FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT
J. KOKOTT
fremsat den 20. juli 2017 (1)
Sag C-434/16
Peter Nowak
mod
Data Protection Commissioner
(anmodning om præjudiciel afgørelse indgivet af Supreme Court (øverste domstol, Irland))
»Anmodning om præjudiciel afgørelse – direktiv 95/46/EF – behandling af personoplysninger – begrebet personoplysninger – indsigt i egen prøvebesvarelse – rettelser og kommentarer«
I. Indledning
1. Består en prøvebesvarelse af personoplysninger, således at prøvedeltageren derfor muligvis på grundlag af databeskyttelsesdirektivet (2) kan kræve, at prøvearrangøren giver ham indsigt i hans egen besvarelse? Det er emnet for den foreliggende præjudicielle anmodning fra den irske Supreme Court. Hovedsagen er dog ikke direkte rettet mod indsigt i en prøvebesvarelse, men omhandler den tidligere irske tilsynsførende for databeskyttelses afslag på at undersøge en klage over den nægtede indsigt.
2. Det centrale spørgsmål er, om en prøvedeltagers besvarelse i en prøvebesvarelse kan være personoplysninger. Perifert kan det dog også diskuteres, om det har betydning, at prøvebesvarelsen er udarbejdet i hånden, og om også censors rettelser og kommentarer på opgaven kan være personoplysninger om prøvedeltageren.
3. Databeskyttelsesdirektivet vil ganske vist snart blive afløst af den generelle forordning om databeskyttelse (3), som endnu ikke finder anvendelse, men dette berører ikke begrebet personoplysninger. Derfor har denne præjudicielle anmodning også betydning for den fremtidige anvendelse af EU’s databeskyttelsesret.
II. Retsforskrifter
4. Databeskyttelsesdirektivets artikel 2, litra a), definerer forskellige begreber, navnlig begrebet personoplysninger:
»I dette direktiv forstås ved:
a) »personoplysninger« enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet«
b) »behandling af personoplysninger« (»behandling«) enhver operation eller række af operationer — med eller uden brug af elektronisk databehandling — som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse
c) »register med personoplysninger« (»register«) enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag.«
5. Direktivets anvendelsesområde fremgår af artikel 3:
»1. Dette direktivs bestemmelser anvendes på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb, samt på ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
2. […]«
6. Databeskyttelsesdirektivets artikel 12 regulerer retten til indsigt:
»Medlemsstaterne sikrer enhver registreret ret til hos den registeransvarlige
a) frit og uhindret, med rimelige mellemrum og uden større ventetid eller større udgifter
– at få oplyst, om der behandles personoplysninger om den pågældende selv, samt mindst formålene med behandlingen, hvilken type oplysninger det drejer sig om, og modtagerne eller kategorierne af modtagere af oplysningerne
– at få meddelt letforståelig information om, hvilke oplysninger der er omfattet af behandlingerne, samt enhver tilgængelig information om, hvorfra disse oplysninger stammer
– at få at vide, hvilken logik der ligger bag edb-behandlingen af oplysningerne om den pågældende, i det mindste i forbindelse med edb-baserede afgørelser som omhandlet i artikel 15, stk. 1
b) efter omstændighederne at få oplysninger, som ikke er blevet behandlet i overensstemmelse med dette direktiv, berigtiget, slettet eller blokeret, navnlig hvis de er ufuldstændige eller urigtige.«
7. 41. betragtning beskriver formålet med retten til indsigt:
»[E]nhver skal have ret til indsigt i de oplysninger om sig selv, som gøres til genstand for behandling, så den pågældende kan forvisse sig om oplysningernes rigtighed og behandlingens lovlighed; […]«
8. Databeskyttelsesdirektivets artikel 13, stk. 1, danner grundlaget for undtagelser fra bestemte regler:
»1. Medlemsstaterne kan træffe lovmæssige foranstaltninger med henblik på at begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 6, stk. 1, artikel 10, artikel 11, stk. 1, samt artikel 12 og 21, hvis en sådan begrænsning er en nødvendig foranstaltning af hensyn til:
a) statens sikkerhed
b) forsvaret
c) den offentlige sikkerhed
d) forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv
e) væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender
f) en kontrol-, tilsyns- eller reguleringsopgave, selv af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i litra c), d) og e) nævnte områder
g) beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder.«
III. Sagens faktiske omstændigheder og anmodningen om præjudiciel afgørelse
9. Peter Nowak var Trainee Accountant (revisor/skatterådgiver under uddannelse) og havde bestået flere prøver, som blev afholdt af Institute of Chartered Accountants of Ireland (brancheorganisation for Irlands revisorer/skatterådgivere, herefter »CAI«). Han forsøgte imidlertid fire gange forgæves at bestå prøven for området Strategic Finance and Management Accounting. Der var tale om en prøve, hvor man måtte medbringe egne hjælpemidler (»open book exam«).
