personuppgifter i den mening som avses i artikel 4 led 2 i förordningen. I förevarande fall framgår det av beslutet om hänskjutande att de personuppgifter som finns i det omtvistade avsnittet har behandlats av Moniteur belge. Även om den hänskjutande domstolen inte i detalj har redogjort för denna behandling, framgår det av dataskyddsmyndighetens och den belgiska regeringens samstämmiga skriftliga yttranden att dessa uppgifter åtminstone har samlats in, registrerats, lagrats, lämnats ut genom överföring och spridits av Moniteur belge, varför dessa åtgärder ska anses utgöra en ”behandling” i den mening som avses i artikel 4 led 2 i nämnda förordning.

27      Mot bakgrund av denna inledande precisering erinrar domstolen om att begreppet personuppgiftsansvarig, enligt artikel 4 led 7 i dataskyddsförordningen, omfattar fysiska eller juridiska personer, offentliga myndigheter, institutioner eller andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. I bestämmelsen föreskrivs även att om ändamålen och medlen för behandlingen bestäms av en medlemsstats nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i nämnda nationella rätt.

28      Syftet med denna bestämmelse är enligt domstolens praxis att, genom en vid definition av begreppet personuppgiftsansvarig, säkerställa ett effektivt och komplett skydd för de berörda personerna (se, för ett liknande resonemang, dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punkt 29, och dom av den 5 december 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, punkt 40 och där angiven rättspraxis).

29      Mot bakgrund av ordalydelsen i artikel 4 led 7 i dataskyddsförordningen, jämförd med detta syfte, gör domstolen följande bedömning. För att avgöra huruvida en person eller enhet ska kvalificeras som personuppgiftsansvarig i den mening som avses i denna bestämmelse, ska det undersökas huruvida denna person eller denna enhet ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen eller om dessa bestäms av nationell rätt. När dessa bestäms av nationell rätt, ska det sedan prövas huruvida det i nationell rätt föreskrivs vem som är personuppgiftsansvarig eller om det däri föreskrivs särskilda kriterier för hur denne ska utses.

30      Med hänsyn till den vida definitionen av begreppet personuppgiftsansvarig i den mening som avses i artikel 4 led 7 i dataskyddsförordningen kan bestämmandet av ändamålen och medlen för behandlingen och, i förekommande fall, fastställandet av denne ansvarige enligt nationell rätt inte bara vara uttryckligt utan även underförstått. I det senare fallet krävs det emellertid att detta bestämmande på ett tillräckligt säkert sätt följer av den roll, det uppdrag och de befogenheter som tilldelats den berörda personen eller enheten. Det skulle nämligen minska skyddet för dessa personer om artikel 4 led 7 i dataskyddsförordningen tolkades restriktivt för att endast omfatta de fall där ändamålen med och medlen för en personuppgiftsbehandling som utförs av en person, en offentlig myndighet, en institution eller ett organ uttryckligen bestäms av nationell rätt, trots att dessa ändamål och medel i huvudsak framgår av de lagbestämmelser som reglerar den berörda enhetens verksamhet.

31      EU-domstolen konstaterar härvid följande. För det första har den hänskjutande domstolen preciserat att Moniteur belge, i det nationella målet, inte tycks ha befogenhet enligt nationell rätt att fastställa ändamålen med och medlen för den personuppgiftsbehandling som den utför, eftersom den första tolkningsfrågan har ställts utifrån denna premiss. Det framgår för övrigt av de samstämmiga förklaringar som lämnats av dataskyddsmyndigheten och den belgiska regeringen vid förhandlingen att den offentliga myndighet som ansvarar för Moniteur belge, det vill säga SPF Justice, inte heller verkar ha en sådan befogenhet enligt nationell rätt.

32      För det andra framgår det av handlingarna i målet att de personuppgifter som finns i de rättsakter och handlingar som översänts till Moniteur belge för offentliggörande i huvudsak samlas in, registreras, lagras och offentliggörs i oförändrat skick, i syfte att officiellt informera allmänheten om dessa rättsakters och handlingars existens och för att de ska kunna göras gällande mot tredje man.

