Mål C‑118/22
NG
mot
Direktor na Glavna direktsia ”Natsionalna politsia” pri Ministerstvo na vatreshnite raboti - Sofia
(begäran om förhandsavgörande från Varhoven administrativen sad)
Domstolens dom (stora avdelningen) av den 30 januari 2024
”Begäran om förhandsavgörande – Skydd för fysiska personer i samband med behandling av personuppgifter för att förebygga brott – Direktiv (EU) 2016/680 – Artikel 4.1 c och 4.1 e – Uppgiftsminimering – Lagringsbegränsning – Artikel 5 – Lämpliga tidsgränser för radering eller för periodisk översyn av behovet av lagring – Artikel 10 – Behandling av genetiska och biometriska uppgifter – Absolut nödvändigt – Artikel 16.2 och 16.3 – Rätten till radering – Begränsad behandling – Artikel 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna – Fysisk person som dömts genom en lagakraftvunnen dom och senare rehabiliterats – Lagring av uppgifter till dess att den registrerade avlider – Avsaknad av rätt till radering eller till begränsning av behandling – Proportionalitet”
Tillnärmning av lagstiftning – Skydd för fysiska personer med avseende på behandling av personuppgifter i samband med straffrättsliga förfaranden – Direktiv 2016/680 – Lagring av personuppgifter, bland annat biometriska och genetiska uppgifter, avseende personer som dömts genom en lagakraftvunnen dom för ett uppsåtligt brott som faller under allmänt åtal – Nationell lagstiftning som föreskriver sådan lagring fram till dess att den registrerade avlider, även i fall då den registrerade har rehabiliterats – Skyldighet att regelbundet kontrollera om sådan lagring är nödvändig föreligger inte – Avsaknad av rätt till radering eller till begränsning av behandling – Otillåtet
(Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8 och 52.1; Europaparlamentets och rådets direktiv 2016/680, skäl 26 och artiklarna 4.1 c, 4.1 e, 5, 10, 13.2 b, 16.2 och 16.3)
(se punkterna 39, 41–45, 48–52, 59–61 och 66–72 samt domslutet)
Resumé
Efter en begäran om förhandsavgörande från Varhoven administrativen sad (Högsta förvaltningsdomstolen, Bulgarien), uttalar sig domstolen (stora avdelningen), mot bakgrund av direktiv 2016/680(1), om tidsgränserna för lagring, som sker i syfte att bekämpa brott, av personuppgifter avseende personer som har varit föremål för en lagakraftvunnen brottmålsdom.
NG fördes in i polisregistret i samband med en förundersökning avseende falskt vittnesmål. Efter detta förfarande åtalades han och befanns därefter skyldig till detta brott och dömdes till ett års villkorligt fängelse. Efter att ha fullgjort detta straff befanns NG rehabiliterad.
Med stöd av denna rehabilitering ansökte NG om att raderas ur polisregistret. Ansökan avslogs med motiveringen att en lagakraftvunnen fällande dom, även i fall av rehabilitering, inte finns med bland de skäl för en sådan radering, vilka uttömmande räknas upp i den nationella lagstiftningen. Eftersom NG:s överklagande av detta avgörande ogillades, överklagade denne till den hänskjutande domstolen och gjorde gällande att det följer av direktiv 2016/680 att lagring av personuppgifter inte får ske under obegränsad tid. Enligt NG är detta emellertid de facto fallet när den berörda personen aldrig kan få uppgifter som samlats in i samband med det brott för vilket han eller hon dömts genom en lagakraftvunnen dom raderade, inte ens efter att ha avtjänat sitt straff och befunnits rehabiliterad.
Det är under dessa omständigheter som domstolen har att pröva frågan huruvida direktiv 2016/680,(2) mot bakgrund av artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna,(3) utgör hinder för en nationell lagstiftning som föreskriver att personuppgifter, inklusive biometriska och genetiska uppgifter, vad gäller personer som genom en lagakraftvunnen brottmålsdom har dömts för ett uppsåtligt brott som faller under allmänt åtal, ska lagras, genom polismyndigheternas försorg, för att förebygga, upptäcka, utreda och lagföra brott, eller att verkställa straffrättsliga påföljder, fram till dess att den registrerade avlider, även i fall då den registrerade har rehabiliterats, utan att vederbörande erkänns rätten att få dessa uppgifter raderade eller, i förekommande fall, att få behandlingen av dessa uppgifter begränsade.
Domstolen besvarade denna fråga jakande i sin dom.
Domstolens bedömning
Domstolen påpekar för det första att direktiv 2016/680 fastställer en allmän ram som gör det möjligt att säkerställa bland annat att lagringen av personuppgifter, och närmare bestämt lagringens varaktighet, begränsas till vad som är nödvändigt med hänsyn till de ändamål för vilka de lagras. Samtidigt överlåts åt medlemsstaterna att med iakttagande av denna ram fastställa dels de konkreta situationer där skyddet av den registrerades grundläggande rättigheter kräver att uppgifterna raderas, dels den tidpunkt då uppgifterna ska raderas. Direktivet kräver däremot inte att medlemsstaterna fastställer absoluta tidsgränser för lagringen av personuppgifter, utöver vilka uppgifterna automatiskt ska raderas.
Närmare bestämt fastställer artikel 4.1 c i direktiv 2016/680 principen om ”uppgiftsminimering”, enligt vilken medlemsstaterna ska föreskriva att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas. Enligt artikel 4.1 e i direktivet ska medlemsstaterna dessutom föreskriva att uppgifterna inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas. I detta sammanhang ålägger artikel 5 i direktivet medlemsstaterna att föreskriva bland annat att lämpliga tidsgränser fastställs för radering av personuppgifter eller för periodisk översyn av behovet av att lagra sådana uppgifter. För att dessa tidsfrister ska vara ”lämpliga” krävs emellertid under alla omständigheter att de gör det möjligt att radera de berörda uppgifterna om det inte längre är nödvändigt att lagra dem med hänsyn till de ändamål som motiverade behandlingen.