10. Efter det fjerde forsøg, i efteråret 2009, søgte Peter Nowak at anfægte resultatet, men besluttede dog i sidste ende i maj 2010 at indgive en anmodning om indsigt i henhold til den irske databeskyttelseslovgivning med hensyn til alle »personoplysninger« om ham, som CAI var i besiddelse af.
11. CAI udleverede 17 dokumenter til Peter Nowak ved skrivelse af 1. juni 2010, men afslog at udlevere hans prøvebesvarelse med den begrundelse, at CAI var blevet underrettet om, at besvarelsen ikke udgjorde »personoplysninger« som omhandlet i databeskyttelseslovgivningen.
12. Peter Nowak kontaktede derefter Office of the Data Protection Commissioner, den irske tilsynsførende for databeskyttelses kontor, med henblik på at få bistand og anfægte det anførte om, at hans besvarelse ikke var personoplysninger. I juni 2010 sendte den tilsynsførende for databeskyttelse en e-mail til Peter Nowak for bl.a. at informere ham om, at »prøvebesvarelser ikke generelt bliver behandlet [med henblik på databeskyttelse] […], da dette materiale generelt ikke vil udgøre personoplysninger«.
13. Korrespondancen mellem Peter Nowak og den daværende tilsynsførende for databeskyttelse fortsatte og udmundede i, at Peter Nowak indgav en formel klage den 1. juli 2010. Den 21. juli 2010 skrev den tilsynsførende for databeskyttelse til Peter Nowak og oplyste ham om, at han efter en gennemgang af oplysningerne ikke havde konstateret nogen materiel overtrædelse af databeskyttelseslovgivningen. Det blev endvidere oplyst i denne skrivelse, at det materiale, med hensyn til hvilket Peter Nowak søgte at udøve »en berigtigelsesret, ikke er personoplysninger, som [databeskyttelseslovgivningen] finder anvendelse på«. Den tilsynsførende for databeskyttelse undersøgte derfor ikke klagen yderligere.
14. Peter Nowak indbragte denne afgørelse for de irske domstole, hvor sagen nu verserer for Supreme Court. Denne har forelagt Domstolen følgende spørgsmål:
»1) Kan oplysninger, der er nedskrevet/givet som svar af en deltager i forbindelse med en faglig prøve, være personoplysninger som omhandlet i direktiv 95/46/EF?
2) Hvis svaret på det første spørgsmål er, at alle eller nogle af sådanne oplysninger kan være personoplysninger som omhandlet i direktivet, hvilke faktorer er da relevante for at afgøre, om en sådan besvarelse i givet tilfælde er personoplysninger, og hvilken vægt bør sådanne faktorer tillægges?«
15. I sagen for Domstolen har Peter Nowak og den nuværende irske tilsynsførende for databeskyttelse indgivet skriftlige indlæg som parter i hovedsagen; desuden har Den Hellenske Republik, Irland, Republikken Polen, Den Portugisiske Republik, Republikken Østrig, Ungarn, Den Tjekkiske Republik og Europa-Kommissionen indgivet skriftlige indlæg. I retsmødet den 22. juni 2017 var foruden Peter Nowak og den irske tilsynsførende for databeskyttelse også Irland og Europa-Kommissionen repræsenteret.
IV. Retlig bedømmelse
16. Det centrale spørgsmål i den præjudicielle anmodning er, om prøvebesvarelser skal anses for at være personoplysninger (punkt A). Desuden har nogle procesdeltagere diskuteret, om eventuelle korrekturbemærkninger fra censorer er personoplysninger om prøvedeltageren (punkt B). Og endelig har især Kommissionen udtalt sig om yderligere betingelser for den databeskyttelsesretlige ret til indsigt (punkt C).
