FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

M. BOBEK

fremsat den 6. oktober 2021(1)

Sag C-245/20

X,

Z

mod

Autoriteit Persoonsgegevens

(anmodning om præjudiciel afgørelse indgivet af Rechtbank Midden-Nederland (retten i første instans i Midden-Nederland, Nederlandene))

»Præjudiciel forelæggelse – beskyttelse af fysiske personer for så vidt angår behandling af personoplysninger – forordning (EU) 2016/679 – tilsynsmyndighedens kompetence – behandlingsaktiviteter foretaget af domstole, der handler i deres egenskab af domstol – videregivelse af procesdokumenter til en journalist«

I.      Indledning

1.        »Publicity is the very soul of justice. It is the keenest spur to exertion, and the surest of all guards against impropriety. […] It is through publicity alone that justice becomes the mother of security. By publicity, the temple of justice is converted into a school of the first order, where the most important branches of morality are enforced […]« [O.a.: Offentlighed er selve retsplejens sjæl. Den er bedste ansporing til at gøre sig umage og det sikreste af alle værn mod uanstændighed. […] Det er gennem offentlighed, at retsplejen bliver sikkerhedens moder. Gennem offentlighed omdannes retsplejens tempel til en skole af øverste orden, hvor de vigtigste grene i det moralske kodeks håndhæves […] (2).

2.        Selv om Jeremy Benthams ord er skrevet umiddelbart inden det 19. århundrede (3), vinder de stadig gehør. Konteksten dengang var bestemt en ganske anden. Åbenhed i retsplejen og offentliggørelsen heraf skulle retfærdiggøres ikke kun over for visse oplyste monarker (dog oftest ikke særligt oplyste monarker), men også eller snarere især over for en række særegne, dog stadig vedvarende, middelalderlige syn på juraens og de retslige processers karakter (4).

3.        Der er ingen udtrykkelige oplysninger om, at retsplejens templer er omdannet til skoler, i hovedsagen. Det forekommer ikke desto mindre stadig, at princippet om åbenhed i retsplejen i Nederlandene har givet pressen mulighed for på datoen for et retsmøde at få aktindsigt i visse procesdokumenter i de sager, der er berammet ved retten den pågældende dag. Formålet med aktindsigten er at bistå journalister med bedre at kunne dække en verserende sag (5).

4.        Sagsøgerne i denne sag er fysiske personer, som er uenige i denne politik. De har anført, at de ikke samtykkede i videregivelsen til en journalist af udvalgte procesdokumenter vedrørende deres sag, der verserede for Raad van State (den øverste domstol i forvaltningsretlige sager, Nederlandene). Sagsøgerne har for den nationale tilsynsmyndighed anført, at visse rettigheder og forpligtelser i henhold til forordning (EU) 2016/679 (herefter »GDPR«) er blevet tilsidesat (6). Den sagsøgte tilsynsmyndighed har ikke desto mindre ikke anset sig selv for at have kompetence til at behandle klagen. Efter tilsynsmyndighedens opfattelse blev den omtvistede behandling foretaget i de nationale domstoles »egenskab af domstol« i medfør af GDPR's artikel 55, stk. 3.

5.        Det er i denne forbindelse, at Rechtbank Midden-Nederland (retten i første instans i Midden-Nederland, Nederlandene) har anmodet om vejledning, hovedsagelig vedrørende problemstillingen om, hvorvidt videregivelsen til pressen af visse procesdokumenter med henblik på, at medierne bedre kan dække en sag, der behandles i et åbent retsmøde, udgør en aktivitet, hvor domstolene »handler i deres egenskab af domstol« i den i GDPR's artikel 55, stk. 3, omhandlede forstand.

II.    Relevante retsforskrifter

A.      EU-ret

6.        Det er i 20. betragtning til GDPR anført:

»Selv om denne forordning bl.a. finder anvendelse på domstoles og andre judicielle myndigheders aktiviteter, kan EU-retten eller medlemsstaternes nationale ret præcisere, hvilke behandlingsaktiviteter og ‑procedurer der finder anvendelse i forbindelse med domstoles og andre judicielle myndigheders behandling af personoplysninger. Tilsynsmyndighedernes kompetence bør af hensyn til dommerstandens uafhængighed under udførelsen af dens judicielle opgaver, herunder ved beslutningstagning, ikke omfatte domstolenes behandling af personoplysninger, når domstole handler i deres egenskab af domstol. Tilsynet med sådanne databehandlingsaktiviteter bør kunne overdrages til specifikke organer i medlemsstatens retssystem, der navnlig bør sikre overholdelsen af reglerne i denne forordning, gøre dommerstanden bekendt med dens forpligtelser i henhold til denne forordning og behandle klager over sådanne databehandlingsaktiviteter.«

7.        Forordningens artikel 2, stk. 1, bestemmer:

»Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.«

8.        Begrebet »behandling« er defineret således i GDPR's artikel 4, nr. 2):

»enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse«.

9.        Forordningens artikel 6, der har overskriften »Lovlig behandling«, har, for så vidt som det er relevant, følgende ordlyd:

»1.      Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

[…]

e)      Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

f)      Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.

2.      Medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af denne forordnings bestemmelser om behandling med henblik på overholdelse af stk. 1, litra c) og e), ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling, herunder for andre specifikke databehandlingssituationer som omhandlet i kapitel IX.

3.      Grundlaget for behandling i henhold til stk. 1, litra c) og e), skal fremgå af:

a)      EU-retten, eller

b)      medlemsstaternes nationale ret, som den dataansvarlige er underlagt.«

10.      GDPR's artikel 51, stk. 1, bestemmer:

»Hver medlemsstat sikrer, at en eller flere uafhængige offentlige myndigheder er ansvarlige for at føre tilsyn med anvendelsen af denne forordning, for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i Unionen (»tilsynsmyndighed«).«

11.      Forordningens artikel 55, stk. 3, bestemmer imidlertid: »Tilsynsmyndigheder er ikke kompetente til at føre tilsyn med domstoles behandlingsaktiviteter, når disse handler i deres egenskab af domstol«.

B.      National ret

12.      Uitvoeringswet AVG af 16. maj 2016 (herefter »UAVG«) gennemfører GDPR i nederlandsk ret. UAVG's artikel 6 betror sagsøgte forpligtelsen til at føre tilsyn med overholdelsen af GDPR i Nederlandene. UAVG gentager ikke undtagelsen i GDPR's artikel 55, stk. 3.

13.      Den 31. maj 2018 vedtog formanden for Afdeling bestuursrechtspraak van de Raad van State (afdelingen for forvaltningsretlige sager ved Raad van State, Nederlandene), de retlige forvaltninger for Centrale Raad van Beroep (appeldomstolen i sager vedrørende social sikring og tjenestemænd, Nederlandene) og for College van Beroep voor het bedrijfsleven (appeldomstolen i sager om handel og industri, Nederlandene) en forskrift om behandling af personoplysninger i forvaltningsdomstolene. Forskriften oprettede AVG-commissie bestuursrechtelijke colleges (det forvaltningsretlige udvalg for den generelle databeskyttelsesordning) (herefter »GDPR-udvalget«). Udvalget har til ansvar at rådgive Raad van State (den øverste domstol i forvaltningsretlige sager), de retlige forvaltninger for Centrale Raad van Beroep (appeldomstolen i sager vedrørende social sikring og tjenestemænd) og for College van Beroep voor het bedrijfsleven (appeldomstolen i sager om handel og industri) om behandling af klager vedrørende de ved GDPR garanterede rettigheder.

III. Faktiske omstændigheder, nationale retsforhandlinger og de præjudicielle spørgsmål

14.      Den 30. oktober 2018 behandlede Raad van State (den øverste domstol i forvaltningsretlige sager) en forvaltningsretlig tvist mellem Z (herefter »borger Z«) og borgmesteren i Utrecht (Nederlandene) (herefter »borgmester M«). X (herefter »advokat X«) repræsenterede borger Z (herefter samlet »sagsøgerne«) i tvisten (7).

15.      Efter retsmødet rettede en person, der præsenterede sig som en journalist (herefter »journalist J«), henvendelse til borger Z under tilstedeværelse af advokat X. Journalisten rådede over flere procesdokumenter fra sagsakterne. Adspurgt om disse dokumenter anførte journalist J, at han havde fået dokumenterne stillet til rådighed i medfør af den ret til aktindsigt i sagsakterne, som Raad van State (den øverste domstol i forvaltningsretlige sager) gav journalister.

16.      Samme dag skrev advokat X til formanden for Afdeling bestuursrechtspraak van de Raad van State (afdelingen for forvaltningsretssager ved Raad van State) (herefter »formand P«) for at få bekræftet, om der var givet aktindsigt i sagsakterne – og i givet fald til hvem – og om der med viden eller godkendelse fra ansatte i Raad van State (den øverste domstol i forvaltningsretlige sager) var lavet kopier.

17.      Ved skrivelse af 21. november 2018 svarede formand P, at Raad van State (den øverste domstol i forvaltningsretlige sager) til tider giver journalister oplysninger, der vedrører retsmøder. Retten gør det bl.a. ved at stille oplysninger til rådighed, således at journalister, der er til stede i bygningen på dagen for at dække et bestemt retsmøde, kan gennemse dem. Oplysningerne omfatter en kopi af stævningen (eller appelskriftet), svarskriftet og, i tilfælde af appel, rechtbanks (ret i første instans, Nederlandene) afgørelse. Kopierne er kun til gennemsyn på selve dagen for retsmødet, hvilket betyder, at oplysningerne ikke sendes til eller deles med medierne på forhånd. De relevante dokumenter må ikke forlade de respektive retsbygninger, ligesom de heller ikke må medtages. Når retsmødedagen er forbi, tilintetgør medarbejdere fra presseafdelingen ved Raad van State (den øverste domstol i forvaltningsretlige sager) kopierne.

18.      Borger Z og advokat X indgav anmodninger om håndhævelse til Autoriteit Persoonsgegevens (datatilsynsmyndigheden, Nederlandene). Myndigheden var af den opfattelse, at den ikke havde kompetence, og videresendte anmodningerne til GDPR-udvalget.

19.      Den forelæggende ret har forklaret, at den af Raad van State (den øverste domstol i forvaltningsretlige sager) vedtagne politik om journalisters aktindsigt betyder, at tredjemænd, som ikke er part i sagen, får adgang til visse personoplysninger vedrørende sagens parter og i givet fald deres bemyndigede repræsentant(er). Procesdokumenterne kan indeholde personoplysninger, der stammer fra f.eks. en bemyndiget repræsentants brevhoved, således at vedkommende kan identificeres. De kan også indeholde en eller flere former for (specifikke) personoplysninger vedrørende sagsøgeren/appellanten og/eller andre, såsom oplysninger vedrørende straffeattester, kommercielle oplysninger eller lægelige oplysninger.

20.      I denne sag betød den omtvistede videregivelse af procesdokumenterne, at journalist J fik aktindsigt i appelskriftet, svarskriftet og den lavere rets afgørelse. Han fik herved aktindsigt i nogle personoplysninger vedrørende sagsøgerne i hovedsagen, især advokat X’s navn og adresse og borger Z’s »borgerservicenummer«.

21.      Den forelæggende ret er af den opfattelse, at en sådan aktindsigt i procesdokumenter og den (midlertidige) videregivelse af kopier af disse dokumenter udgør »behandling« af personoplysninger i den i GDPR's artikel 4, stk. 2, omhandlede forstand. Retten har anført, at en sådan behandling fandt sted uden sagsøgernes samtykke. Den forelæggende ret skal dog for at afgøre, om Autoriteit Persoonsgegevens (datatilsynsmyndigheden) faktisk kunne konkludere, at den ikke havde kompetence til at efterprøve Raad van States (den øverste domstol i forvaltningsretlige sager) afgørelse om at give den omtvistede aktindsigt i procesdokumenterne, fortolke begrebet domstole, der »handler i deres egenskab af domstol«, som findes i GDPR's artikel 55, stk. 3.

22.      Da Rechtbank Midden-Nederland (retten i første instans i Midden-Nederland, Nederlandene) er i tvivl om, hvorvidt Raad van State (den øverste domstol i forvaltningsretlige sager) handlede i sin »egenskab af domstol« i den i GDPR's artikel 55, stk. 3, omhandlede forstand, da den videregav dokumenter fra sagsakterne i tvisten mellem borger Z og borgmester M til journalist J, for at den sidstnævnte bedre kunne dække retsmødet i sagen, har den besluttet at udsætte sagen og at forelægge Domstolen de følgende præjudicielle spørgsmål:

»1)      Skal [GDPR’s] artikel 55, stk. 3, […] fortolkes således, at der ved »domstoles behandlingsaktiviteter, når disse handler i deres egenskab af domstol«, kan forstås den omstændighed, at en domstol giver aktindsigt i procesdokumenter, der indeholder personoplysninger, hvorved aktindsigten sker ved, at der stilles kopier af procesdokumenterne til rådighed for en journalist, således som det er beskrevet i nærværende forelæggelsesafgørelse?

1a)      Har det for besvarelsen af dette spørgsmål nogen betydning, om den nationale tilsynsmyndigheds udøvelse af tilsyn med denne form for databehandling i konkrete sager berører domstolenes uafhængighed ved beslutningstagningen?

1b)      Har det for besvarelsen af dette spørgsmål nogen betydning, at arten af og formålet med databehandlingen ifølge den pågældende retsinstans er at informere en journalist for at sætte denne i stand til at give en bedre dækning af det offentlige retsmøde i et retssag, og det således tilstræbes at tjene hensynet til offentlighed og gennemsigtighed vedrørende retspraksis?

1c)      Har det for besvarelsen af dette spørgsmål nogen betydning, om databehandlingen beror på en udtrykkelig nationalretlig hjemmel?«

23.      Borger Z, Autoriteit Persoonsgegevens (datatilsynsmyndigheden), den spanske, den nederlandske, den polske og den finske regering samt Europa-Kommissionen har indleveret skriftlige indlæg. Autoriteit Persoonsgegevens (datatilsynsmyndigheden), den spanske og den nederlandske regering samt Kommissionen fremsatte også mundtlige indlæg i retsmødet, der fandt sted den 14. juli 2021.

IV.    Bedømmelse

24.      Dette forslag til afgørelse er opbygget som følger. Jeg vil begynde med nogle korte bemærkninger om formaliteten (A). Så vil jeg vende mig mod GDPR's artikel 55, stk. 3, og drøfte materielle og institutionelle forhold i bestemmelsen (B). Derefter vil jeg anvende mine betragtninger på denne sag (C). Jeg afslutter med flere bemærkninger om hovedproblemstillingen, som denne sag omhandler og samtidig ikke omhandler: anvendelsen af GDPR på nationale domstole (D).