33      Det framgår vidare av de förklaringar som lämnats av den hänskjutande domstolen att behandlingen huvudsakligen sker med hjälp av automatiserade metoder. Bland annat återges de aktuella personuppgifterna i exemplar som tryckts på papper, varav ett lagras elektroniskt. Pappersexemplaren reproduceras sedan i elektronisk form för Moniteur belges webbsida och en kopia kan erhållas via en telefontjänst; denna telefontjänst har även till uppgift att erbjuda medborgarna hjälp med dokumentsökning.

34      Det följer således av handlingarna i målet att belgisk rätt, åtminstone underförstått, har bestämt ändamålen med och medlen för den behandling av personuppgifter som utförs av Moniteur belge.

35      Under dessa omständigheter finner domstolen att Moniteur belge, i egenskap av institution eller organ som ansvarar för behandlingen av personuppgifter i dess publikationer i enlighet med de ändamål och medel för personuppgiftsbehandling som föreskrivs i den belgiska lagstiftningen, kan anses vara personuppgiftsansvarig i den mening som avses i artikel 4 led 7 i dataskyddsförordningen.

36      Denna bedömning påverkas inte av att Moniteur belge, i egenskap av underavdelning till SPF Justice, inte är ett rättssubjekt. Det framgår nämligen av bestämmelsens tydliga ordalydelse att en personuppgiftsansvarig inte bara kan vara en fysisk eller juridisk person utan även en offentlig myndighet, en institution eller ett organ. Sådana enheter är inte nödvändigtvis rättssubjekt enligt nationell rätt.

37      Den omständigheten att Moniteur belge enligt nationell rätt inte kontrollerar de personuppgifter som förekommer i de rättsakter och handlingar som nämnda officiella tidning har mottagit, innan de offentliggörs i denna tidning, påverkar inte heller frågan huruvida Moniteur belge kan anses vara personuppgiftsansvarig.

38      Det är visserligen riktigt att Moniteur belge ska offentliggöra den berörda handlingen i oförändrat skick. Samtidigt är Moniteur belge ensam ansvarig för denna uppgift och därefter för spridningen av den berörda rättsakten eller handlingen. Offentliggörande av sådana rättsakter och handlingar utan möjlighet till kontroll eller ändring av deras innehåll har ett nära samband med de ändamål och medel för behandling som bestäms av nationell rätt, då en sådan officiell tidning som Moniteur belge endast har till uppgift att informera allmänheten om förekomsten av dessa rättsakter och handlingar, såsom de översänts till denna officiella tidning i form av kopior i enlighet med tillämplig nationell rätt, för att de ska kunna göras gällande mot tredje man. Vidare skulle det strida mot syftet med artikel 4 led 7 i dataskyddsförordningen, som omnämns i punkt 28 ovan, att utesluta en medlemsstats officiella tidning från definitionen av ”personuppgiftsansvarig” med motiveringen att den inte utövar kontroll över de personuppgifter som finns i dess publikationer (se, analogt, dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 34).

39      Mot denna bakgrund ska den första frågan besvaras enligt följande. Artikel 4 led 7 i dataskyddsförordningen ska tolkas så, att den institution eller det organ som ansvarar för en medlemsstats officiella tidning – och som enligt denna stats lagstiftning bland annat har en skyldighet att, i oförändrad form, offentliggöra rättsakter och officiella handlingar som har upprättats av tredje man under eget ansvar i enlighet med tillämpliga bestämmelser och därefter har överlämnats till en domstol som sedan skickar dem till nämnda institution eller organ för offentliggörande – kan, även om denna institution eller detta organ inte är ett rättssubjekt, anses vara personuppgiftsansvarig för personuppgifterna i dessa rättsakter och handlingar när ändamålen med och medlen för den personuppgiftsbehandling som utförs av den officiella tidningen bestäms av den berörda nationella rättsordningen.