A. Prøvebesvarelsen
17. Med de to spørgsmål, som vil blive besvaret under ét, ønsker Supreme Court oplyst, om en skriftlig prøvebesvarelse er omfattet af definitionen af personoplysninger i henhold til databeskyttelsesdirektivets artikel 2, litra a). Baggrunden for dette spørgsmål er, at Peter Nowak, der var eksaminand ved den pågældende prøve, har begæret indsigt i sin prøvebesvarelse i henhold til den databeskyttelsesretlige ret til indsigt, som er fastsat i databeskyttelsesdirektivets artikel 12, og ikke fik medhold i den klage, som han havde indgivet til den daværende irske tilsynsførende for databeskyttelse, over afslaget herpå.
1. Definitionen af personoplysninger
18. Databeskyttelsesdirektivets anvendelsesområde er meget bredt, og de personoplysninger, som er omfattet af direktivet, er meget forskellige (4). I henhold til artikel 2, litra a), er enhver form for information om en identificeret eller identificerbar fysisk person personoplysninger.
a) Kvalificeringen af prøvebesvarelser
19. Efter den nuværende irske tilsynsførende for databeskyttelses opfattelse indeholder en prøvebesvarelse ingen personoplysninger, navnlig ikke når det er tilladt at anvende egne hjælpematerialer. Denne opfattelse er i reglen korrekt ved en isoleret betragtning af besvarelsen af prøveopgaver. Da prøveopgaver normalt er formuleret abstrakt eller omhandler fiktive omstændigheder (5), bør besvarelsen af dem heller ikke omhandle oplysninger om identificerede eller identificerbare fysiske personer.
20. Selv om Supreme Courts spørgsmål faktisk kun synes at omhandle løsningen, nemlig »oplysninger, der er nedskrevet/givet […] af en deltager«, ville det ikke være hensigtsmæssigt at afslutte analysen her.
21. Som det fremføres af næsten alle de øvrige procesdeltagere, indeholder en prøvebesvarelse nemlig ikke kun oplysninger om løsningen af bestemte opgaver, men knytter disse til prøvedeltagerens person, som udarbejder besvarelsen. Besvarelsen dokumenterer, at denne person har deltaget i en bestemt prøve, og hans præstation. Personreferencen i denne præstation ses i øvrigt også af, at prøvedeltagerne ofte medtager de vigtigste prøveresultater i deres cv.
22. Om en besvarelse består af svar, som prøvedeltageren selv har formuleret, eller af udvælgelse af bestemte svar efter multiple choice-metoden, har lige så lidt betydning for kvalificeringen af prøvebesvarelsen som en repræsentation af personoplysninger som muligheden for at anvende bestemte materialer, som der er tale om i den foreliggende sag (»open book exam«).
23. Den pågældende præstations reference til prøvedeltageren tiltager ganske vist i det omfang, han selv skal udvikle svarene. En selvstændig udvikling af en besvarelse består nemlig ikke kun i gengivelse af indlærte informationer, men viser også, hvordan prøvedeltageren tænker og arbejder.
24. I alle tilfælde sigter en prøve imidlertid ikke – til forskel fra f.eks. en repræsentativ rundspørge – mod at indhente oplysninger, som er uafhængige af en person. Den skal tværtimod konstatere og dokumentere en bestemt persons præstation, nemlig prøvedeltagerens. Enhver prøve sigter mod at opnå en yderst personlig og individuel præstation fra prøvedeltagerens side. Det er ikke uden grund, at uberettiget brug af andres præstationer i forbindelse med prøver sanktioneres strengt som forsøg på at snyde.
25. En prøvebesvarelse er følgelig en repræsentation af oplysninger om prøvedeltageren og er for så vidt en samling af personoplysninger.
26. At dette resultat er korrekt, fremgår i øvrigt også af, at en prøvedeltager har en berettiget interesse, som er baseret på beskyttelsen af hans privatliv, i at kunne modsætte sig behandling af hans prøvebesvarelse uden for prøveproceduren. En prøvedeltager skal nemlig ikke acceptere, at hans besvarelse uden hans samtykke videregives til tredjemand eller sågar offentliggøres.