A.      Formaliteten

25.      Borger Z har gjort gældende, at de præjudicielle spørgsmål er hypotetiske og dermed ikke kan antages til realitetsbehandling. Han har anmodet om en håndhævelsesforanstaltning, ikke kun på grund af den hævdede GDPR-uforenelige politik om aktindsigt, men også på grund af den manglende rettidige anmeldelse af en datalæk (dvs. videregivelsen af personoplysninger til en journalist uden samtykke). Endvidere er der faktiske mangler i den forelæggende rets forelæggelsesafgørelse, eftersom den omtvistede videregivelse af procesdokumenterne ikke blev foretaget af Raad van State (den øverste domstol i forvaltningsretlige sager), men i stedet af medarbejdere i domstolens presseafdeling. Som følge heraf, og eftersom forelæggelsesafgørelsen ikke stammede fra en domstol i den i GDPR's artikel 55, stk. 3, omhandlede forstand, havde Autoriteit Persoonsgegevens (datatilsynsmyndigheden) kompetence til at føre tilsyn med presseafdelingens behandling.

26.      Jeg foreslår, at disse anbringender forkastes.

27.      Der foreligger generelt en formodning for, at spørgsmål om fortolkning af EU-retten er relevante (8). Domstolen kan kun afvise at træffe afgørelse om et præjudicielt spørgsmål fremsat af en national ret, hvis det klart fremgår, at den ønskede fortolkning af EU-retten savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, såfremt problemet er af hypotetisk karakter, eller såfremt Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan give en hensigtsmæssig besvarelse af de forelagte spørgsmål (9). Når de forelagte spørgsmål vedrører fortolkningen af EU-retten, er Domstolen derfor principielt forpligtet til at træffe afgørelse (10).

28.      Det sidstnævnte er åbenlyst tilfældet for tvisten i hovedsagen. Den forelæggende ret skal anvende GDPR, navnlig dennes artikel 55, stk. 3, for at afgøre, i hvilket omfang Autoriteit Persoonsgegevens (datatilsynsmyndigheden) faktisk havde kompetence til at føre tilsyn med Raad van States (den øverste domstol i forvaltningsretlige sager) behandling (om nogen) af personoplysninger. For så vidt som den forelæggende ret har behov for vejledning om fortolkningen af bestemmelsen, har den ret til at forelægge Domstolen et præjudicielt spørgsmål.

29.      Endvidere er det alene den nationale ret, der har kompetence til at fastlægge de faktiske omstændigheder, i medfør af hvilke den ønsker Domstolens vejledning (11). Selv hvis en anmodning om præjudiciel afgørelse måtte lide af visse faktiske skavanker, tilkommer det dermed ikke Domstolen hverken at stille spørgsmålstegn ved fuldstændigheden af den forelæggende rets afgørelse eller at have en holdning til en bestemt forståelse af national ret eller praksis.

30.      Under alle omstændigheder er problemstillingen vedrørende spørgsmålet, hvem der videregav hvad og på hvis ordre, faktisk et materielt forhold, som kan være relevant, når den forelæggende ret skal anvende GDPR og den vejledning, som Domstolen har givet. Problemstillingen vedrører imidlertid ikke sagens formalitet.

31.      Følgelig kan sagen åbenlyst antages til realitetsbehandling.

B.      GDPR's artikel 55, stk. 3

32.      Det er klart, at GDPR skal finde anvendelse på medlemsstaternes retsinstanser. Forordningen finder faktisk anvendelse på enhver aktivitet eller række af aktiviteter, som personoplysninger er genstand for. Der er ingen institutionel undtagelse for domstole eller nogen andre specifikke statslige organer (12). GDPR er i henhold til udformningen institutionsblind (13). Alle aktiviteter med behandling af personoplysninger er omfattet, uanset deres art. Endelig bekræfter 20. betragtning til GDPR denne lovgivningsmæssige udformning ved udtrykkeligt at anføre, at den »bl.a. […] finder anvendelse på domstoles og andre judicielle myndigheders aktiviteter«.

33.      Særskilt fra problemstillingen vedrørende den materielle anvendelighed af reglerne i GDPR, men på en måde stadigt uløseligt forbundet hermed, er problemstillingen vedrørende tilsyn med reglernes overholdelse. Det er korrekt, at spørgsmålet om, »hvem, der skal føre tilsyn«, i et vist omfang kan adskilles fra spørgsmålet om »hvem, der skal føres tilsyn med«. Der er dog stadig en nødvendig forbindelse. Til at begynde med vil der, hvis visse regler end ikke finder materiel anvendelse, eller der er vide undtagelser herfra, ikke være stort behov for at drøfte nogen problemstillinger vedrørende tilsyn. Der vil faktisk ikke være noget at overvåge.

34.      Problemstillingen vedrørende tilsynskompetencen behandles i GDPR's artikel 55. Bestemmelsen indleder Afdeling 2 (»Kompetence, opgaver og beføjelser«) i Kapitel VI (»Uafhængige tilsynsmyndigheder«) i GDPR. Artikel 55 heri tildeler i denne forbindelse tre former for kompetence.

35.      For det første pålægger GDPR's artikel 55, stk. 1, medlemsstaterne at udpege tilsynsmyndigheder, som skal sikre overholdelsen af GDPR og opretholde forpligtelserne for de forskellige involverede aktører (14). Hver national tilsynsmyndighed har de beføjelser, som den er tillagt ved GDPR, på sin egen medlemsstats område.

36.      For det andet giver forordningens artikel 55, stk. 2, tilsynsmyndigheden i den pågældende medlemsstat kompetence med hensyn til behandling foretaget af offentlige myndigheder eller af private organer, der handler på grundlag af artikel 6, stk. 1, litra c) eller e). Bestemmelsen indeholder som sådan en undtagelse fra artikel 56, stk. 1, som giver en ledende tilsynsmyndighed bemyndigelse i tilfældet af grænseoverskridende behandling.

37.      For det tredje er det i denne kontekst, at GDPR's artikel 55, stk. 3, udpeger endnu en form for behandlingsaktivitet, nemlig behandling foretaget af domstole, når de handler i deres egenskab af domstol. De »almindelige« tilsynsmyndigheder i henhold til GDPR's artikel 55, stk. 1, har ikke kompetence for så vidt angår disse aktiviteter. 20. betragtning til GDPR forklarer, at »[t]ilsynet med sådanne databehandlingsaktiviteter bør kunne overdrages til specifikke organer i medlemsstatens retssystem«.

38.      Jeg drager to konsekvenser af denne lovgivningsmæssige udformning.

39.      For det første vedrører GDPR's artikel 55 og 56 hovedsagelig kompetencetildelingen. Der kan måske i denne kontekst argumenteres for, at GDPR's artikel 55, stk. 1, skal ses som en »regel«, mens alle øvrige bestemmelser, herunder GDPR's artikel 55, stk. 3, kan ses som »undtagelser«. Domstolen har dog for nyligt afslået at tage denne logik til sig (15). Med god grund efter min opfattelse: GDPR's artikel 55 og 56 vedrører kompetencetildelingen på grundlag af territoriale, type-baserede og aktør-baserede dimensioner. Det vil bestemt ikke yde udformningen retfærdighed, hvis den noget kontante logik om, at »alle undtagelser skal fortolkes indskrænkende«, der er lånt fra den sammenhæng, hvori GDPR's artikel 2, nr. 2), indgår, skulle anvendes på det ganske skrøbelige net, som kompetencetildelingen udgør.

40.      For det andet er anvendelsen af GDPR's artikel 55, stk. 3, underlagt to betingelser. Der skal være en »behandlingsaktivitet« i GDPR’s forstand (1). Dernæst skal den foretages af domstole, »når disse handler i deres egenskab af domstol« (2). Kun i så fald kan det fastslås, hvilken institution der har ansvaret for tilsynet med denne aktivitets overholdelse af GDPR. Det er disse to betingelser, jeg nu vil vende mig mod.

1.      Den materielle del: »en behandlingsaktivitet«?

a)      Den nuværende retsstilling

41.      GDPR’s anvendelsesområde er bredt defineret. I medfør af GDPR's artikel 2, nr. 1), finder forordningen anvendelse på »behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register«.

42.      Artikel 4, nr. 2), tilføjer, at »behandling« omfatter »enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for«, og nævner som eksempel »videregivelse ved transmission, formidling eller enhver anden form for overladelse«. Dette begreb er blevet fortolket således, at det omfatter hele rækken af aktiviteter vedrørende personoplysningerne (16).

43.      GDPR's artikel 4, nr. 6), definerer et »register« som »enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt eller decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag«. Henset til denne brede ordlyd har Domstolen fundet, at der ikke er noget krav til et »registers« midler eller opbygning, så længe personoplysninger er struktureret på en måde, der gør det muligt let at hente disse frem til senere brug (17).

44.      Alle disse forhold betyder samlet, at behandling af personoplysninger i GDPR’s forstand finder sted, når der er (i) personoplysninger, som (ii) behandles (iii) ved automatiske midler eller som del af et register. I dette lys, hvad udgjorde da den omtvistede behandlingsaktivitet i den foreliggende sag?

45.      Det fremgår af sagsakterne, at borger Z har anfægtet den fysiske handling, at journalist J har fået vist tre procesdokumenter, således at han bedre var i stand til at dække retsmødet mellem borger Z og borgmester M. På samme måde videregav Raad van State (den øverste domstol i forvaltningsretlige sager) personoplysninger indeholdt i (i det mindste nogle af) disse dokumenter, idet den handlede som »dataansvarlig«, uden den registreredes samtykke, hvilket udgjorde en (formentlig ulovlig) behandlingsaktivitet i den i GDPR's artikel 4, nr. 2), omhandlede forstand.

46.      Der forekommer ikke at være uenighed om det faktiske forhold, at de omtvistede procesdokumenter indeholdt nogle personoplysninger i den i GDPR's artikel 4, nr. 1), omhandlede forstand. Oplysninger, såsom advokat X’s navn og adresse og borger Z’s »borgerservicenummer«, vedrører åbenlyst »en identificeret eller identificerbar fysisk person« (18).

47.      Parterne synes heller ikke at anfægte, at der var tale om en »behandlingsaktivitet« i den i GDPR's artikel 4, nr. 2), omhandlede forstand. Dette er imidlertid, hvor der kan opstå en vis tvivl. Hvad var den specifikke behandlingsaktivitet (19), som udløste anvendelsen af GDPR?

48.      Det mest indlysende valg i denne henseende er »videregivelse ved transmission« (20) af de omtvistede dokumenter til en tredjemand foretaget af medarbejdere ved Raad van State (den øverste domstol i forvaltningsretlige sager). Retspraksis støtter dette forslag, henset til, at Domstolen har anset meddelelse (21) eller generel videregivelse (22) af personoplysninger for »behandling« i den i GDPR's artikel 4, nr. 2), omhandlede forstand.

49.      I medfør af GDPR's artikel 2, nr. 1), skal behandlingen dog i det mindste delvis være foretaget ved hjælp af automatiske midler. Sagsakterne siger intet om, hvorvidt der blev anvendt sådanne automatiske midler ved behandlingen. I dagens samfund vil der bestemt på et eller andet tidspunkt have været i det mindste en vis brug af automatiske midler. Endvidere, og da der skal tages hensyn til hele rækken af behandlingsaktiviteter (23), er der sket en sådan behandling i det mindste delvist ved brug af automatiserede midler i den i GDPR's artikel 2, nr. 1), omhandlede forstand, så længe en eller anden på et tidspunkt forud for videregivelsen af de omtvistede procesdokumenter enten scannede, kopierede, printede, e-mailede eller på anden vis udtrak disse dokumenter fra en database.

50.      Alternativt og under alle omstændigheder blev personoplysningerne tilsyneladende udtrukket fra sagsakterne med henblik på videregivelse heraf til journalist J. Dette indebærer logisk set, at Raad van State (den øverste domstol i forvaltningsretlige sager) har oprettet sådanne sagsakter ved en eller anden form for identificerende oplysninger (sagsnummer, tvistens dato eller de involverede parters navne). Sådanne sagsakter udgør – man kan endog sige pr. definition – et »register« i den i GDPR's artikel 4, nr. 6), omhandlede forstand, eftersom de opretter en samling af (person)oplysninger, der kan tilgås efter bestemte kriterier (24).

51.      Selv hvis man dermed ser bort fra »ved hjælp af automatisk databehandling« i definitionen i GDPR's artikel 2, nr. 1), er det stadig ganske klart, at tre dokumenter fra en national rets sagsakter udgør en del af et register, med andre ord af selve sagsakterne.

52.      Endelig er der ingen af undtagelserne i GDPR's artikel 2, nr. 2) – som skal fortolkes indskrænkende (25) – der finder anvendelse i denne sag. Videregivelsen af de omtvistede dokumenter falder ikke »uden for EU-rettens anvendelsesområde«, i det mindste ikke på den måde, som Domstolen har fortolket denne vending i denne specifikke kontekst. Det kan meget vel antages, at videregivelsen af procesdokumenter i sager for nationale domstole ikke er omfattet af EU-rettens anvendelsesområde, i hvert fald ikke i den konventionelle forstand som reguleret af en EU-retlig retsakt. I Domstolens nyere dom i sagen Latvijas Republikas Saeima (Strafpoint) blev undtagelsen i GDPR's artikel 2, nr. 2, litra a), imidlertid fortolket til udelukkende at finde anvendelse på medlemsstaternes væsentligste statslige funktioner, for så vidt som disse funktioner kan henføres til samme kategori som national sikkerhed (26). Hvis trafiksikkerheden ikke er blevet anset for at opfylde 16. betragtning til GDPR (27), er det usandsynligt, at åben retspleje vil.

53.      Endvidere er der ingen angivelse af, at videregivelsen i denne sag vedrørte en strafferetlig efterforskning eller fuldbyrdelse af straffe (selv hvis dette af en eller anden fjerntliggende grund var nødvendigt under disse omstændigheder) (28). Anvendelsen af GDPR's artikel 2, nr. 2, litra d), er derfor også udelukket.

54.      Konkluderende fremgår det i henhold til den brede ordlyd og fortolkning af GDPR's artikel 2, nr. 1), artikel 4, nr. 2) og artikel 4, nr. 6), og det yderst snævre anvendelsesområde for undtagelserne i GDPR's artikel 2, nr. 2, at videregivelsen af procesdokumenter i denne sag er omfattet af GDPR’s materielle anvendelsesområde, enten som en aktivitet, der omfatter behandling af personoplysninger, som helt eller delvis foretages ved hjælp af automatisk databehandling, eller behandling af sådanne oplysninger indeholdt i et register.

b)      Er den nuværende retsstilling korrekt?