Vidare tillåter artikel 10 i direktiv 2016/680, som reglerar behandling av särskilda kategorier av personuppgifter, såsom de biometriska och genetiska uppgifter, behandling av sådana uppgifter ”endast om det är absolut nödvändigt”.
Slutligen föreskrivs i artikel 16.2 i direktiv 2016/680 en rätt till radering av personuppgifter om behandlingen står i strid med de bestämmelser som antas enligt detta direktiv(4) eller om personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse som åvilar den personuppgiftsansvarige.(5) Det följer härav att denna rätt till radering bland annat kan utövas när lagringen av de aktuella uppgifterna inte är eller inte längre är nödvändig för ändamålen med behandlingen av dem, eller när radering krävs för att iaktta den tidsfrist som för detta ändamål föreskrivs i nationell rätt.
För det andra konstaterar domstolen att personuppgifter som förs in i polisregistret och som avser personer som lagförts för ett uppsåtligt brott som faller under allmänt åtal, i förevarande fall, endast lagras för operativa utredningar och närmare bestämt för att jämföras med andra uppgifter som samlats in i samband med utredningar av andra brott. I detta avseende konstaterar domstolen emellertid att begreppet ”uppsåtligt brott som faller under allmänt åtal” är av särskilt allmän karaktär och kan tillämpas på ett stort antal brott, oberoende av deras art och allvar. Samma risk för att bli inblandade i andra brott och som skulle motivera en enhetlig period under vilken uppgifter rörande dem ska lagras, föreligger emellertid inte för alla personer som genom lagakraftägande dom har dömts för ett brott som omfattas av detta begrepp. Med hänsyn till sådana faktorer som brottets art och svårhetsgrad eller avsaknaden av återfall, motiverar den risk som den dömda personen utgör i vissa fall inte nödvändigtvis att de uppgifter som rör honom eller henne fortsätter att lagras i det för detta ändamål föreskrivna nationella registret fram till personens död. Det finns därför inte längre något nödvändigt samband mellan de lagrade uppgifterna och det eftersträvade syftet. I sådana fall är lagringen av uppgifterna således inte förenlig med principen om uppgiftsminimering och kommer att överstiga den period som är nödvändig för de ändamål för vilka de behandlas.
I den mån lagringen av personuppgifter i det aktuella polisregistret inbegriper biometriska och genetiska uppgifter, preciserar domstolen vidare att lagring av sådana uppgifter om personer som redan har varit föremål för en lagakraftvunnen brottmålsdom, inbegripet fram till dess att dessa personer avlidit, visserligen kan anses vara absolut nödvändig,(6) bland annat för att göra det möjligt att kontrollera dessa personers eventuella inblandning i andra brott, och således att lagföra och döma gärningsmännen till dessa brott. Lagring av dessa uppgifter uppfyller emellertid enbart ett sådant krav om den beaktar arten och allvaret av det brott som lett till den slutliga fällande domen, eller andra omständigheter, såsom de särskilda omständigheter under vilka brottet begicks, lagringens eventuella koppling till andra pågående förfaranden eller den dömda personens tidigare bakgrund eller profil. När de berörda personernas biometriska och genetiska uppgifter som införts i polisregistret, såsom föreskrivs i nationell rätt i det nationella målet, ska lagras fram till dessa personers död om de har dömts genom en lagakraftvunnen brottmålsdom, är tillämpningsområdet för denna lagring alltför omfattande i förhållande till de ändamål för vilka uppgifterna behandlas.
Avslutningsvis, vad för det första gäller skyldigheten att fastställa lämpliga tidsgränser,(7) kan en tidsgräns enbart anses vara ”lämplig”, bland annat vad gäller lagring av biometriska och genetiska uppgifter om en person som genom en lagakraftvunnen dom har dömts för ett uppsåtligt brott som faller under allmänt åtal, om tidsgränsen tar hänsyn till relevanta omständigheter som gör en sådan lagringstid nödvändig. Även om hänvisningen till att den registrerades död kan utgöra en ”tidsgräns” för radering av lagrade uppgifter, så kan en sådan tidsgräns följaktligen endast anses vara ”lämplig” under särskilda och vederbörligen motiverade omständigheter. Det är uppenbart att så inte är fallet när tidsgränsen är allmänt tillämplig och inte gör någon åtskillnad mellan dem som dömts genom lagakraftägande dom. Visserligen åligger det medlemsstaterna att besluta om huruvida lämpliga tidsgränser ska fastställs för radering av dessa personuppgifter eller för periodisk översyn av behovet av att lagra dessa.(8) För att tidsgränserna för en sådan periodisk översyn ska vara ”lämpliga” krävs emellertid att de gör det möjligt att radera de berörda uppgifterna för det fall att det inte längre är nödvändigt att lagra dem. Ett sådant krav är emellertid inte uppfyllt när sådan radering enbart är möjlig för det fall att den berörda personen har avlidit.
För det andra utgör bestämmelserna i direktiv 2016/680, i vilka det föreskrivs garantier avseende villkoren för rätten till radering och begränsning av behandling, hinder för en nationell lagstiftning som inte tillåter en person som genom lagakraftägande dom har dömts för ett uppsåtligt brott som faller under allmänt åtal, att utöva dessa rättigheter.