27. Til forskel fra, hvad den irske tilsynsførende for databeskyttelse gør gældende, består de personoplysninger, som er repræsenteret i en prøvebesvarelse, ikke kun i prøvens resultat, den opnåede karakter eller den pointværdi, som gives for bestemte dele af prøven. Disse værdier sammenfatter blot prøvepræstationen, som er dokumenteret i detaljer i selve prøvebesvarelsen.
28. Det ændrer ikke på kvalificeringen af en prøvebesvarelse som en repræsentation af personoplysninger, hvis besvarelsen mærkes med et kodenummer eller en stregkode i stedet for med prøvedeltagerens navn. Ifølge databeskyttelsesdirektivets artikel 2, litra a), er det nemlig tilstrækkeligt for, at der er tale om personoplysninger, at den pågældende person kan identificeres indirekte (6). Og i det mindste såfremt prøvedeltageren anmoder om besvarelsen hos den organisation, som har afholdt prøven, kan denne identificere ham ved hjælp af kodenummeret.
b) Håndskriftens betydning
29. Peter Nowak, Polen og Den Tjekkiske Republik har også med rette gjort den opfattelse gældende, at håndskrevne besvarelser indeholder supplerende oplysninger om prøvedeltageren, nemlig om hans håndskrift. En håndskrevet besvarelse er dermed i praksis en skriftprøve, som i det mindste potentielt på et senere tidspunkt kan anvendes som indikation ved en undersøgelse af, om en anden tekst ligeledes er affattet med prøvedeltagerens håndskrift. Den kan altså give oplysning om besvarelsens forfatters identitet.
30. Spørgsmålet om, hvorvidt en sådan skriftprøve er egnet til at identificere den skrivende uden tvivl, kan ikke spille nogen rolle for klassificeringen som personoplysninger. Mange andre personoplysninger giver nemlig heller ikke isoleret mulighed for at identificere personer uden tvivl. Derfor er det heller ikke nødvendigt at afgøre, om håndskriften skal anses for at være en biometrisk oplysning.
2. Formålet med retten til indsigt
31. I modsætning til Irlands opfattelse taler heller ikke formålet med retten til indsigt i personoplysninger, som er anført i 41. betragtning til databeskyttelsesdirektivets, imod at klassificere en prøvebesvarelse som personoplysninger. Ifølge denne betragtning skal enhver have ret til indsigt i de oplysninger om sig selv, som gøres til genstand for behandling, så den pågældende kan forvisse sig om oplysningernes rigtighed og behandlingens lovlighed. Irland frygter, at prøvedeltageren på dette grundlag, sammenholdt med retten til berigtigelse, som er fastsat i artikel 12, litra b), vil kræve, at forkerte prøvesvar rettes.
a) Formålsorienteret fortolkning af begrebet personoplysninger
32. Indledningsvis skal det bemærkes, at det i den foreliggende sag først i anden række drejer sig om retten til indsigt, idet det primære spørgsmål er fortolkningen af begrebet personoplysninger. Som Kommissionen korrekt redegjorde for i retsmødet, tager mange andre rettigheder i databeskyttelsesdirektivet udgangspunkt i dette begreb. Således kræver artikel 6, stk. 1, litra a), at personoplysninger skal behandles rimeligt og lovligt, og litra b) fastsætter formålsbegrænsningen for personoplysninger.
33. I forbindelse med den foreliggende sag er det af særlig interesse, at kontrolmyndigheder i henhold til artikel 8, stk. 3, i chartret om grundlæggende rettigheder, artikel 16, stk. 2, TEUF og databeskyttelsesdirektivets artikel 28 i fuld uafhængighed skal påse overholdelsen af Unionens regler om beskyttelse af fysiske personer i forbindelse med behandling af sådanne oplysninger (7). I denne forbindelse garanterer chartrets artikel 8, stk. 1 og 3, og databeskyttelsesdirektivets artikel 28, stk. 4, de personer, som de pågældende oplysninger vedrører, en ret til at indgive en anmodning til de nationale tilsynsmyndigheder med henblik på beskyttelse af deres grundlæggende rettigheder (8).