55.      Videregivelse af tre procesdokumenter til en journalist, således at han bedre kan forstå de mundtlige retsforhandlinger, som han skal rapportere om, udgør behandling af personoplysninger i henhold til GDPR. Denne konklusion er lige så meget et svar, som den er et udtryk for et problem. Mennesker er sociale væsener. De fleste af vores interaktioner omfatter deling af en eller anden form for oplysninger, ofte med andre mennesker. Bør reelt hver eneste udveksling af sådanne oplysninger være underlagt GDPR?

56.      Hvis jeg tager på værtshus en aften, og jeg med fire af mine venner omkring et bord på et offentligt sted [hvilket dermed sandsynligvis ikke opfylder undtagelsen om rent personlige eller familiemæssige aktiviteter i GDPR's artikel 2, nr. 2, litra c) (29)] deler en lidet flatterende bemærkning om min nabo, der indeholder hans personoplysninger, som jeg netop har modtaget i en e-mail (dermed ved hjælp af automatisk databehandling og/eller som en del af mit register), bliver jeg da den dataansvarlige for disse oplysninger, og finder alle de (ganske byrdefulde) forpligtelser i GDPR da pludselig anvendelse på mig? Eftersom min nabo aldrig har samtykket i behandlingen (videregivelse ved transmission), og eftersom sladder sandsynligvis aldrig vil være at finde blandt de lovlige grunde til behandling i GDPR's artikel 6 (30), må jeg nødvendigvis overtræde en række af bestemmelserne i GDPR ved denne videregivelse, herunder de fleste af den registreredes rettigheder i kapitel III.

57.      I retsmødet insisterede Kommissionen på, da den skulle besvare sådanne besynderlige spørgsmål fra generaladvokaten, at der er grænser for GDPR’s anvendelsesområde. Den var imidlertid ikke i stand til at forklare, hvor disse grænser helt nøjagtigt går. Kommissionen godtog faktisk, at selv tilfældig »behandling« af personoplysninger synes at udløse forordningens anvendelse og dermed de rettigheder og forpligtelser, der følger heraf (31).

58.      Dette er netop spørgsmålet, som denne sag endnu en gang bringer på banen: Bør der ikke opstilles en materiel grænse for GDPR’s anvendelsesområde? Er det meningen, at enhver form for menneskelig interaktion, hvorunder der videregives oplysninger om andre mennesker, uanset videregivelsesmåden, skal være underlagt GDPR’s ganske byrdefulde regler?

59.      I denne nye tid, hvor der er en endeløs trang til øget automatisering, synes næsten ethvert aspekt af enhver aktivitet før eller senere at være forbundet til en maskine, som i stigende omfang har sine egne muligheder for databehandling. Det meste af tiden vil anvendelsen af sådanne oplysninger være »de minimis«, således at der i mange tilfælde ikke finder nogen »reel« behandlingsaktivitet sted. Det fremgår dog stadig, at hverken aktivitetens art (den blotte overførsel over for faktisk arbejde på og med oplysningerne), den potentielle videregivelses-måde (skriftlig, manuel eller elektronisk over for mundtlig) eller personoplysningernes omfang (ingen de minimis-regel, ingen forskel i videregivelsen af individualiserede oplysninger vedrørende en bestemt person over for arbejde med eller på datasæt) synes at være af betydning for anvendelsen af GDPR.

60.      Jeg er bestemt ikke den første, som er uforstående over for spændvidden i det, der åbenbart udgør en »behandlingsaktivitet« for så vidt angår GDPR eller tidligere direktiv 95/46/EF (32). Generaladvokat Sharpston forsøgte i sit forslag til afgørelse i sagen Kommission mod Bavarian Lager at foreslå, at der burde indføres en form for minimumstærskel som en udløsende begivenhed for, at der er tale om en behandlingsaktivitet (33).

61.      En mere forsigtig tilgang til begreberne »personoplysninger« og »behandling« er også tidligere blevet foreslået af Artikel 29-Databeskyttelsesgruppen (34). Gruppen anførte, at »den blotte omstændighed, at en vis situation kan anses for at omfatte »behandling af personoplysninger« i definitionens forstand, […] ikke i sig selv [er] afgørende for, at situationen skal underlægges reglerne i [direktiv 95/46], især artikel 3 heri« (35). Den understregede også, at »databeskyttelsesreglernes anvendelsesområde [ikke] skal […] overstrækkes«. Den forudså endda ganske klogt, at »en mekanisk anvendelse af hver eneste af direktivets bestemmelser« kunne have »overdrevent byrdefulde eller måske endda absurde konsekvenser« (36).

62.      Det, der måske så bør kræves som et minimum, er en ændring, forandring, manipulation eller enhver anden behandling i den forstand, at der tilføres »merværdi« til eller sker »loyal brug« af de omtvistede personoplysninger. Alternativt eller i forbindelse hermed bør lægges større vægt på begrebet automatisk databehandling, hvilket udelukker alle andre former for den blotte videregivelse ved ikke-automatisk databehandling, uanset om det er mundtligt eller ved det blotte gennemsyn af et skriftligt dokument. Tilføjelsen af en sådan eller en anden tilsvarende tærskeltest kan dermed hjælpe med at bringe databeskyttelsesreglernes fokus tilbage på aktiviteter, som skulle have været omfattet fra begyndelsen af (37), mens der ses bort fra den utilsigtede, tilfældige eller minimale brug af personoplysninger, som ellers ville nedkalde sig vreden og kraften fra GDPR’s rettigheder og forpligtelser.

63.      Hvorom alting er, er jeg ikke blind for, at Domstolens Store Afdeling for kort tid siden i dommen i sagen Kommissionen mod Bavarian Lager allerede har afvist at indføre en sådan test (38). Tilsvarende har Domstolen siden da fortsat i en ganske ekspansionistisk retning ved fortolkningen af anvendelsesområdet for direktiv 95/46 og for GDPR (39).

64.      Af denne grund er jeg derfor nødt til at konkludere, at der også i denne sag er sket behandling af personoplysninger i den i GDPR's artikel 2, nr. 1), omhandlede forstand og dermed i den i forordningens artikel 55, stk. 3), omhandlede forstand.

65.      Jeg har dog en formodning om, at enten Domstolen eller for den sags skyld EU-lovgiver har en forpligtelse til en dag at genbesøge GDPR’s anvendelsesområde. Den nuværende tilgang er ved gradvist at ændre GDPR til en af de retlige rammer, der faktisk ses allermest bort fra i EU-retten. En sådan situation er ikke nødvendigvis bevidst. Den er snarere et naturligt biprodukt af, at GDPR’s anvendelsesområde strækker over for meget, som så medfører, at en række privatpersoner blot er lykkeligt uvidende om, at deres aktiviteter også er underlagt GDPR. Selv om det bestemt kan være muligt, at en sådan beskyttelse stadig kan »tjene menneskeheden« (40), er jeg ganske sikker på, at den omstændighed, at lovgivning, herunder GDPR, ignoreres på grund af, at den er urimelig, faktisk ikke tjener den og heller ikke bidrager til dens autoritet eller legitimitet.

2.      Institutionelt forhold: »[domstole, der] handler i deres egenskab af domstol«?

66.      Når det er godtaget, at der er en »behandlingsaktivitet« i den i GDPR's artikel 55, stk. 3, omhandlede forstand, skal det andet, ganske institutionelle forhold i bestemmelsen undersøges. Hvordan skal begrebet »[domstole, der] handler i deres egenskab af domstol«, fortolkes?

67.      Bestemmelsen søger at sondre mellem aktiviteter, som bør anses for at være foretaget »i egenskab af domstol«, og aktiviteter, der falder uden for kategorien, såsom formentlig administrative opgaver. Der kan findes en tilsvarende sondring i forskellige andre lovgivningsmæssige sammenhænge, mest markant i forhold til aktindsigt og gennemsigtighedsprincippet i artikel 15, stk. 3, fjerde led, TEUF (41). Ved nærmere eftersyn forekommer GDPR's artikel 55, stk. 3, imidlertid selv at være en specifik bestemmelse.

68.      Kommissionen har anført, at begrebet »handler i deres egenskab af domstol« bør følge en rent funktionel tilgang og fortolkes indskrænkende. Kommissionen har gjort gældende, at der skal tages særligt hensyn til 20. betragtning til GDPR og formålet om at sikre dommerstandens uafhængighed. Ud fra dette synspunkt er det kun de aktiviteter, som har eller kan have en direkte forbindelse med den retslige »beslutningstagning«, der bør være omfattet af begrebet »handler i deres egenskab af domstol«, således at kun disse aktiviteter falder uden for de kompetente tilsynsmyndigheders kompetence.

69.      Alle andre parter i disse retsforhandlinger er af den modsatte opfattelse. De har i det væsentlige gjort gældende, at brugen af ordet »herunder« i 20. betragtning til GDPR antyder, at EU-lovgiver ikke ønskede at knytte en indskrænkende forståelse til begrebet »handler i deres egenskab af domstol«, og at formålet med at sikre dommerstandens uafhængighed skal fortolkes bredt.

70.      Jeg er stort set enig i det sidstnævnte standpunkt.

71.      GDPR's artikel 55, stk. 3, definerer den kompetente tilsynsmyndigheds tilsynskompetence. Den er ikke, som Kommissionen med rette påpegede i retsmødet, en undtagelse til det overordnede krav om tilsyn. Når en behandlingsaktivitet er omfattet af GDPR’s materielle anvendelsesområde, bliver den også underlagt kravet om tilsyn af en uafhængig myndighed i henhold til artikel 8, stk. 3, i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) og artikel 16, stk. 2, TEUF mere generelt. Tilsynet skal foretages af et andet organ end den tilsynsmyndighed, der er udpeget i medfør af GDPR's artikel 51, stk. 1.

72.      For at tilsynskompetencen kan tillægges et andet organ end den generelle tilsynsmyndighed i henhold til GDPR’s artikel 55, stk. 1, kræver artikel 55, stk. 3 – bortset fra, at der skal være en behandlingsaktivitet – for det første, at en form for institution er involveret (»domstole«), og for det andet, at disse domstole foretager en bestemt aktivitet (»handler i deres egenskab af domstol«). Dette medfører, at der er behov for en test, der tager hensyn til begge kendetegn.

73.      Hvad angår det første krav er det åbenlyst, at begrebet »domstol« – uden for det område, hvor artikel 267 TEUF nødvendigvis råder selvstændigt – indebærer en enhed, som udgør en del af den judicielle struktur i medlemsstaten og anerkendes som en sådan (42). Som jeg tidligere har anført, og som den nederlandske regering anførte i retsmødet, er den »retslige« karakter af disse former for enheders aktiviteter hovedreglen, mens udøvelsen af deres »administrative« aktiviteter skal anses for undtagelsen, henset til, at sådanne aktiviteter supplerer eller er mellemkommende i forhold til deres hovedaktivitet, som er retslig (43). Hvis det pågældende organ med andre ord er betegnet som en »domstol« i medlemsstaternes retssystem, skal det som udgangspunkt antages, at den handler »i [sin] egenskab af domstol«, medmindre andet bevises i den individuelle sag (44).

74.      Hvad angår det andet krav sker der en funktionel korrektion af den institutionelle fastlæggelse ved en bedømmelse af en given aktivitets type eller art (45). Autoriteit Persoonsgegevens (datatilsynsmyndigheden) og den spanske og den nederlandske regering har med rette peget på 20. betragtning til GDPR for at understrege, at denne korrektion netop for så vidt angår GDPR's artikel 55, stk. 3, skal fortolkes bredt.

75.      Indledende vil jeg ikke desto mindre gerne understrege, at definitionen i henhold til GDPR's artikel 55, stk. 3, indeholder to forhold i definitionen: det institutionelle forhold og den funktionelle korrektion (eller tilpasning). Dette skyldes, at den logisk set ønsker at indfange visse funktioner (retslige) inden for visse institutioner (domstole). Definitionen er ikke og kan ikke være rent funktionel. Hvis den var det, og hvis »handler i deres egenskab af domstol« måtte veje tungere end begrebet »domstol«, kan andre organer og myndigheder i medlemsstaterne, som i individuelle sager udøver en vis retslig funktion, forsøge at blive anset for organer, der ikke er omfattet af ansvarsområdet for de i artikel 55, stk. 1, omhandlede tilsynsmyndigheder. GDPR's artikel 55, stk. 3, er imidlertid begrænset til domstole, der handler i deres egenskab af domstol. Den gælder ikke for organer, der handler i deres egenskab af domstol.

76.      Hvorfor bør begrebet »handler i deres egenskab af domstol« for det andet fortolkes bredt, hvorved det sandsynligvis omfatter snarere end udelukker grænsetilfælde?

77.      For det første kan jeg – i modsætning til Kommissionen – ikke tilslutte mig den opfattelse, at forholdet mellem GDPR's artikel 55, stk. 1 og stk. 3, bør reduceres til den simple logik om »regel-undtagelse«. Som allerede forklaret ovenfor (46) indfører GDPR's artikel 55 og 56 en nuanceret ordning om tildeling af tilsyn i forhold til visse områder, visse former for behandling og visse aktører.

78.      For det andet kan det erindres, at det i andet punktum i 20. betragtning til GDPR anføres, at »[t]ilsynsmyndighedernes kompetence […] af hensyn til dommerstandens uafhængighed under udførelsen af dens judicielle opgaver, herunder ved beslutningstagning, ikke [bør] omfatte domstolenes behandling af personoplysninger, når domstole handler i deres egenskab af domstol« (47).

79.      I den forbindelse antyder henvisningerne til »af hensyn til« og »herunder« den brede fortolkning, der skal foretages af begrebet »handler i deres egenskab af domstol«.

80.      På den ene side er »af hensyn til« en forklaring på formålet og ikke på en begrænsning. Det angiver med en abstrakt erklæring, at formålet med kompetencetildelingen i GDPR's artikel 55, stk. 3, er at beskytte dommerstandens uafhængighed. Henvisningen til »af hensyn til« indebærer ikke – i modsætning til det af Kommissionen foreslåede i retsmødet – at hver behandlingsaktivitet skal bistå med at sikre dommerstandens uafhængighed. 20. betragtning anfører kort sagt ikke, at hver behandling, som domstolen foretager, individuelt og konkret skal sikre dommerstandens uafhængighed for at være undtaget fra tilsynsmyndighedens tilsyn i henhold til artikel 55, stk. 1. Den anfører blot, at den specifikke tilsynsordning på systemisk plan blev indført for at sikre dommerstandens uafhængighed. Der er efter min opfattelse tale om meget forskellige former for »af hensyn til«.