 Den andra frågan

40      Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida artikel 5.2 i dataskyddsförordningen ska tolkas så, att den institution eller det organ som ansvarar för en medlemsstats officiella tidning och som betecknas som personuppgiftsansvarig i den mening som avses i artikel 4 led 7 i dataskyddsförordningen, ska anses ensam ansvarig för att de principer som avses i artikel 5.1 i dataskyddsförordningen iakttas, eller om detta ansvar kumulativt åligger denna institution eller detta organ och de offentliga utomstående enheter som tidigare har behandlat de personuppgifter som finns i de rättsakter och handlingar som offentliggjorts av den officiella tidningen.

41      EU-domstolen erinrar först och främst om att enligt artikel 5.2 i dataskyddsförordningen ska den personuppgiftsansvarige ansvara för efterlevnaden av de principer som föreskrivs i form av skyldigheter i punkt 1 i denna artikel och kunna visa att dessa principer efterlevs.

42      I förevarande fall framgår det av handlingarna i målet att den behandling av personuppgifter som är aktuell i det nationella målet och som anförtrotts Moniteur belge äger rum efter den behandling som utförs av notarien och av kansliet vid den behöriga domstolen. Samtidigt skiljer den sig tekniskt sett från den behandling som utförs av dessa båda organ i så måtto att den tillkommer härutöver. De åtgärder som Moniteur belge vidtar har nämligen anförtrotts tidningen enligt den nationella lagstiftningen och innebär bland annat en digital omvandling av de personuppgifter som finns i de handlingar eller utdrag ur handlingar som tillställts Moniteur belge. Åtgärderna innebär vidare offentliggörande av dessa personuppgifter, tillgängliggörande för en bred publik samt lagring av desamma.

43      Moniteur belge ska därför anses ansvarig, i enlighet med artikel 5.2 i dataskyddsförordningen, för efterlevnaden av de principer som avses i punkt 1 i denna artikel, såvitt gäller den behandling som Moniteur belge är skyldig att utföra enligt nationell rätt och, följaktligen, för samtliga skyldigheter som åligger den personuppgiftsansvarige enligt dataskyddsförordningen.

44      Vad sedan gäller den hänskjutande domstolens spörsmål om huruvida en sådan officiell tidning ska anses ensam ansvarig för behandlingen, erinrar EU-domstolen om följande. Det framgår av ordalydelsen i artikel 4 led 7 i dataskyddsförordningen att det i denna bestämmelse inte bara föreskrivs att ändamålen och medlen för en behandling av personuppgifter får bestämmas tillsammans av flera personer i deras egenskap av personuppgiftsansvariga, utan även att dessa ändamål och medel får bestämmas av nationell rätt som också får föreskriva vem som ska vara personuppgiftsansvarig eller de särskilda kriterierna för hur denne ska utses.

45      Vid en kedja av behandlingar som utförs av olika personer eller enheter och som rör samma personuppgifter, får ändamålen och medlen för all behandling som dessa olika personer eller enheter i tur och ordning utför således bestämmas av nationell rätt, så att dessa ska anses gemensamt personuppgiftsansvariga.

46      Domstolen erinrar vidare om att artikel 26.1 i dataskyddsförordningen föreskriver ett gemensamt ansvar om två eller flera personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen av personuppgifter. I denna bestämmelse anges även att de gemensamt personuppgiftsansvariga under öppna former, genom ett inbördes arrangemang, ska fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, såvida inte deras respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de omfattas av.

47      Det följer således av den nämnda bestämmelsen att de skyldigheter som åligger var och en av de gemensamt personuppgiftsansvariga för en behandling av personuppgifter inte nödvändigtvis är beroende av att det föreligger ett inbördes arrangemang mellan de olika personuppgiftsansvariga (se, för ett liknande resonemang, dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punkterna 44 och 45), utan dessa skyldigheter kan följa av nationell rätt.

48      Domstolen har dessutom slagit fast att det är tillräckligt att en person, för sina egna syften, inverkar på behandlingen av personuppgifter och därigenom deltar i bestämmandet av ändamålen med och medlen för behandlingen för att kunna hållas gemensamt ansvarig för behandlingen. För att flera aktörer ska anses ha ett gemensamt ansvar för en och samma behandling krävs inte att var och en av dem har tillgång till de aktuella personuppgifterna (se, för ett liknande resonemang, dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punkterna 40–43 och där angiven rättspraxis).