34. Derfor kan kvalificeringen af oplysninger som personoplysninger ikke gøres afhængig af, om der findes specifikke regler om indsigten i disse oplysninger, som muligvis kunne gælde ved siden af retten til indsigt eller i stedet for denne. Problemer i forbindelse med en ret til berigtigelse kan heller ikke være afgørende for konstateringen af, om der foreligger personoplysninger. Såfremt der tages afgørende hensyn til disse faktorer, kan visse personoplysninger nemlig blive udelukket fra hele databeskyttelsesdirektivets beskyttelsessystem, selv om de regler, der i stedet skulle anvendes, ikke sikrer en ligeværdig, men højst en fragmentarisk beskyttelse.
b) Berigtigelse af oplysninger
35. Hvis man imidlertid koncentrerer sig om retten til indsigt og spørgsmålet om berigtigelse, må det anerkendes, at denne ret for så vidt angår en prøvebesvarelse åbenlyst ikke kan benyttes til i tilslutning til oplysningen at kræve en berigtigelse af indholdet i besvarelsen, dvs. løsningen, som prøvedeltageren har nedskrevet, i henhold til databeskyttelsesdirektivets artikel 12, litra b) (9). Som Polen med rette har fremhævet, skal personoplysningers rigtighed og fuldstændighed nemlig i henhold til artikel 6, stk. 1, litra d), bedømmes med henblik på det formål, som de indsamles og behandles til. Formålet med en prøvebesvarelse er at konstatere prøvedeltagerens viden og kvalifikationer på prøvetidspunktet, hvilket netop fremgår af hans prøvepræstation og navnlig de deri indeholdte fejl. Fejl i løsningen betyder derfor ikke, at de personoplysninger, som er repræsenteret i besvarelsen, er urigtige.
36. En berigtigelse kan dog komme i betragtning, hvis det skulle vise sig, at besvarelsen dokumenterer den pågældende persons prøvepræstation urigtigt eller ufuldstændigt. Det ville f.eks. være tilfældet, såfremt – som Grækenland har bemærket – en anden prøvedeltagers besvarelse var blevet henført til den pågældende person, hvilket bl.a. ville kunne bevises ved hjælp af håndskriften, eller hvis dele af besvarelsen var gået tabt.
37. I øvrigt kan det ikke udelukkes, at en prøvedeltager på et senere tidspunkt har en berettiget interesse i, at personoplysninger, som er repræsenteret i besvarelsen, slettes i henhold til databeskyttelsesdirektivets artikel 12, litra b), dvs. at besvarelsen tilintetgøres. En sådan interesse må antages senest at foreligge, når besvarelsen på grund af fristers udløb har mistet enhver beviskraft i forbindelse med en kontrol af prøveresultatet. Også denne ret til sletning forudsætter, at det anerkendes, at besvarelsen repræsenterer personoplysninger.
38. Endelig er berigtigelse og de øvrige rettigheder i henhold til databeskyttelsesdirektivets artikel 12, litra b), blokering og sletning, ikke det eneste formål med retten til indsigt.
39. I 41. betragtning beskrives formålet med indsigten ganske vist således, at den pågældende [navnlig] skal kunne forvisse sig om oplysningernes rigtighed og behandlingens lovlighed. Ved at anvende ordet »navnlig«, som findes i de fleste sprogversioner (10), har lovgiver dog allerede vist, at formålet rækker ud over dette. Også uafhængigt af en berigtigelse, sletning eller blokering har de berørte nemlig som regel en berettiget interesse i at erfare, hvilke oplysninger om dem, den ansvarlige behandler.
40. Det er ganske vist korrekt, at når det gælder en prøvebesvarelse, må prøvedeltagerens informationsbehov i første omgang formodes at være meget begrænset. Han vil nemlig som regel stadig kunne huske indholdet af sine svar relativt godt og også regne med, at den organisation, som har afholdt prøven, opbevarer hans besvarelse.
41. Allerede nogle år senere må mindet imidlertid formodes at være betydeligt svagere, således at en eventuel anmodning om indsigt vil modsvare et faktisk informationsbehov, uanset af hvilke grunde det opstår. Efterhånden som tiden går – især efter udløbet af eventuelle klage- og kontrolfrister – tiltager desuden usikkerheden om, hvorvidt besvarelsen stadig bliver opbevaret. I denne situation må prøvedeltageren i det mindste kunne få oplyst, om hans besvarelse stadig bliver opbevaret. Også denne ret forudsætter, at det anerkendes, at besvarelsen er et udtryk for personoplysninger om prøvedeltageren.
c) Misbrug af retten til indsigt
42. Supplerende vil jeg behandle spørgsmålet om misbrug af databeskyttelsesretlige rettigheder, da Peter Nowaks klage af den tilsynsførende for databeskyttelse nationalt er blevet kvalificeret som misbrug, ligesom Den Tjekkiske Republik i den foreliggende sag har kvalificeret hans krav om indsigt som misbrug. Dette foreholdte synes at være forbundet med det forhold, at Peter Nowak ikke har benyttet proceduren for kontrol af prøveresultatet, men derimod har fremsat et krav om indsigt i henhold til databeskyttelseslovgivningen.