81.      På den anden side bekræftes behovet for en bred fortolkning af begrebet »handler i deres egenskab af domstol« også af tilføjelsen af ordet »herunder« i andet punktum i 20. betragtning til GDPR. Den herved skabte forbindelse antyder også, at begrebet »handler i deres egenskab af domstol« skal fortolkes bredere end de blotte individuelle afgørelser vedrørende en bestemt sag. Der er således igen intet behov for at sikre, at hver individuel behandlingsaktivitet synligt og klart skal sikre opgaven med at beskytte dommerstandens uafhængighed. En domstol kan snarere anses for at handle »i [sin] egenskab af domstol«, selv når den udfører aktiviteter, som vedrører den dømmende magts generelle funktion eller retsvæsenets overordnede drift og administration, det være sig f.eks. indsamling og opbevaring af sagsakter, tildeling af sager til dommere, forening af sager, fristforlængelse, afholdelse og organisering af retsmøder, offentliggørelse og spredning af domstolens domme til den brede offentlighed (hvilket bestemt er tilfældet med de øvre domstole) eller endog uddannelse af nye dommere.

82.      For det tredje kan samme konklusion også drages af de anførte formål om sikring af »dommerstandens uafhængighed under udførelsen af dens judicielle opgaver«. Domstolen har i sin praksis, navnlig i nyere sager, fortolket begrebet »dommerstandens uafhængighed« bredt, således at det omfatter dommeres mulighed for at udøve deres hverv uden nogen form for (direkte eller indirekte, faktisk eller potentielt) pres (48).

83.      Jeg kan ikke se nogen grund til, at den samme fortolkning ikke også bør anvendes som udgangspunkt for forståelsen af begrebet »dommerstandens uafhængighed« for så vidt angår GDPR. I denne henseende er en indskrænkende udlægning af 20. betragtning til og artikel 55, stk. 3, i GDPR imidlertid ikke påkrævet, medmindre man ønsker at give den kompetente tilsynsmyndighed til opgave på et individuelt grundlag at vurdere, om myndighedens opsyn i en bestemt sag kan gribe ind i denne uafhængighed.

84.      Det er i denne kontekst, at jeg har vanskeligt ved at tage Kommissionens argumenter og forståelse af begrebet dommerstandens uafhængighed til mig. I retsmødet vedblev Kommissionen med at insistere på, at GDPR's artikel 55, stk. 3, kun udløses, hvis der er en direkte forbindelse mellem behandlingen af de omtvistede personoplysninger og en faktisk verserende retssag. Hvis det er tilfældet, er jeg uforstående over for, hvad begrebet dommerstandens uafhængighed, som EU-lovgiver klart henviser til, nøjagtigt kan bibringe ligningen, når rækkevidden af retslige aktiviteter skal fastlægges.

85.      Hvis begrebet dommerstandens uafhængighed skal have nogen betydning i denne kontekst, er det frem for alt ved at sikre den retslige funktion mod indirekte ledetråde, pres eller påvirkninger. Hvis Domstolens nyere praksis er tegn på noget, så er det, at de indirekte trusler mod dommerstandens uafhængighed i praksis forekommer oftere end de direkte. Et bemærkelsesværdigt nyere eksempel i denne kategori kan omfatte ordningen for disciplinærsager mod dommere (49). Strengt taget er sådanne sager (eller den mulige anvendelse heraf) ikke direkte forbundet med domstolenes individuelle beslutningstagning. Få vil dog anfægte deres relevans for det miljø, hvori sådanne afgørelser afsiges, og de er åbenlyst omfattet af begrebet dommerstandens uafhængighed.

86.      Af alle disse grunde kan jeg ikke godtage Kommissionens tilgang til udlægningen af at handle i egenskab af domstol i henhold til GDPR's artikel 55, stk. 3. Det vil i det væsentlige medføre, at administrativt tilsyn er muligt i henhold til GDPR's artikel 55, stk. 1, i alle sager, medmindre der er en direkte forbindelse med, formentlig endog en mærkbar indvirkning på, den retslige beslutningstagning. Efter min opfattelse ser denne tilgang bort fra, hvad formålet med at sikre dommerstandens uafhængighed reelt bør være. Dommerstandens uafhængighed omhandler ikke (kun) at finde ud af  ex post, at noget allerede er sket. Det handler frem for alt om at indføre en tilstrækkelig beskyttelse ex ante, således at visse ting ikke kan ske.

87.      Det samme gælder for argumentet, hvorefter man naturligvis ikke kan antage, at tilsynsmyndighederne i henhold til artikel 55, stk. 1, selv hvis de havde mulighed for at efterprøve enhver retslig aktivitet, sandsynligvis ville have et ex ante-ønske om at påvirke den retslige proces. Jeg ønsker her kun at være enig. Det er dog sagen uvedkommende, hvis det formål, der skal opfyldes, er at sikre dommerstandens uafhængighed. Fortolkningen og institutionsopbygningen i sådanne tilfælde kan ikke foregå på grundlag af en faktuel logik (er det allerede sket?), men skal tage udgangspunkt i en forebyggende logik (at sikre, at sådanne ting ikke kan ske, uanset de berørte aktørers specifikke adfærd) (50).

88.      For det fjerde og endelig giver det formål med GDPR's artikel 55, stk. 3, der er anført i lovgivningen, efter min opfattelse også et svar på, hvordan grænsescenarier eller gråzonen mellem klart retsligt og klart noget andet, formentligt administrativt, skal tilgås.

89.      I praksis er der naturligvis en række grænseaktiviteter, som domstolene udfører, og som ikke direkte vedrører en retslig afgørelse i en given sag, men som direkte eller indirekte kan påvirke den retslige proces. Man kan tage en domstolspræsidents tildeling af sager som et eksempel, naturligvis forudsat at retssystemet giver en præsident et skøn i denne henseende. Hvis man måtte foretage en snæver udlægning af det, der anses for at ske i »[…] egenskab af domstol«, er det usandsynligt, at denne aktivitet er omfattet af GDPR's artikel 55, stk. 3. En tilsynsmyndighed har dermed kompetence til at føre tilsyn med behandling af personoplysninger, der foretages inden for aktiviteten. En sådan afgørelse er dog heller ikke af helt administrativ karakter. Få vil faktisk være uenige i, at det forhold, at en refererende dommer tildeles en sag, i sagens natur er en retslig opgave, og hvis der gøres indgreb heri, kan det have en væsentlig indvirkning på dommerstandens uafhængighed.

90.      Andre aktiviteter inden for den samme kategori er f.eks. retssales indretning, siddepladsernes placering eller administrationen af retssale, når der er retsmøder, anvendelse af sikkerhedsforanstaltninger for besøgende, parterne og deres repræsentanter, videooptagelse eller potentielt endog videostreaming af retsmøder, særlig adgang for pressen til retsmøder eller endog de oplysninger, der er til rådighed på en domstols hjemmeside vedrørende retsmøder og domme. Ingen af disse (rent illustrative) aktiviteter er rent retslige i den forstand, at de er direkte forbundet med en individuel sags udfald, eller rent administrative. I en række sådanne tilfælde kan de under visse omstændigheder indvirke på en domstols retslige uafhængighed. Vil det derfor være passende, hvis deres overholdelse af GDPR-forpligtelserne kontrolleres af den samme myndighed, som også kan være sagsøgt for disse domstole i sager, der er anlagt mod afgørelser, som denne myndighed har truffet?

91.      I den anden ende af spektret er der de umiddelbart administrative opgaver, såsom vedligeholdelse af retsbygningerne, indgåelse af kontrakter om levering af mad eller den normale forvaltning af leverancer og vedligeholdelse af en institution og arbejdsplads. Det er korrekt, at der også inden for denne kategori kan opstå grænsetilfælde. Udbetaling af dommeres eller domstolsansattes løn kan være et godt eksempel (51). Hvis disse opgaver blot omfatter den mekaniske behandling af faste lønsedler, er de af typisk administrativ art. Tilsyn med disse aktiviteter kan dermed være omfattet af kompetencen hos den tilsynsmyndighed, der er udpeget i medfør af GDPR's artikel 51, stk. 1. Så snart en sådan opgave tilføjes et skønsmæssigt element, såsom at fastlægge den form for feriebetaling, julebonus eller bosættelsesgodtgørelse, som en bestemt dommer kan modtage, kan en sådan aktivitet imidlertid hurtigt miste sin uskyldige, rent administrative status (52).

92.      Det vil faktisk være uforeneligt med logikken i 20. betragtning til GDPR, hvis disse aktiviteter blot på grund af deres generelle kategorisering blev efterprøvet af tilsynsmyndigheden i henhold til artikel 51, stk. 1, og ikke af den »interne« myndighed, der specifikt er udpeget for aktiviteter med en potentiel indvirkning på dommerstandens uafhængighed. Problemstillingen her bliver en vedrørende overensstemmelse: Man kan ikke adskille en bestemt politisk beslutning, der er truffet i egenskab af domstol, fra gennemførelsen heraf, hvis en efterprøvelse af det generelle administrative personales deraf følgende gennemførelsesbeslutning fører til det samme problem, dvs. underminering af dommerstandens uafhængighed. Som sådan skal selv gennemførelsen af en politisk beslutning, der er truffet i egenskab af domstol, falde uden for rækkevidden af den kompetente (administrative) tilsynsmyndigheds tilsyn.

93.      Konkluderende og i lyset af den lovgivningsmæssige hensigt, der er udtrykt i 20. betragtning til GDPR, kan tilgangen til kategoriseringen af aktiviteter, der udføres i »egenskab af domstol«, ikke være en, som er individuel og sagsspecifik, og som fokuserer på det potentielle indgreb i det, der er »retsligt« under en individuel sags omstændigheder. En sådan tilgang vil pr. definition være faktisk og udførlig, nogle gange bredere og nogle gange snævrere. Tilgangen i forbindelse med fortolkningen af dette begreb skal derfor være strukturel (dvs. med udgangspunkt i aktivitetstypen) og efter sin art forebyggende. Dette er grunden til, at grænsetilfælde af aktiviteter, der udføres af domstole, i lyset af princippet om dommerstandens uafhængighed bør ligge (strukturelt) uden for kompetencen for tilsynsmyndighedens ansvarsområde i henhold til artikel 55, stk. 1, hvis der er tvivl om en aktivitetstypes art, eller hvis der blot er mulighed for, at tilsyn med en sådan aktivitet kan indvirke på dommerstandens uafhængighed.

94.      Efter at have givet dette svar på definitionen af domstole, der handler i deres egenskab af domstol, vil jeg afslutte med for fuldstændighedens skyld at reagere på tre yderligere argumenter, som forskellige berørte parter har gjort gældende i disse retsforhandlinger.

95.      For det første kan jeg ikke se den store praktiske værdi i at lægge vægt på 20. betragtning til GDPR. Den forelæggende ret har forklaret, at de forberedende dokumenter til GDPR viser, at den oprindelige affattelse af 20. betragtning til GDPR blev udarbejdet på tilsvarende vis som 80. betragtning til direktiv (EU) 2016/680 (53). Sidstnævnte begrænser begrebet »handler i deres egenskab af domstol« til »retlige aktiviteter i forbindelse med retssager og [gælder ikke] for andre aktiviteter, hvori dommere kan deltage i henhold til medlemsstaternes nationale ret«. En sådan begrænsning af kompetencen blev i sidste ende ikke bibeholdt i den endelige affattelse af 20. betragtning til GDPR. Hvis der kan læres nogen lektie heraf, er det snarere en om modsætning, og ikke en om analogi. EU-lovgiver fraveg trods alt klart den tidligere ordlyd, formentlig for at gå bort fra en indskrænkende udlægning, der sondrer mellem forskellige former for »retlige aktiviteter«.

96.      For det andet kan man for så vidt angår denne sag ikke blot gengive den logik, der ligger bag sondringerne i lovgivningen og retspraksis om aktindsigt. Det formål, der ligger bag afgrænsningen i artikel 15, stk. 3, fjerde led, TEUF (beskyttelse af integriteten i den retslige proces og verserende retssager), er et andet end formålet bag den angiveligt samme afgrænsning i GDPR's artikel 55, stk. 3 (beskyttelse af domstoles retslige uafhængighed).

97.      Hvad nærmere bestemt angår dommen i sagen Sverige m.fl. mod API og Kommissionen (54) og i sagen Breyer mod Kommissionen (55), som Kommissionen har forsøgt at støtte ret på i denne sag, vedrører disse domme beskyttelsen af »retslige procedurer«, som er en af de undtagelser, der er omfattet af artikel 4 i forordning (EF) nr. 1049/2001 (56). Som jeg har forklaret i mit forslag til afgørelse Friends of the Irish Environment, fremhæver denne undtagelse en individuel tvists begrænsede varighed snarere end den dømmende magts permanente aktiviteter (57). Den ser derfor primært aktiviteter i henhold til artikel 4, stk. 2, i forordning nr. 1049/2001 gennem prismet midlertidighed. Denne tidsmæssige undtagelse til videregivelseslogikken er helt fremmed for GDPR's artikel 55, stk. 3, som vedrører permanent tildeling af tilsynskompetence. Som generaladvokat Sharpston meget passende anførte i sit forslag til afgørelse i Flachglas Torgau-sagen, ligeledes i denne kontekst, har ægte retslig aktivitet dermed »ingen tidsmæssig begyndelse eller afslutning« (58).

98.      For det tredje og endelig ønsker jeg at tage stilling til, hvorfor den afvejningsøvelse, som den spanske regering har foreslået, mellem retten til databeskyttelse og visse andre grundlæggende rettigheder (som er nødvendig i henhold til GDPR's artikel 85) ikke er omfattet af anvendelsesområdet for vurderingen i henhold til forordningens artikel 55, stk. 3. Dette skyldes, at den objektive vurdering med henblik på at tildele tilsynskompetence af, om en aktivitet udføres i »egenskab af domstol«, ikke er betinget af en afvejning af grundlæggende rettigheder. Man skal i stedet i henhold til GDPR's artikel 55, stk. 3, foretage en »typevurdering«, der, som jeg har forklaret i de forudgående afsnit, er forbundet med den dømmende magts generelle funktion og politiske beslutninger i forbindelse hermed.

99.      Jeg antyder på ingen måde, at en afvejningsøvelse ikke er nødvendig for at vurdere, om en videregivelse af dokumenter er i overensstemmelse med retten til beskyttelse af personoplysninger. Det er den bestemt, men først senere ved vurderingen af, om den omtvistede videregivelse (foretaget i »egenskab af domstol«) stod i rimeligt forhold til det formål, som den søgte at opfylde, og dermed i overensstemmelse med de materielle bestemmelser i GDPR (59).