49      Det följer av punkterna 44–48 ovan att enligt artikel 26.1 jämförd med artikel 4 led 7 i dataskyddsförordningen får ett gemensamt ansvar för flera aktörer i en kedja av behandlingar avseende samma personuppgifter fastställas i nationell rätt, under förutsättning att de olika behandlingsåtgärderna förenas av ändamål och medel som fastställs i nationell rätt och att de skyldigheter som åligger var och en av de gemensamt personuppgiftsansvariga fastställs i nationell rätt.

50      Det ska preciseras att ett sådant fastställande av de ändamål och medel som förenar de olika behandlingar som utförs av flera aktörer i en kedja liksom fastställande av deras respektive skyldigheter inte bara kan ske direkt, utan även indirekt enligt nationell rätt. I det sistnämnda fallet krävs då att fastställandet kan utläsas på ett tillräckligt tydligt sätt av de rättsliga bestämmelser som reglerar de berörda personerna eller enheterna och den behandling av personuppgifter som de utför inom ramen för den kedja av behandlingar som föreskrivs i nationell rätt.

51      Slutligen, och i alla relevanta avseenden, gör EU-domstolen följande precisering. För det fall den hänskjutande domstolen skulle komma fram till att den institution eller det organ som ansvarar för Moniteur belge inte är ensam ansvarig, utan ansvarig tillsammans med andra för efterlevnaden av de principer som avses i artikel 5.1 i dataskyddsförordningen såvitt gäller de personuppgifter som anges i det omtvistade avsnittet, påverkar en sådan slutsats inte på något sätt frågan huruvida, särskilt med hänsyn till undantagen i artikel 17.3 b och d i dataskyddsförordningen, den begäran om radering som ingetts av den fysiska person som nämns i punkt 13 ovan ska bifallas.

52      Mot denna bakgrund ska den andra frågan besvaras enligt följande. Artikel 5.2 i dataskyddsförordningen, jämförd med artikel 4 led 7 och artikel 26.1 i samma förordning, ska tolkas så, att den institution eller det organ som ansvarar för en medlemsstats officiella tidning och som betecknas som personuppgiftsansvarig i den mening som avses i artikel 4 led 7 i samma förordning, är ensam ansvarig för att de principer som avses i artikel 5.1 i förordningen iakttas såvitt gäller den behandling av personuppgifter som denna institution eller detta organ har en skyldighet att utföra enligt nationell rätt; detta gäller såvida inte ett med andra enheter gemensamt ansvar för behandlingen följer av nationell rätt.

 Rättegångskostnader

53      Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (tredje avdelningen) följande:

1)      Artikel 4 led 7 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ska tolkas på följande sätt:

Den institution eller det organ som ansvarar för en medlemsstats officiella tidning – och som enligt denna stats lagstiftning bland annat har en skyldighet att, i oförändrad form, offentliggöra rättsakter och officiella handlingar som har upprättats av tredje man under eget ansvar i enlighet med tillämpliga bestämmelser och därefter har överlämnats till en domstol som sedan skickar dem till nämnda institution eller organ för offentliggörande – kan, även om denna institution eller detta organ inte är ett rättssubjekt, anses vara personuppgiftsansvarig för personuppgifterna i dessa rättsakter och handlingar när ändamålen med och medlen för den personuppgiftsbehandling som utförs av den officiella tidningen bestäms av den berörda nationella rättsordningen.

2)      Artikel 5.2 i förordning 2016/679, jämförd med artikel 4 led 7 och artikel 26.1 i samma förordning,

ska tolkas på följande sätt:

Den institution eller det organ som ansvarar för en medlemsstats officiella tidning och som betecknas som personuppgiftsansvarig i den mening som avses i artikel 4 led 7 i samma förordning, är ensam ansvarig för att de principer som avses i artikel 5.1 i förordningen iakttas såvitt gäller den behandling av personuppgifter som denna institution eller detta organ har en skyldighet att utföra enligt nationell rätt; detta gäller såvida inte ett med andra enheter gemensamt ansvar för behandlingen följer av nationell rätt.

Underskrifter

*      Rättegångsspråk: franska.