43. Det er korrekt, at borgerne ikke med henblik på misbrug eller på svigagtig vis må gøre EU-retlige bestemmelser gældende (11).
44. Konstatering af et misbrug kræver, at både en objektiv og en subjektiv betingelse er opfyldt. Med hensyn til den objektive betingelse skal det for det første fremgå af et sammenfald af objektive omstændigheder, at det formål, som EU-bestemmelserne forfølger, ikke opnås, selv om betingelserne i disse EU-retlige bestemmelser formelt er overholdt. En sådan konstatering kræver for det andet et subjektivt element i den forstand, at det skal fremgå af en samlet række objektive omstændigheder, at hovedformålet med de omhandlede transaktioner er opnåelsen af en uberettiget fordel. Forbuddet mod misbrug mister nemlig sin relevans, når der kan være en anden begrundelse for de omhandlede transaktioner end blot at opnå en (uberettiget) fordel (12).
45. Såfremt prøvebesvarelser repræsenterer personoplysninger, går man ifølge den tilsynsførende for databeskyttelses og Irlands opfattelse fejl af målet for databeskyttelsesdirektivet, idet en databeskyttelsesretlig ret til indsigt ville gøre det muligt at omgå reglerne om prøveproceduren og indsigelse mod prøveresultater.
46. En angivelig omgåelse af proceduren for prøven og for indsigelse mod prøveresultatet ved hjælp af den databeskyttelsesretlige ret til indsigt skal imidlertid imødegås med databeskyttelsesdirektivets instrumenter. Her henvises især til artikel 13, som tillader, at der for at beskytte bestemte interesser, som anføres i artiklen, kan fastsættes undtagelser fra retten til indsigt.
47. For så vidt som disse grunde i bestemte situationer, som muligvis i forbindelse med prøver ikke støtter en undtagelse, må det anerkendes, at lovgiver har givet de databeskyttelsesretlige rettigheder, som underbygges af de grundlæggende rettigheder, forrang frem for de konkret berørte andre interesser.
48. Det skal dog bemærkes, at den kommende generelle forordning om databeskyttelse mildner dette spændingsforhold. For det første må retten til at modtage en kopi af personoplysninger i henhold til forordningens artikel 15, stk. 4, ikke krænke andres rettigheder og frihedsrettigheder. For det andet formuleres i forordningens artikel 23 grundene til at begrænse databeskyttelsesretlige garantier noget bredere end i direktivets artikel 13, da navnlig andre vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser i henhold til forordningens artikel 23, stk. 1, litra e), kan begrunde begrænsninger.
49. Derimod er den blotte eksistens af andre nationale regler, som også omhandler indsigt i prøvebesvarelser, ikke tilstrækkeligt til at lægge til grund, at direktivets formål ikke nås.
50. Men selv hvis det lægges til grund, at direktivets mål ikke nås, fremgår det ikke, hvori den uberettigede fordel skulle ligge, hvis en prøvedeltager får adgang til sin besvarelse via retten til indsigt. Navnlig kan det ikke anses for misbrug, at man via retten til indsigt får indsigt i oplysninger, som man ellers ikke kunne få indsigt i. I det omfang, der allerede er ret til indsigt i personoplysninger, ville der nemlig ikke have været behov for at indføre den databeskyttelsesretlige ret til indsigt. Den databeskyttelsesretlige ret til indsigt har tværtimod den funktion at give den berørte – med forbehold af undtagelserne på grundlag af databeskyttelsesdirektivets artikel 13 – adgang til egne oplysninger, når der ellers ikke er ret til indsigt.
3. Foreløbig konklusion
51. Det må således sammenfattende fastholdes, at en håndskrevet prøvebesvarelse, som kan henføres til en prøvedeltager, er personoplysninger som omhandlet i databeskyttelsesdirektivets artikel 2, litra a).