100. Sammenfattende foreslår jeg, at begrebet »handler i deres egenskab af domstol« i den i GDPR's artikel 55, stk. 3, omhandlede forstand skal tilgås fra et institutionelt synspunkt (»er det en domstol?«), som så korrigeres ved en funktionel vurdering af den omtvistede aktivitetstype (»hvilken specifik type aktivitet udfører domstolen?«). I lyset af det formål, der er opstillet i 20. betragtning til GDPR, bør der ved den sidstnævnte vurdering af aktiviteten anvendes en bred fortolkning af begrebet »egenskab af domstol«, som går videre end den blotte retslige beslutningstagning i en individuel sag. Den skal også omfatte alle aktiviteter, som indirekte kan indvirke på domstolenes retslige uafhængighed. Som sådan bør domstole som udgangspunkt anses for at handle i »deres egenskab af domstol«, medmindre det for så vidt angår en bestemt type aktivitet fastslås, at den kun er af administrativ art.

C.      Den foreliggende sag

101. Efter at have foreslået en generel test, som efter min opfattelse følger af GDPR's artikel 55, stk. 3, vender jeg mig nu mod de af den forelæggende ret stillede spørgsmål.

102. Som det erindres, spørges der med spørgsmål 1 nærmere bestemt, om nationale domstole handler »i deres egenskab af domstol« i den i GDPR's artikel 55, stk. 3, omhandlede forstand, når de videregiver visse procesdokumenter til en journalist, således at vedkommende er bedre i stand til at dække en bestemt sag. De øvrige spørgsmål bygger på det svar, som Domstolen måtte give på det indledende spørgsmål, ved at anmode om vejledning om, hvorvidt vurderingen i henhold til spørgsmål 1 påvirkes af for det første den nationale tilsynsmyndigheds mulige indblanding i den retslige uafhængighed i en individuel sag (spørgsmål 1a), for det andet databehandlingens art og formål, dvs. at give en journalist oplysninger, som gør vedkommende bedre i stand til at dække et offentligt retsmøde i retsforhandlinger (spørgsmål 1b), eller for det tredje, om der er hjemmel til en sådan videregivelse af dokumenter (spørgsmål 1c).

103. Jeg vender mig først mod spørgsmål 1, og som jeg har forklaret i det forudgående afsnit i dette forslag til afgørelse, bør begrebet domstole, der »handler i deres egenskab af domstol«, i den i GDPR's artikel 55, stk. 3, omhandlede forstand udlægges institutionelt, som så i givet fald tilpasses ved en bred »aktivitetstype-korrektion«.

104. I denne sag er den institutionelle betegnelse åbenlys. Raad van State (den øverste domstol i forvaltningsretlige sager) tjener som en øvre ret i forvaltningsretlige sager i Nederlandene. Tilsvarende er der for så vidt angår spørgsmålet, om den omtvistede aktivitet er omfattet af kategorien behandling foretaget i »egenskab af domstol«, generel enighed blandt de berørte parter om, at videregivelsen af dokumenter til en journalist, således at han eller hun bedre kan dække retsmødet, er omfattet af den form for retslig aktivitet, der er omfattet af GDPR's artikel 55, stk. 3.

105. Jeg er enig. En politik, såsom den i denne sag omhandlede, om videregivelse af udvalgte procesdokumenter til pressen for at gøre domstolenes arbejde mere gennemsigtigt og forståeligt omhandler kernen i retten til en retfærdig rettergang (60) og vedrører klart handling i »egenskab af domstol«. Videregivelsen udgør en del af den moderne dømmende magts større opgave med at holde offentligheden informeret om, hvordan retfærdigheden sker fyldest i deres navn (61).

106. I modsætning til det af borger Z anførte er det i henhold til en sådan begrundelse uden betydning, at det var presseafdelingen ved Raad van State (den øverste domstol i forvaltningsretlige sager), der, så vidt jeg forstår det, består af andet domstolspersonale end dommere, som frigav de omtvistede dokumenter. Bortset fra, at institutionen selv på grund af domstolenes institutionelle uafhængighed beslutter den interne fordeling af opgaver, har den forelæggende ret forklaret, at den omtvistede videregivelse skete under præsident P’s tilsyn, hvilket den nederlandske regering bekræftede i retsmødet.

107. Selv hvis den omtvistede beslutning om videregivelse ikke blev truffet af en afdeling inden for den nationale domstol, men snarere af et eksternt organ, der generelt er under den nationale domstols kontrol, vil resultatet imidlertid være det samme. For det første skyldes det, at hvis denne form for aktivitet er omfattet, er udpegningen af, hvem der udfører aktiviteten i henhold til national ret, uden betydning. For det andet kan forskelle i strukturer på nationalt plan ikke føre til et andet udfald i en situation, hvor en bestemt aktivitet blot tjener som en korrektion af en simpel institutionel udpegning (62). Ellers vil en tilsynsmyndighed, såsom Autoriteit Persoonsgegevens (datatilsynsmyndigheden) få kontrol over Raad van States (den øverste domstol i forvaltningsretlige sager) pressepolitik, hvilket indirekte vil give den mulighed for at efterprøve en materiel afgørelse truffet af domstolen for så vidt angår den offentlige retspleje i en individuel sag.

108. Dette bringer mig til spørgsmål 1a. Her har den forelæggende ret overvejet, om den i hvert specifikke tilfælde skal afgøre, om tilsynet påvirker dommerstandens uafhængighed.

109. Svaret er »nej«. Som jeg har forklaret ovenfor (63), bør henvisningen til »egenskab af domstol« i 20. betragtning til GDPR ikke forstås som et krav om, at det i hver enkelt sag skal undersøges, om der er en trussel mod dommerstandens uafhængighed. Den repræsenterer snarere den overordnede erklæring af formålet bag GDPR's artikel 55, stk. 3, som er af institutionel art. Formålserklæringen fører til en ganske forebyggende medtagelse af alle former for domstolsaktiviteter, hvor tilsynet hermed – for så vidt angår deres overholdelse af GDPR – endog kan have en indirekte indvirkning på dommerstandens uafhængighed i henhold til anvendelsesområdet for GDPR's artikel 55, stk. 3.

110. Vedrørende den mere praktiske side kan det tilføjes, at bortset fra argumenter af en strukturel, forfatningsmæssig art er en sådan løsning også den eneste rimelige og praktiske. Vil nogen for alvor foreslå, at en national tilsynsmyndighed i henhold til GDPR's artikel 55, stk. 1, skal foretage en fuldstændig individualiseret vurdering af hver enkelt form for behandling for at tage stilling til, om den i det hele taget har kompetence til at behandle sagen? Bør sådanne myndigheder virkelig påbegynde den lidet misundelsesværdige opgave med konkret at afgøre, for hvilke behandlingsaktiviteter udøvelsen af tilsyn kan eller ikke kan påvirke den pågældende nationale domstols uafhængighed, og umiddelbart frasortere det, som de følgelig ikke har lov til at se på?

111. Dette vedrører svaret på spørgsmål 1b. En bestemt behandlingsaktivitets nøjagtige art og formål er ikke afgørende for besvarelsen af den strukturelle problemstilling om, hvornår en domstol handler i »egenskab af domstol«. Åben retspleje og administrationen heraf er bestemt af særlig betydning for den moderne dømmende magts opgaver i et demokratisk samfund. Disse betragtninger spiller dog ikke en rolle for vurderingen i henhold til GDPR's artikel 55, stk. 3, så længe den omtvistede behandlingsaktivitet er en naturlig del af det bredere begreb »egenskab af domstol«. Alle andre konklusioner vil i al hemmelighed genindføre den form for indskrænkende udlægning af GDPR's artikel 55, stk. 3, som Kommissionen har foreslået.

112. Dette forhold fremhæver i øvrigt netop, hvorfor sikring af dommerstandens uafhængighed kun kan vedrøre det overordnede, strukturelle formål, der drev indførelsen af GDPR's artikel 55, stk. 3, og ikke en betingelse, der skal fastslås i hver individuel sag (64). Hvis dette ikke er tilfældet, vil det være ganske klart, at »hensynet til offentlighed og gennemsigtighed vedrørende retspraksis«, som den forelæggende ret har anført som det relevante formål med den givne databehandling i denne sag, adskiller sig fra »sikring af dommerstandens uafhængighed«.

113. Argumentationen kan så kun gå to veje. For det første bliver man nødt til at konkludere, at åben retspleje udgør et andet formål end dommerstandens uafhængighed. Videregivelse til journalister vil så falde uden for anvendelsesområdet for GDPR's artikel 55, stk. 3, hvilket udfald ifølge alle de berørte parter, herunder Kommissionen for den sags skyld, simpelthen ikke kan være korrekt. For det andet vil man så være nødt til at puste det (allerede ikke særligt snævre) begreb »dommerstandens uafhængighed« for meget op, således at det også omfatter retslig offentlighed og gennemsigtighed og muligvis enhver anden værdi, hvilket gør alt, der foregår i det retslige forum, til en interesse eller værdi, der er uadskilleligt forbundet med dommerstandens uafhængighed. Dette vil medføre, at hele strukturen vendes på hovedet. Dommerstandens uafhængighed er ikke et mål i sig selv. Den er ikke en iboende værdi. Den er i sig selv en mellemkommende værdi, et middel til at nå et mål, som skal nås ved at have uafhængige dommere, nemlig en rimelig og upartisk bilæggelse af tvister.

114. Dette betyder ikke, at en undersøgelse af en behandlingsaktivitets art og formål aldrig kan være nyttig. Det kan den naturligvis. Dog ikke på tidspunktet for fastlæggelsen af anvendelsesområdet for GDPR's artikel 55, stk. 3, men i stedet på tidspunktet for afgørelsen af, om behandlingen er lovlig i henhold til GDPR's artikel 6, stk. 1, eller enhver anden materiel bestemmelse i forordningen. Det kan faktisk være ganske relevant at vurdere, hvorfor en bestemt behandlingsaktivitet fandt sted ved afgørelsen af, om aktiviteten var f.eks. »nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt« i den i GDPR's artikel 6, stk. 1, litra e), omhandlede forstand. Tilsvarende vil en behandlingsaktivitets art og formål naturligt være omfattet af en vurdering af overholdelsen af de i GDPR's artikel 5 opstillede principper.

115. Det er her, at spørgsmål 1c kommer ind og fortsætter den samme form for drøftelse. Undersøgelsen af, om der er behov for hjemmel i national ret, og hvilken form for hjemmel der er behov for, vedrører igen selve værdien af behandlingen og problemstillingen vedrørende behandlingens lovlighed. Dette er en problemstilling, der skal vurderes i henhold til GDPR's artikel 6. Selv om det er nævnt generelt i sagsakterne, at UAVG »gennemfører« GDPR, siger de intet om en drøftelse af, hvordan der blev taget hensyn til GDPR's artikel 6 ved den omtvistede behandling i denne sag. Herudover er behandlingens lovlighed ikke et spørgsmål, som den forelæggende ret har stillet direkte.

116. Generelt kan jeg kun henvise til det, jeg for nylig har anført om denne problemstilling i mit forslag til afgørelse i sagen Valsts ieņēmumu dienests (65). Enhver national hjemmel, der er indført i medfør af GDPR's artikel 6, skal kun omfatte det, der materielt er en generel og vedvarende praksis med videregivelse af dokumenter til pressen. Hvis der er en sådan hjemmel, kan jeg hverken se formålet med eller forholdsmæssigheden i, at der er behov for en individuel beslutning for hver enkelt behandlingsaktivitet (66).

D.      En coda: GDPR og den retslige funktion

117. Denne sag er ligesom et løg. Den har mange lag. Hvis man holder sig til de ydre lag af de af den forelæggende ret stillede spørgsmål og besvarer dem bogstaveligt, kan man, også Domstolen, faktisk stoppe på dette tidspunkt. Svaret på den hovedproblemstilling, som den forelæggende ret står over for, og som findes i det første spørgsmål vedrørende GDPR's artikel 55, stk. 3, er allerede fremkommet.

118. Jeg er af den opfattelse, at det er muligt og i denne sags kontekst helt berettiget at holde sig til de ydre lag. Man behøver ikke pille løget, medmindre man udtrykkeligt bliver bedt om det.

119. Samtidig kan det dog ikke skjules, at den forelæggende ret for så vidt angår de stillede spørgsmåls reelle indhold gradvist bevæger sig fra problemstillingen vedrørende kompetence i henhold til GDPR's artikel 55, stk. 3, til den materielle vurdering af sagen, muligvis i henhold til GDPR's artikel 6, navnlig i spørgsmål 1b og 1c. Hele denne bevægen sig frem og tilbage kan ganske vist skyldes den usædvanlige karakter af det af den forelæggende ret stillede spørgsmål og de uklare konturer for fortolkningen af GDPR's artikel 55, stk. 3. Når der er foretaget en fortolkning, bliver alle problemstillingerne åbenlyse og disse betragtninger overflødige.

120. Alt dette kan ikke desto mindre også opfattes som en indikation af noget andet, nemlig at det er ganske vanskeligt ordentligt at adskille problemstillingen vedrørende kompetence i henhold til GDPR's artikel 55, stk. 3, fra materielle betragtninger og selve anvendelsesområdet for hele instrumentet. Hvis GDPR slet ikke fandt anvendelse på bestemte former for aktiviteter, hvad ville så være meningen med at overveje, hvem der skal føre tilsyn hermed (67)? Det samme gør sig gældende for en situation, hvor en medlemsstat lovligt kunne udelukke domstole fra forpligtelserne i henhold til GDPR: Hvis der ikke pålægges nogen materielle forpligtelser, er der slet ikke noget at føre tilsyn med.

121. Samtidig har borger Z i videre omfang i sine skriftlige indlæg vedrørende sagens institutionelle og processuelle lag udtrykt tvivl om foreneligheden mellem GDPR's artikel 55, stk. 3, og chartrets artikel 8, stk. 3 og artikel 47. Han er af den opfattelse, at GDPR's artikel 55, stk. 3, er ugyldig i det omfang, bestemmelsen er til hinder for, at den tilsynsmyndighed, som (generelt) har kompetence i henhold til artikel 55, stk. 1, har kompetence, uden at medlemsstaterne samtidig pålægges at oprette en anden uafhængig myndighed i tråd med ordlyden i chartrets artikel 8, stk. 3, og artikel 16, stk. 2, TEUF. Denne lovgivningsmæssige mangel må nødvendigvis også tilsidesætte chartrets artikel 47 og muligvis endog artikel 19, stk. 1, TEU. Den fratager angiveligt borger Z ethvert effektivt retsmiddel ved en uafhængig ret.

122. Under behørig hensyntagen til alle disse forhold og på baggrund af, at den forelæggende ret faktisk ikke har rejst nogen af disse problemstillinger, men også på baggrund af anvendelsesområdet, konteksten og de i disse retsforhandlinger drøftede argumenter, er jeg af den opfattelse, at det er bedst at lade disse problemstillinger ligge, indtil behovet måtte opstå i en anden sag.

123. Jeg vil derfor blot afslutte med flere bemærkninger vedrørende den lovgivningsmæssige udformning af GDPR for så vidt angår domstolenes egenskab af domstol. Jeg har forsøgt at forstå den lovgivningsmæssige tænkning bag ordningen med materielt indhold, undtagelser og tilsyn med overholdelsen af GDPR. Jeg er ikke desto mindre fortsat forvirret med hensyn til hvad, der nøjagtigt skulle opnås med at underlægge domstoles retslige aktivitet forpligtelser, der stammer fra GDPR. Dette skyldes selve aktivitetens karakter (1), men også i forhold til, hvem der skal have til opgave at overvåge den retslige overholdelse af GDPR (2).

1.      Det materielle indhold: Alt er lovligt

124. Hvad ændrer GDPR ved den måde, hvorpå den retslige funktion skal udøves, når den finder anvendelse på domstole? Henset til GDPR’s tilsyneladende grænseløse anvendelsesområde kan det forekomme overraskende, at de deraf følgende forpligtelser for denne funktion forekommer at være overraskende lette. De materielle bestemmelser i GDPR forudsætter enten allerede, at enhver normal behandling af retslige hensyn er lovlig, henviser til medlemsstaternes supplerende (og muligvis begrænsende) bestemmelser eller giver i det mindste mulighed for en generøs afvejning mod visse grundlæggende rettigheder og principper i et demokratisk samfund, hvilket endnu en gang muliggør næsten enhver fravigelse for så vidt angår den retslige funktion.

125. GDPR's artikel 6, stk. 1, litra e), er et eksempel herpå. Bestemmelsen anser enhver behandling, som er »nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som [en national ret] har fået pålagt«, for lovlig »ex lege«. En tilsvarende (dog mere udtrykkelig) fravigelse findes i samme forordnings artikel 9, stk. 2, litra f), for behandling af særlige kategorier af personoplysninger. Hvis en af disse bestemmelser finder anvendelse, er det ikke nødvendigt med den registreredes samtykke, hvor medlemsstaterne mere nøjagtigt skal specificere, hvordan behandlingen bør foregå i en sådan situation (68). Med andre ord og underlagt de i GDPR's artikel 5 opstillede principper (69) udgør GDPR selv hjemmel for, at enhver behandling af personoplysninger, der foretages af de nationale domstole, og som er nødvendig for udførelsen af deres officielle opgaver, anses for lovlig.

126. Herudover har medlemsstaterne i medfør af GDPR's artikel 23, stk. 1, litra f), også mulighed for at begrænse anvendelsesområdet for de rettigheder og forpligtelser, der er fastsat i GDPR's artikel 12-22 og artikel 34, og – i nogle tilfælde – i artikel 5 heri, for at beskytte »retsvæsenets uafhængighed og retssager«. I retsmødet forklarede Kommissionen, at GDPR's artikel 23, stk. 1, litra f), skal forstås således, at den fungerer på samme måde som chartrets artikel 52, stk. 1, og ikke bør ses som endnu en bestemmelse, der begrænser tilsynsmyndighedens kompetence.

127. Jeg er enig med Kommissionen heri: GDPR's artikel 23, stk. 1, litra f), er ikke direkte forbundet med GDPR's artikel 55, stk. 3 (70). Den giver ikke desto mindre mulighed for, at medlemsstaterne kan fravige alle den registreredes rettigheder i henhold til GDPR’s kapitel III for det, som også forekommer at være en form for retslig aktivitet (»retsvæsenets uafhængighed og retssager«).

128. Endelig er alt dette muligt uden (endnu) at have påbegyndt nogen form for afvejningsøvelse med grundlæggende rettigheder eller interesser ud over databeskyttelse, som vedrører vurderingen af individuelle behandlingsaktiviteters lovlighed (og det krav om minimering-forholdsmæssighed, der er forankret heri). Henset til kravene om retslig gennemsigtighed og åben retspleje omfatter de sandsynligvis enhver normal anvendelse af personoplysninger for så vidt angår pådømmelse af en retstvist.

129. Dette resultat forekommer defaitistisk: EU-retten pålægger den retslige funktion en altomfattende databeskyttelsesramme, som skal overholdes, mens den samtidig muliggør så mange væsentlige udgange. Hertil kommer den »kompetenceindfangning«, der er indført ved GDPR's artikel 55, stk. 3, og EU-retten vender dermed faktisk tilbage til udgangspunktet for de nationale domstoles »modus operandi« inden disse reglers indførelse. Dette medfører spørgsmålet: Hvorfor var der så behov for sådan et kludetæppe af regler, hvis reglerne reelt har ændret meget lidt på nationalt plan?

130. Dette betyder ikke, at et sådant udfald ikke skal bydes velkomment. Jeg er helt enig i, at det ikke kan være anderledes. Dette er ikke kun for at imødekomme medlemsstaternes forskellige retslige og forfatningsretlige traditioner vedrørende offentlighed i retsplejen (71). Det er en naturlig del af selve den retslige funktion. Pådømmelse betyder individualiserede detaljer bragt til det offentlige forum. Jeg vil meget gerne understrege begge forhold i dette forslag.

131. På den ene side er grundlaget for retslig legitimitet i en individuel sag sagens faktiske omstændigheder og detaljer. Dommeren afgør en individuel sag. Hans eller hendes job er ikke at udarbejde abstrakte, generelle og anonyme regler, der er løsrevet fra individuelle faktiske omstændigheder og situationer. Dette er en lovgivende magts job. Jo mere en retsafgørelse afviger fra eller skjuler den faktiske baggrund for en offentlig retssag, eller hvis den senere dækkes med væsentlige begrænsninger, jo oftere bliver den uforståelig, og jo mindre legitim bliver den som en retsafgørelse (72).

132. På den anden side har det siden romeralderen, men formentlig allerede tidligere, været sådan, at hvis en sagsøger anmodede fællesskabet eller senere staten om hjælp med at stadfæste et krav og statens håndhævelse heraf, skulle han træde ind i det offentlige forum og lade sagen blive hørt dér. I klassiske romerske tider havde sagsøgeren endog ret til at anvende vold mod den sagsøgte, som nægtede at give offentligt møde (den nordøstlige del af Forum Romanum kaldet comitium) for dommeren (der sad på en rullende stol på en tribune, der var højere end den almindelige offentlighed – dermed ordet tribunal), når han blev indkaldt for en ret (in ius vocatione) (73).

133. Det er korrekt, at der senere var andre syn på forsvarlig retspleje og offentligheden heraf. De indfanges måske bedst med et citat fra en dommer i Parlement de Paris, der i 1336 skrev instruktioner til hans yngre kolleger og forklarede, hvorfor de aldrig skulle videregive hverken de konstaterede faktiske omstændigheder eller begrundelsen for deres afgørelse: »For det er ikke godt, at alle kan dømme vedrørende et dekrets indhold eller sige »det er tilsvarende eller ej«, derimod bør snakkesalige fremmede forblive uforstående og deres munde lukkede, således at der ikke sker skade på andre […] For ingen bør kende hemmelighederne hos den øverste domstol, som ingen står over, bortset fra Gud […]« (74).

134. I moderne tid – idet jeg vender tilbage til det indledende citat fra Jeremy Bentham – er det atter opfattelsen, at selv snakkesalige fremmede bør kunne se og forstå retsplejen. Med fremkomsten af moderne teknologier må en række problemstillinger bestemt løbende revurderes, således at snakkesalige fremmede ikke kan forvolde andre skade.

135. Enhver sådan ændring, navnlig ændringer, som berører åbenhed og gennemsigtighed i retsplejen, skal begrænses til det strengt nødvendige uden at vælte hele strukturens sokkel (75). Pådømmelse af retstvister er og bliver individualiseret beslutningstagning, som kræver en vis grad af personlige detaljer og oplysninger, og som skal finde sted, i hvert fald for så vidt angår udfaldet heraf, i det offentlige forum.

136. Jeg vil i denne henseende afslutte med et specifikt eksempel, der allerede er hentydet til i dette forslag til afgørelse (76), og anføre, at efter min opfattelse indeholder GDPR ikke nogen ret til en »anonymiseret rettergang«. På baggrund af det, der ovenfor er redegjort for, forekommer det besynderligt og farligt at tro, at sagsøgere, som for at få løst deres tvist træder ind på den offentlige agora, hvor dommere taler på vegne af fællesskabet og handler under deres medborgeres årvågne øjne, bør have ret til at holde deres identitet hemmelig og som udgangspunkt få deres sag anonymiseret, herunder med hjælp fra den domstol, som træffer afgørelse i selve sagen, uden at der er nogen specifik og særligt vægtig grund til en sådan anonymitet (77).

137. Offentlighed i retsplejen er naturligvis ikke absolut. Der er velbegrundede og nødvendige undtagelser (78). Det, der blot skal erindres her, er, hvad der er reglen, og hvad der er undtagelsen. Offentlighed og åbenhed skal forblive reglen, hvortil undtagelser naturligvis er mulige og nogle gange nødvendige. Medmindre GDPR skal forstås som en genindførelse af den bedste praksis fra Parlement de Paris i det 14. århundrede eller andre dele af Ancien Régime eller Star Chamber(s) for den sags skyld (79), er det imidlertid ganske vanskeligt at forklare, hvorfor der nu skal byttes rundt på dette forhold på grund af beskyttelsen af personoplysninger, dvs. således at hemmeligholdelse og anonymitet skal være reglen, hvortil åbenhed måske nogle gange kan være en velkommen undtagelse.

138. Konkluderende og generelt kan man igen kun undre sig over, hvorfor systemet for så vidt angår den overordnede lovgivningsmæssige udformning af GDPR og anvendelsen på domstolenes retslige aktiviteter (først) udformes til at omfatte alt og så (senere) til faktisk at udelukke virkningerne af dette brede anvendelsesområde i henhold til de individuelle materielle bestemmelser eller potentielt fuldstændigt i henhold til GDPR's artikel 23, stk. 1, litra f). Burde nationale domstole, når de handler i deres »egenskab af domstol«, så ikke blot have været udelukket fra GDPR’s anvendelsesområde i det hele taget?

2.      Institutionerne og procedurerne: quis custodiet ipsos custodes?

139. Det institutionelle lag er forbundet med det materielle lag. Denne problemstilling føjer til det allerede ganske tunge materielle spørgsmål »hvorfor« spørgsmålet om »hvordan«. Hvordan skal der i praksis føres tilsyn med domstole, der handler i deres egenskab af domstol, for så vidt angår deres overholdelse af GDPR, og hvem skal helt nøjagtigt føre dette tilsyn? Hvis de nationale domstole skal anvende GDPR, og de kompetente tilsynsmyndigheder alligevel ikke skal tage ansvaret for tilsynsaktiviteter »i deres egenskab af domstol« i henhold til GDPR's artikel 55, stk. 3, hvem skal så opretholde den grundlæggende ret til beskyttelse af en persons personoplysninger, der er garanteret i chartrets artikel 8, stk. 1 og 3?

140. Dette er efter min opfattelse, hvor forbindelsen mellem GDPR's artikel 55, stk. 3, og 20. betragtning hertil afstedkommer visse problemer.

141. Alle parterne i disse retsforhandlinger har forklaret, at GDPR's artikel 55, stk. 3, skal sammenholdes med 20. betragtning til GDPR. Det er i betragtningen anført, at når nationale tilsynsmyndigheder overvåger og håndhæver GDPR, bør disse opgaver ikke desto mindre ikke gribe ind i princippet om dommerstandens uafhængighed og føre tilsyn med behandlingsaktiviteter, når »domstole handler i deres egenskab af domstol«. Tredje punktum i 20. betragtning til GDPR anfører derefter, at »[t]ilsynet med sådanne databehandlingsaktiviteter bør kunne overdrages til specifikke organer i medlemsstatens retssystem«.

142. Ikke desto mindre må der spørges, om den foreslåede tilgang i 20. betragtning er forenelig med kriteriet om »uafhængighed« i chartrets artikel 8, stk. 3? Hvordan kan en »tilsynsførende domstol«, som medlemsstaterne således har oprettet inden for deres nationale retslige strukturer for at sikre overholdelsen af GDPR, handle som en uafhængig tredjepart i forhold til de domstole, som angiveligt overtrådte GDPR? Skaber det ikke problemer i forhold til chartrets artikel 47?

143. Overvejelsen af en passende institutionel og processuel struktur for denne type situation bliver hurtigt et déjà vu, der minder om de drøftelser, som Köbler-dommen lukkede op for (80). Hvem skal træffe afgørelse om staters ansvar for retslige tilsidesættelser af EU-retten? Andre »normale« domstole inden for retssystemet med fare for, at den øverste domstol en dag skal træffe afgørelse om sit eget ansvar? Eller en specifikt oprettet overdomstol? Hvad hvis overdomstolen også begår en fejl? I denne henseende gør 20. betragtning til GDPR endnu en gang opmærksom på selve den problemstilling, som medlemsstaterne fordømte i Köbler-dommen: Dvs. at dommerstandens »ægte« uafhængighed kompromitteres ved en retskraftig ekstern ret til at efterprøve retslige handlinger eller undladelser mod databeskyttelsesreglerne (81).

144. I modsætning til Köbler-dommen, hvor jeg formoder, at en række rimelige hjerner kunne få noget fornuftigt ud af princippet om, at medlemsstater bør være forpligtet til at erstatte det tab, som er forvoldt af en afgørelse, som tilsidesætter EU-retten, truffet af en ret i sidste instans (82), er det slet ikke åbenlyst, hvorfor en sådan »ægte« uafhængighed bør ofres for at føre tilsyn med overholdelsen af et instrument i afledt lovgivning, såsom GDPR, der allerede indeholder andre håndhævelsesmidler. Det kan bestemt ikke benægtes, at instrumentet har en solid hjemmel i primærret i chartrets artikel 8 og artikel 16 TEUF. Pointen er snarere, at retsmidler over for og erstatningsansvar for domstolene som dataansvarlige findes særskilt i GDPR's artikel 79 og 82 og dette uanset artikel 55, stk. 3, heri.

145. Samtidig kan en mulig løsning måske findes, hvis tredje punktum i 20. betragtning til GDPR ikke tages for bogstaveligt. Der er trods alt kun tale om en betragtning og ikke en fritstående og dermed bindende lovbestemmelse (83). Hvis dette er tilgangen, således som det tilsyneladende er opfattelsen i nogle medlemsstater, vil de materielle bestemmelser i GDPR blot blive opfattet således, at de indfører rettigheder, hvorpå der bør kunne støttes ret ved de nationale domstole inden for de normale retsforhandlinger, der er til rådighed i medlemsstaten (84).