B. Eventuelle rettelser og kommentarer på prøvebesvarelsen
52. Nogle af procesdeltagerne og navnlig Peter Nowak har stillet spørgsmålet om, hvorvidt eventuelle rettelser og kommentarer på prøvebesvarelsen ligeledes er personoplysninger om prøvedeltageren.
53. For afgørelsen i hovedsagen er det imidlertid ikke nødvendigt at besvare dette spørgsmål, da det i sagen ikke drejer sig om, hvorvidt eventuelle rettelser og kommentarer er oplysninger om Peter Nowak. Sagens genstand er derimod, om den daværende irske tilsynsførende for databeskyttelse retmæssigt kunne afslå Peter Nowaks klage med den begrundelse, at hans prøvebesvarelse som udgangspunkt ikke udgør personoplysninger. Spørgsmålet om, hvorvidt også rettelser og kommentarer skal anses for at være personoplysninger vedrørende prøvedeltageren, skal ikke afgøres af Supreme Court, men – såfremt sagsøgeren gives medhold – i første omgang af den nuværende irske tilsynsførende for databeskyttelse. Jeg vil til trods herfor drøfte dette spørgsmål for det tilfælde, at Domstolen alligevel tager dette aspekt op.
54. Til forskel fra, hvad der er gældende for prøvebesvarelsen i sin helhed, er det vanskeligt at forestille sig en databeskyttelsesretlig ret til berigtigelse, sletning eller blokering af urigtige oplysninger, når det gælder rettelser og bemærkninger. Det synes nemlig udelukket, at de rettelser og kommentarer, der er foretaget på besvarelsen, faktisk vedrører en anden besvarelse eller ikke afspejler censors opfattelse. Det er netop denne opfattelse, de skal dokumentere. I databeskyttelsesdirektivets forstand ville de derfor heller ikke være forkerte og kræve berigtigelse, hvis den bedømmelse, som dokumenteres i anmærkningerne, ikke var objektivt begrundet.
55. Eventuelle indsigelser mod rettelserne og kommentarerne ville derfor skulle behandles inden for rammerne af en indsigelse mod bedømmelsen af besvarelsen.
56. Man kunne dog forestille sig, at den ovenfor anførte ret til sletning vedrørende besvarelsen også omfatter rettelser og kommentarer.
57. Alligevel ville en ret til indsigt for så vidt angår rettelserne og kommentarerne primært have til formål at informere prøvedeltageren om bedømmelsen af bestemte passager i hans besvarelse.
58. Hvad dette angår ligner den foreliggende sag den sag, hvor Domstolen afviste en udstrækning af retten til indsigt til også at omfatte udkastet til en juridisk analyse af en asylansøgning, idet dette ikke tjente databeskyttelsesdirektivets formål, men formålet om at sikre den pågældende ret til indsigt i administrative dokumenter (13). I den foreliggende sag kunne det lægges til grund, at indsigt i oplysninger om bedømmelsen af en prøvebesvarelse primært bør opnås inden for rammerne af prøveproceduren eller en særlig procedure til at klage over prøveafgørelser, og ikke på grundlag af databeskyttelsesretten. I det omfang prøveproceduren desuden ikke afgøres af EU-retten, vil en eventuel ret til indsigt i denne forbindelse alene afhænge af national ret.
59. Desuden fastslog Domstolen i den nævnte dom, at en sådan juridisk analyse ikke udgør en information om ansøgeren om opholdstilladelse, men snarere en information om den kompetente myndigheds bedømmelse og anvendelse af retsregler i forhold til ansøgerens situation (14). Også denne konstatering kunne man ved første blik overføre på rettelser og kommentarer. De ville da kun vise, hvordan censor bedømmer svarene.
60. Det er på ingen måde nødvendigt, at en censor, når han retter en besvarelse, ved, hvem der har udarbejdet den. Tværtimod lægges der som i hovedsagen i mange skriftlige prøveprocedurer vægt på, at censorerne ikke kender deltagernes identitet, så interessekonflikter eller forudindtagethed kan udelukkes. Deres rettelser og kommentarer har i så fald – som det vel også er tilfældet for den omtvistede prøve – i første omgang ingen relation til prøvedeltagerens person.