146. Hvis dette faktisk er den valgte institutionelle og processuelle vej, kan man måske forhindre både problemet med at give en »afhængig tredjepart« mulighed for at kontrollere den dømmende magts aktiviteter og behovet for at oprette en overdomstol for at overvåge andre domstole. Når dette er sagt, vil man sandsynligvis i henhold til denne tilgang fortsat ikke opfylde kravet i chartrets artikel 8, stk. 3, om at have en »uafhængig« myndighed til at føre tilsyn med overholdelse af retten til beskyttelse af personoplysninger (85).

147. Ud fra dette synspunkt forekommer løsningen med den »interne domstol« at være den eneste brugbare løsning på dilemmaet med at få GDPR-overbygningen til at passe ind i den nationale dømmende magts ganske specifikke verden (86).

148. Selv hvis man antager, at den eneste vej, der er forenelig med chartret, er at oprette en sådan »intern efterprøvelsesmyndighed«, forekommer det fortsat noget uklart, hvad en sådan myndighed helt nøjagtigt skal føre tilsyn med.

149. For det første formoder GDPR, som forklaret i det foregående afsnit i dette forslag til afgørelse, at domstoles behandlingsaktiviteter er lovlige, og muliggør – i modsætning til denne generaliserede formodning – at visse rettigheder og forpligtelser og grundlæggende principper vedrørende behandling af personoplysninger kan begrænses ved nationale lovgivningsforanstaltninger.

150. For det andet regulerer de nationale retsplejelove, der er bindende for retsforhandlinger, i de fleste, hvis ikke i alle, medlemsstater håndteringen af personoplysninger i alle retsforhandlingernes individuelle stadier meget mere detaljeret, nemlig hvad et specifikt dokument skal og ikke kan indeholde, hvem der har adgang til hvad, under hvilke betingelser hvilke oplysninger kan fjernes/korrigeres, hvilke begrænser der gælder for fortroligheden, hvilke oplysninger og data en retsafgørelse skal indeholde osv. (87).

151. For det tredje er det allerede underlagt kontrol og potentielle sanktioner af mindst to slags, hvis nationale dommere ser bort fra disse regler. På den ene side er der sanktioner over for selve afgørelsen, hvilket fører til en mulig annullation heraf. På den anden side er der ordninger med personligt ansvar for dommere i disciplinærsager.

152. På baggrund af et sådant lovgivningsmæssigt miljø kunne man forestille sig, at GDPR indeholdt bestemmelser om forordningens samspil med anden lovgivning. Hvad er »lex specialis«, og hvordan formodes forskellige institutionelle og processuelle rammer at sameksistere? Hvordan skal mulige normative konflikter løses? Ak, GDPR indeholder ingen regler om en sådan konflikt, hvilket derfor medfører det særskilte spørgsmål, om GDPR faktisk skal forstås således, at den underkender nationale processuelle regler, eller skal læses således, at den supplerer dem.

153. Hvis det er tilfældet, betyder det så, at de registrerede kan anmode de nationale domstole om at »berigtige« deres processkrifter, når nationale processuelle frister er udløbet (i henhold til GDPR's artikel 16) (88)? Hvad hvis en part, som har tabt en sag, opfylder tærsklen for at kunne påberåbe sig sin »ret til at blive glemt« (i henhold til GDPR's artikel 17), for at få fjernet dommen eller protokollen fra retsforhandlingerne efter dommens afsigelse (89)?

154. På baggrund af alle disse forviklinger er det måske ikke helt overraskende, at en række medlemsstater har haft forståelige vanskeligheder ved at opføre de passende institutionelle strukturer i medfør af GDPR's artikel 55, stk. 3, som ikke desto mindre er i overensstemmelse i chartrets artikel 8, stk. 3 (90).

155. Begge de forhold, der er taget stilling til i dette afsnit, dvs. materielle forhold og forhold vedrørende institutioner og procedurer, efterlader en vis forundring som allerede nævnt i begyndelsen af afsnit D. På baggrund af, at der fortsat er sådanne systemiske problemer, hvorfor så i det hele taget skabe sådanne halvhjertede, men bemærkelsesværdigt vidtrækkende overbygninger? For at håndhæve nærmest ikke-eksisterende materielle rettigheder for så vidt angår domstoles retslige aktiviteter? Er alt dette virkelig besværet værd?

V.      Forslag til afgørelse

156. Jeg foreslår, at Domstolen besvarer de præjudicielle spørgsmål fra Rechtbank Midden-Nederland (retten i første instans i Midden-Nederland, Nederlandene) som følger:

»Spørgsmål 1

Artikel 55, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at videregivelse af procesdokumenter til en journalist med henblik på en bedre dækning af et offentligt retsmøde er en praksis, som domstole udfører »i deres egenskab af domstol«.

Spørgsmål 1a

Artikel 55, stk. 3, i forordning 2016/679 kræver ikke, at det afgøres, om en behandlingsaktivitet udført af de nationale domstole »i deres egenskab af domstol« påvirker domstolenes uafhængighed ved den retslige beslutningstagning i hver enkelt sag.

Spørgsmål 1b

Afgørelsen af en bestemt behandlingsaktivitets art og formål er ikke en del af de kriterier, der skal tages i betragtning i henhold til artikel 55, stk. 3, i forordning 2016/679, når det fastslås, om de nationale domstole »handle[de] i deres egenskab af domstol«.

Spørgsmål 1c

Ved afgørelsen af, om en af de nationale domstoles behandlingsaktiviteter blev udført »i deres egenskab af domstol« i den i artikel 55, stk. 3, i forordning 2016/679 omhandlede forstand, er det ikke relevant, om disse domstole handlede i medfør af en udtrykkelig hjemmel i national ret.«

1 –      Originalsprog: engelsk.

2 –      J.H. Burton (red.), Benthamiana: or select extracts from the works of Jeremy Bentham, Lea & Blanchard, Philadelphia, 1844, s. 139.

3 –      Den citerede tekst blev oprindeligt offentliggjort i J. Bentham, Draught of a New Plan for the organisation of the Judicial Establishment in France: proposed as a Succedaneum to the Draught presented, for the same purpose, by the Committee of Constitution, to the National Assembly, December 21st, 1789, London, 1790.

4 –      Til illustration skulle de faktiske omstændigheder og præmisserne for en afgørelse holdes hemmelige i praksis fra Parlement de Paris i det 14. århundrede. De blev set som en del af den retslige rådslagningsproces, som skulle holdes fortrolig. Jf. J.P. Dawson, The Oracles of the Law, University of Michigan Law School, 1968, s. 286-289. I detaljer jf. også T. Sauvel, »Histoire du jugement motivé«, 61(5) Revue du droit public, 1955.

5 –      Jf. som baggrundsoplysning de nederlandske retningslinjer for retsvæsenets pressevejledning af 2013, der er til rådighed på: https://www.rechtspraak.nl/SiteCollectionDocuments/Press-Guidelines.pdf, artikel 2.3 og bemærkningerne på s. 6 og 7 heri.

6 –      Europa-Parlamentets og Rådets forordning af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1).

7 –      Sagens parters navne er blevet lettere ændret, for at læseren i en mere fordøjelig form guides gennem den labyrint af generaliseret pseudo-anonymisering, som Domstolen har gjort brug af siden 2018 (jf. Den Europæiske Unions Domstols pressemeddelelse af 29.6.2018 »Fra den 1. juli 2018 vil præjudicielle sager, der involverer fysiske personer, blive anonymiseret« https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180096da.pdf). Hvis Domstolens fremtidige retslige prosa skal ligne en roman af Kafka, hvorfor så ikke også tage nogle af Kafkas positive litterære elementer til sig?

8–      Dom af 10.12.2018, Wightman m.fl. (C-621/18, EU:C:2018:999, præmis 27).

9–      Dom af 18.5.2021, Asociaţia »Forumul Judecătorilor din România« m.fl. (C-83/19, C-127/19, C-195/19, C-291/19, C-355/19 og C-397/19, EU:C:2021:393, præmis 116 og den deri nævnte retspraksis).

10–      Dom af 16.7.2020, Facebook Ireland og Schrems (C-311/18, EU:C:2020:559, præmis 73 og den deri nævnte retspraksis).

11–      Jf. f.eks. dom af 18.7.2007, Lucchini (C-119/05, EU:C:2007:434, præmis 43), af 26.5.2011, Stichting Natuur en Milieu m.fl. (C-165/09 – C-167/09, EU:C:2011:348, præmis 47), og af 26.4.2017, Farkas (C-564/15, EU:C:2017:302, præmis 37).

12–      Jf. GDPR’s artikel 2, stk. 1, og artikel 4, nr. 2).

13–      Jf. i denne henseende f.eks. artikel 2, nr. 2), i Europa-Parlamentets og Rådets direktiv 2003/4/EF af 28.1.2003 om offentlig adgang til miljøoplysninger og om ophævelse af Rådets direktiv 90/313/EØF (EUT 2003, L 41, s. 26).

14 –      I denne retning dom af 15.6.2021, Facebook Ireland m.fl. (C-645/19, EU:C:2021:483, præmis 47 og den deri nævnte retspraksis).

15 –      Hvad angår forholdet mellem artikel 55, stk. 1, og artikel 56, stk. 1; jf. dom af 15.6.2021, Facebook Ireland m.fl. (C-645/19, EU:C:2021:483, præmis 47-50).

16 –      Jf. f.eks. dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2021:504, præmis 71, 72, 76 og 77), hvor både videregivelsen af visse personoplysninger til offentligheden og offentlighedens adgang til en database indeholdende disse personoplysninger blev anset for en »behandlingsaktivitet« i forhold til GDPR’s artikel 2, nr. 1), og dom af 17.6.2021, M.I.C.M. (C-597/19, EU:C:2021:492, præmis 97-123), som bedømte to forskellige former for behandling af personoplysninger foretaget af to forskellige virksomheder, der fandt sted »upstream« og »downstream«. I denne retning, jf. også dom af 16.1.2019, Deutsche Post (C-496/17, EU:C:2019:26, præmis 60-69), vedrørende flere forskellige myndigheders behandlingsaktiviteter vedrørende fysiske personers skatteoplysninger.

17 –      Dom af 10.7.2018, Jehovan todistajat (C-25/17, EU:C:2018:551, præmis 62).

18 –      Jf. GDPR’s artikel 4, nr. 1). Vedrørende den brede fortolkning af begrebet personoplysninger, jf. f.eks. dom af 20.12.2017, Nowak (C-434/16, EU:C:2017:994, præmis 62).

19 –      Dette bør faktisk være udgangspunktet for bedømmelsen af alle de rettigheder og forpligtelser, som parterne har i henhold til GDPR. Jf. dom af 29.7.2019, Fashion ID (C-40/17, EU:C:2019:629, præmis 72-74), og mit forslag til afgørelse Valsts ieņēmumu dienests (Databehandling med skatteformål) (C-175/20, EU:C:2021:690, punkt 42).

20 –      Som det er bestemt i GDPR’s artikel 4, nr. 2).

21 –      Jf. f.eks. dom af 29.6.2010, Kommissionen mod Bavarian Lager (C-28/08 P, EU:C:2010:378, præmis 69), og af 19.4.2012, Bonnier Audio m.fl. (C-461/10, EU:C:2012:219, præmis 52).

22 –      Jf. f.eks. dom af 29.1.2008, Promusicae (C-275/06, EU:C:2008:54, præmis 45), og af 6.10.2020, Privacy International (C-623/17, EU:C:2020:790, præmis 41), i forbindelse med Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (EFT 2002, L 201, s. 37). Jf. også dom af 6.10.2015, Schrems (C-362/14, EU:C:2015:650, præmis 45), i forbindelse med dataoverførsler til et tredjeland.

23 –      Jf. ovenfor, punkt 42 i dette forslag til afgørelse. Jf. dog også punkt 47 og behovet for klart at definere den specifikke behandlingsaktivitet ved afklaringen af de deraf følgende rettigheder eller forpligtelser.

24 –      Jf. dom af 10.7.2018, Jehovan todistajat (C-25/17, EU:C:2018:551, præmis 57). Jf. dog generaladvokat Sharpstons forslag til afgørelse Kommissionen mod Bavarian Lager (C-28/08 P, EU:C:2009:624, punkt 142-150).

25 –      Jf. f.eks. dom af 9.7.2020, Land Hessen (C-272/19, EU:C:2020:535, præmis 68).

26 –      Dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2021:504, præmis 66 og den deri nævnte retspraksis).

27 –      Hvor denne betragtning, som i sig selv er meget snævrere end GDPR’s artikel 2, nr. 2, litra a), herudover fortolkes på en slående reduktionistisk måde – jf. dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2021:504, præmis 66-68).

28 –      Jf. 16. og 19. betragtning til GDPR.

29 –      Som herudover endnu en gang skal fortolkes indskrænkende og derfor skal begrænses til rent (forstået som udelukkende) personlige eller familiemæssige aktiviteter – jf. f.eks. dom af 11.12.2014, Ryneš (C-212/13, EU:C:2014:2428, præmis 30).

30 –      Jeg kan bestemt altid forsøge at gå efter GDPR’s artikel 6, nr. 1, litra c) (at sladre på et værtshus er en retlig forpligtelse, som jeg er underlagt af sociale konventioner) eller artikel 6, nr. 1, litra d) (mine venners vitale interesser, med andre ord en anden fysisk person, i at have noget at tale om på et værtshus nødvendiggør, at oplysningerne overføres). Jeg har dog på fornemmelsen, at en national databeskyttelsesmyndighed ikke bliver imponeret af en sådan innovativ begrundelse.

31 –      Hvilket kan have været en af grundene til, at Court of Appeal (England & Wales) (Det Forenede Kongerige) af hensyn til »både sund fornuft og retfærdighed« fandt, at selve anonymiseringen af personoplysninger ikke kan kvalificeres som »behandling« i henhold til Det Forenede Kongeriges Data Protection Act 1998. Jf. dom af 21.12.1999, Regina mod Department of Health, Ex Parte Source Informatics Ltd [1999] EWCA Civ 3011, i [45].

32 –      Europa-Parlamentet og Rådets direktiv 95/46/EF af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31).

33 –      Generaladvokat Sharpstons forslag til afgørelse af 15.10.2009 Kommissionen mod Bavarian Lager (C-28/08 P, EU:C:2009:624, punkt 135-146).

34 –      Et rådgivende organ oprettet på grundlag af artikel 29 i direktiv 95/46, nu erstattet af Det Europæiske Databeskyttelsesråd oprettet i henhold til GDPR’s artikel 68 (herefter »Artikel 29-Databeskyttelsesgruppen«).

35 –      Jf. artikel 29 i Artikel 29-Databeskyttelsesgruppens udtalelse 4/2007 om begrebet personoplysninger (01248/07/EN WP 136, 20.6.2007, s. 4 og 5).

36 –      Ibidem, s. 5.

37 –      Historisk er der ingen, som har haft et problem med behandlingen af personoplysninger, medmindre der først blev skabt et register og databaser med store datasæt, som muliggjorde, at ny viden og nye data kunne skabes ved automatisk datasamling og/eller nem adgang til disse data. Bør historiske erfaring og behov ikke også være vejledende for den nuværende fortolkning af de love, der blev indført med dette specifikke formål?

38 –      Dom af 29.6.2010, Kommissionen mod Bavarian Lager (C-28/08 P, EU:C:2010:378, præmis 70 og 71).

39–      I flere detaljer, jf. også mit forslag til afgørelse Valsts ieņēmumu dienests (Databehandling med skatteformål) (C-175/20, EU:C:2021:690, punkt 35-41).

40–      Fjerde betragtning til GDPR.

41 –      For en redegørelse af forskellige andre retsområder, som indeholder en sådan sondring, jf. mine forslag til afgørelse Friends of the Irish Environment (C-470/19, EU:C:2020:986, punkt 71-75, 81 og 82) og Kommissionen mod Breyer (C-213/15 P, EU:C:2016:994, punkt 52-64).

42 –      Jf. mit forslag til afgørelse Pula Parking (C-551/15, EU:C:2016:825, punkt 85 og 86).

43 –      Jf. mit forslag til afgørelse Friends of the Irish Environment (C-470/19, EU:C:2020:986, punkt 87).

44 –      Som eksempel på en sådan situation, jf. dom af 16.12.2008, Cartesio (C-210/06, EU:C:2008:723, præmis 57 og den deri nævnte retspraksis).

45 –      Jf. mit forslag til afgørelse Friends of the Irish Environment (C-470/19, EU:C:2020:986, punkt 71).

46 –      Jf. ovenfor, punkt 39 i dette forslag til afgørelse.

47 –      Min fremhævelse.

48 –      Jf. dom af 27.2.2018, Associação Sindical dos Juízes Portugueses (C-64/16, EU:C:2018:117, præmis 44), af 25.7.2018, Minister for Justice and Equality (Mangler ved domstolssystemet) (C-216/18 PPU, EU:C:2018:586, præmis 38), af 24.6.2019, Kommissionen mod Polen (Den øverste domstols uafhængighed) (C-619/18, EU:C:2019:531, præmis 72), af 2.3.2021, A.B. m.fl. (Udnævnelse af dommere ved den øverste domstol – søgsmål) (C-824/18, EU:C:2021:153, navnlig præmis 117-119), og af 18.5.2021, Asociaţia »Forumul Judecătorilor din România« m.fl. (C-83/19, C-127/19, C-195/19, C-291/19, C-355/19 og C-397/19, EU:C:2021:393, præmis 188).

49 –      Senest dom af 15.7.2021, Kommissionen mod Polen (Disciplinærordning for dommere) (C-791/19, EU:C:2021:596), og kendelse af 14.7.2021, Kommissionen mod Polen (C-204/21 R, EU:C:2021:593).

50 –      Naturligvis under antagelse af, at Federalist No 51 (»If men were angels, no government would be necessary. If angels were to govern men, neither external nor internal controls on government would be necessary«) [O.a.: Hvis mennesker var engle, ville ledelse ikke være nødvendig. Hvis engle skulle lede mennesker, ville hverken ekstern eller intern kontrol med ledelsen være nødvendig] fortsat også finder anvendelse inden for GDPR.

51 –      I Domstolens centrale register over behandling af personoplysninger (til rådighed på: https://curia.europa.eu/jcms/jcms/p1_3301336/da/), der er oprettet i medfør af artikel 31, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23.10.2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT 2018, L 295, s. 39), opregner Domstolen selv behandlingsaktiviteter i forbindelse med udbetaling af løn som en »administrativ aktivitet« (jf. https://curia.europa.eu/jcms/upload/docs/application/pdf/2021-01/paie.pdf).

52 –      Hvorved det måske bliver endnu en mulighed for indirekte pres – det er ingen tilfældighed, at dommerstandens lønninger i en række retssystemer udelukkende fastsættes ved lov, hvilket dermed bevidst er til hinder, at der kan udøves nogen potentiel indflydelse på denne måde.

53 –      Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT 2016, L 119, s. 89).

54 –      Dom af 21.9.2010, Sverige m.fl. mod API og Kommissionen (C-514/07 P, C-528/07 P og C-532/07 P, EU:C:2010:541).

55 –      Dom af 18.7.2017, Kommissionen mod Breyer (C-213/15 P, EU:C:2017:563).

56 –      Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30.5.2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter (EFT 2001, L 145, s. 43).

57 –      Jf. mit forslag til afgørelse Friends of the Irish Environment (C-470/19, EU:C:2020:986, punkt 90-92).

58 –      Generaladvokat Sharpstons forslag til afgørelse Flachglas Torgau (C-204/09, EU:C:2011:413, punkt 73).

59 –      Jf. i denne retning anvendelsen af vurderingen i dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2021:504, præmis 104-116).

60 –      I denne retning vedrørende artikel 6, stk. 1, i Den Europæiske Menneskerettighedskonvention (EMRK), jf. Menneskerettighedsdomstolens dom af 8.12.1983, Axen mod Tyskland (CE:ECHR:1983:1208JUD000827378), § 32, af 22.2.1984, Sutter mod Schweiz (CE:ECHR:1984:0222JUD000820978), § 26, af 14.11.2000, Riepan mod Østrig (CE:ECHR:2000:1114JUD003511597), § 27, af 12.7.2001, Malhous mod Den Tjekkiske Republik (CE:ECHR:2001:0712JUD003307196, § 62), og af 28.10.2010, Krestovskiy mod Rusland (CE:ECHR:2010:1028JUD001404003, § 24).

61 –      Jf. i denne henseende Menneskerettighedsdomstolens dom af 26.4.1979, Sunday Times mod Det Forenede Kongerige (CE:ECHR:1979:0426JUD000653874, § 67).

62–      Det kan i denne henseende overvejes, om presseafdelingen ikke er en del af domstolen, men snarere blev oprettet som en del af en særskilt institution, som det var tilfældet for arkiveringsaktiviteterne i dom af 15.4.2021, Friends of the Irish Environment (C-470/19, EU:C:2021:271, præmis 43). For yderligere bedømmelse, jf. mit forslag til afgørelse Friends of the Irish Environment (C-470/19, EU:C:2020:986, punkt 107).

63–      Punkt 76-86 i dette forslag til afgørelse.

64 –      Som allerede redegjort for generelt ovenfor i punkt 84-86 i dette forslag til afgørelse.

65 –      Jf. mit forslag til afgørelse Valsts ieņēmumu dienests (Databehandling med skatteformål) (C-175/20, EU:C:2021:690).

66 –      Ibidem, punkt 83-85.

67 –      Dette er også grunden til, at dette forslag til afgørelse logisk må begynde (i punkt 32 heri) med den generelle bekræftelse af, at GDPR i princippet finder anvendelse på domstole.

68 –      Jf. 40. og 52. betragtning til GDPR og dennes artikel 6, stk. 2 og 3, samt artikel 9, stk. 2 og 3.

69 –      Dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2021:504, præmis 96 og den deri nævnte retspraksis).

70 –      For så vidt angår begge bestemmelsers normative anvendelsesområde. I praksis, som det allerede er blevet antydet i punkt 120 i dette forslag til afgørelse, er der ikke den store forskel mellem en grænse for tilsynet på grund af kompetence (i henhold til GDPR’s artikel 55, stk. 3) og en grænse for tilsynet på grund af materielle begrænsninger i forbindelse med visse aktiviteter [i henhold til GDPR’s artikel 23, stk. 1, litra f)].

71 –      Det er ingen hemmelighed, at forskellige medlemsstater lægger forskellig vægt på eller i det mindste har konkurrerende syn på retslig gennemsigtighed. Jf. f.eks. for så vidt angår video- og lydoptagelser fra retsforhandlinger, B. Hess og A. Koprivica Harvey, »Open Justice in Modern Societies: What Role for Courts?«, i B. Hess og A. Koprivica Harvey, Open Justice: The Role of Courts in a Democratic Society, Nomos, 2019, s. 30-35. Hvad angår de forskellige traditioner (som oftest ligger lang tid forud for GDPR) om anonymisering af parterne i retsforhandlinger med henblik på efterfølgende offentliggørelse af dommen, jf. forskningsnotat fra generaldirektoratet for biblioteket, forskning og dokumentation om »Anonymity of the parties on the publication of court decisions« (marts 2017, ændret i januar 2019, der er til rådighed på https://curia.europa.eu/jcms/upload/docs/application/pdf/2021-02/ndr_2017-002_neutralisee-en.pdf, s. 9 og 10).

72 –      I nogle retssystemer fremsatte de øverste domstole tidligere vidtrækkende normative udtalelser, der var løsrevne fra eller lå helt uden for individuelle sager. Dette gøres stadig i nogle systemer i dag. Dette plejer imidlertid at blive kraftigt anfægtet på grund af magtadskillelse og retslig legitimitet. Jf. i denne retning Z. Kühn, »The Authoritarian Legal Culture at Work: The Passivity of Parties and the Interpretational Statements of Supreme Courts«, Croatian Yearbook of European Law and Policy, bind 2, 2008, s. 19.

73 –      M. Bartošek, Dějiny římského práva, Academia, Prag, 1995, s. 81, eller O. Sommer, Učebnice soukromého římského práva. I. díl, Všehrd, Prag, 1946, s. 121 og 122. Jf. også J. Harries, Law and Empire in Late Antiquity, Cambridge University Press, 1999, s. 101, 104 og 105.

74 –      J.P. Dawson, The Oracles of the Law, University of Michigan Law School, 1968, s. 288 og 289.

75 –      Jf. i denne henseende f.eks. B. McLachlin, »Courts, Transparency and Public Confidence – to the Better Administration of Justice«, Deakin Law Review, bind 8(1), 2003, s. 3 og 4. Jf. også T. Bingham, The Rule of Law, Penguin, 2010, s. 8.

76 –      Jf. ovenfor, fodnote 7 i dette forslag til afgørelse.

77 –      Vedrørende problemet med over-anonymisering af retsafgørelser, jf. J.C. Wiwinius, »Public hearings in judicial proceedings«, i B. Hess og A. Koprivica Harvey, Open Justice: The Role of Courts in a Democratic Society, Nomos, 2019, s. 98 og 101.

78 –      Såsom beskyttelse af sårbare personer, børn, voldsofre, forretningshemmeligheder, statshemmeligheder osv. I alle disse tilfælde, som er velkendte for alle nationale retssystemer, plejer der imidlertid allerede at være specifikke procedurer på plads i de respektive retsplejeregler, som gør det muligt at udelukke offentligheden fra visse af eller alle stadier i retsforhandlingerne og domsafsigelsen, herunder fuld anonymitet, på baggrund af de specifikke behov i hver individuel sag.

79 –      J. Krynen, L’État de justice France, XIIIe-XXe siècle: L’idéologie de la magistrature ancienne, Gallimard, 2009, s. 79 ff., og R.C. Van Caenegem, Judges, Legislators and Professors: Chapters in European Legal History, Cambridge University Press, 1987, s. 159.

80 –      Dom af 30.9.2003, Köbler (C-224/01, EU:C:2003:513).

81 –      Ibidem, præmis 42.

82 –      Ibidem, præmis 59. I det mindste hjerner inden for de retssystemer, som tidligere principielt godtog statsligt ansvar for retslige fejl. For de andre kan retsligt ansvar for afgørelser fra den sidste instans stadig anses for – som overskriften i en bemærkelsesværdig artikel kaldte det – at tænke sig det utænkelige, jf. H. Toner, »Thinking the Unthinkable? State Liability for Judicial Acts after Factortame (III)«, Yearbook of European Law, bind 17, 1997, s. 165.

83 –      Hvilket Domstolen bliver ved med at gentage som et princip – jf. f.eks. dom af 12.7.2005, Alliance for Natural Health m.fl. (C-154/04 og C-155/04, EU:C:2005:449, præmis 91 og 92), af 21.12.2011, Ziolkowski og Szeja (C-424/10 og C-425/10, EU:C:2011:866, præmis 42 og 43), eller af 25.7.2018, Confédération paysanne m.fl. (C-528/16, EU:C:2018:583, præmis 44-46 og 51). Det er rimeligt at anerkende, at fortolkningspraksis, som det faktisk allerede fremgår af den sidste af de nævnte afgørelser, ikke desto mindre reelt er mere forskelligartet.

84 –      Konkret vil en klage over en lavere domstols databehandling dermed blive behandlet af en appeldomstol på samme måde som enhver anden klage over et processuelt skridt, som en lavere domstol har truffet, osv.

85 –      Retspraksis om »uafhængighed« i henhold til GDPR’s artikel 28, stk. 1, er nu også ved at blive afstemt med den generelle forståelse af »uafhængighed« i EU-retten. Sammenhold med dom af 16.10.2012, Kommissionen mod Østrig (C-614/10, EU:C:2012:631, præmis 41-44), og den i fodnote 48 i dette forslag til afgørelse nævnte retspraksis.

86 –      Selv om den endelige problemstilling om, hvorvidt kontrollen med domstolen bør foretages ved hjælp af en »overdomstol«, som så skulle kontrolleres af en »overoverdomstol« osv., ikke fjernes. For en af Domstolen valgt løsning, jf. Domstolens afgørelse af 1.10.2019 om indførelse af en intern kontrolmekanisme vedrørende behandling af personoplysninger i forbindelse med Domstolens udførelse af sine judicielle opgaver (EUT 2019, C 383, s. 2).

87 –      Jf. hvad angår lovgivningen i England & Wales, Frankrig, Tyskland, Italien, Polen og Sverige, forskningsnotat fra direktoratet for forskning og dokumentation, »Methods of management of confidential data in the context of national judicial proceedings« (oktober 2018) (findes på https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-11/ndr_2018-007_neutralisee-en.pdf, s. 2).

88 –      Jf. dom af 20.12.2017, Nowak (C-434/16, EU:C:2017:994).

89 –      Med al respekt for dom af 13.5.2014, Google Spain og Google (C-131/12, EU:C:2014:317), er det usandsynligt, at internettet glemmer, hvis det pålægges det i et dekret. Den efterfølgende retspraksis, navnlig standpunktet i forhold til den territoriale rækkevidde og håndhævelsen af »retten til at blive glemt«, ligner derfor mere og mere en kamp mod vindmøller.

90 –      Jf. forskningsnotat fra generaldirektoratet for forskning og dokumentation, »Supervision of courts’ compliance with personal data protection rules when acting in their judicial capacity« (juli 2018) (findes på https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-11/ndr_2018-004_synthese-neutralisee-en.pdf, s. 3).