61. Alligevel har sådanne rettelser og bemærkninger til formål at bedømme prøvepræstationen og relaterer således indirekte til prøvedeltageren. Den organisation, som afholder prøven, kan også identificere ham uden problemer og knytte ham til rettelserne og kommentarerne, så snart den rettede opgave kommer retur fra censor.
62. Som Østrig desuden har gjort gældende, er rettelser og kommentarer på besvarelsen – til forskel fra f.eks. en kort udtalelse om besvarelsen – som regel uløseligt forbundet med besvarelsen, idet de ikke ville havde nogen hensigtsmæssig udsagnskraft uden denne. Selve besvarelsen repræsenterer imidlertid – som der er redegjort for ovenfor – personoplysninger om prøvedeltageren. Disse oplysninger indsamles og behandles desuden netop med det formål at gøre den bedømmelse af prøvedeltagerens præstation, som udtrykkes i rettelserne og kommentarerne, mulig.
63. Allerede på grund af denne tætte sammenhæng mellem prøvebesvarelsen og de rettelser og kommentarer, der er foretaget på den, er også sidstnævnte personoplysninger om prøvedeltageren i henhold til databeskyttelsesdirektivets artikel 2, litra a).
64. I forhold til dette kan muligheden for at omgå klageproceduren i forbindelse med prøven ikke udelukke anvendelsen af databeskyttelsesretten. Den omstændighed, at der muligvis parallelt findes yderligere regler om indsigt i bestemte oplysninger, kan nemlig ikke fortrænge databeskyttelsesretten. Det forekommer højst at være tilladeligt at henvise de berørte til parallelle rettigheder til indsigt, så længe disse kan anvendes effektivt.
65. For fuldstændighedens skyld skal det bemærkes, at rettelser og kommentarer samtidig er personoplysninger om censor. Dennes rettigheder er grundlæggende egnet til at begrunde begrænsninger i retten til indsigt i henhold til databeskyttelsesdirektivets artikel 13, stk. 1, litra g), hvis de vejer tungere i forhold til prøvedeltagerens berettigede interesser. Den endelige løsning på denne potentielle interessekonflikt vil som hovedregel være at tilintetgøre den rettede besvarelse, så snart en efterfølgende kontrol af prøveproceduren ikke længere er mulig, fordi tiden er udløbet.
C. De øvrige anvendelsesbetingelser for databeskyttelsesdirektivet
66. Kommissionen har med rette påpeget, at anvendelsen af databeskyttelsesdirektivet og retten til indsigt er underlagt yderligere betingelser ud over eksistensen af personoplysninger og også tillader en begrænsning af retten til indsigt.
67. Der spørges imidlertid ikke til disse yderligere betingelser og begrænsningsmuligheder, og Domstolen behøver derfor ikke at behandle dem. Det synes heller ikke at være nødvendigt at drøfte dem, for at Supreme Court kan træffe afgørelse om, hvorvidt det var retmæssigt, at den daværende irske tilsynsførende for databeskyttelse afslog at undersøge Peter Nowaks klage yderligere.
68. Såfremt Domstolen alligevel ønsker at udtale sig om disse spørgsmål, er det ved første blik især databeskyttelsesdirektivets artikel 3, stk. 1, der er interessant. Ifølge denne bestemmelse anvendes direktivets bestemmelser kun på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af edb, samt på ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
69. Peter Nowaks prøvebesvarelse er tilsyneladende ikke nødvendigvis blevet behandlet ved hjælp af edb, f.eks. ved at blive indlæst og gemt i et edb-anlæg. Alligevel må det lægges til grund, at den i det mindste er en del af et »register«. Et register skal nemlig i henhold til databeskyttelsesdirektivets artikel 2, litra c), ikke nødvendigvis gemmes i et edb-anlæg. Tværtimod omfatter dette begreb enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier. En fysisk samling af prøvebesvarelser på papir, som er struktureret alfabetisk eller efter andre kriterier, opfylder disse krav.
V. Forslag til afgørelse
70. Jeg foreslår derfor Domstolen at træffe afgørelse som følger:
»En håndskrevet prøvebesvarelse, som kan henføres til en prøvedeltager, er inklusive censorers eventuelle rettelser og kommentarer personoplysninger som omhandlet i artikel 2, litra a), i direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.«