CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2015:426

FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

P. CRUZ VILLALÓN

fremsat den 25. juni 2015 (1)

Sag C-230/14

Weltimmo s.r.o.

mod

Nemzeti Adatvédelmi és Információszabadság Hatóság

(anmodning om præjudiciel afgørelse indgivet af Kúria (Ungarn))

»Beskyttelse af personoplysninger – direktiv 95/46/EF – artikel 4, stk. 1, og artikel 28, stk. 1, 3 og 6 – registeransvarlig med etablering på en anden medlemsstats område – fastlæggelse af gældende ret og kompetent tilsynsmyndighed – tilsynsmyndighedens beføjelser – sanktionsbeføjelse – begrebet »behandling af oplysninger««

1. De af Kúria (Ungarns højesteret) forelagte præjudicielle spørgsmål udspringer af en sag anlagt af Magyar Adatvédelmi és Információszabadság Hatóság (herefter »den ungarske databeskyttelsesmyndighed«) mod en virksomhed, der administrerer en »webside« med formidling af fast ejendom, som er registreret i Slovakiet, og hvorpå der annonceres for ejendomme beliggende i Ungarn.

2. Dermed giver den foreliggende sag atter Domstolen lejlighed til at tage stilling til, hvilke retsregler der finder anvendelse på behandling af oplysninger i henhold til artikel 4, stk. 1, litra a), i direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (2), som tidligere er blevet fortolket i dommen i sagen Google Spain og Google (3). Endvidere rejses der i den foreliggende sag nye spørgsmål, dels med hensyn til, hvilken tilsynsmyndighed der har kompetence, og dels med hensyn til, hvilke nationale retsregler den pågældende myndighed skal anvende, samt hvilke beføjelser den råder over, navnlig hvad angår dens beføjelser til at pålægge sanktioner.

I – Retsforskrifter

A – EU-retlige forskrifter

3. I direktiv 95/46 fastsættes forskellige kriterier for fastlæggelsen af gældende ret i forbindelse med behandling af personoplysninger. Det fremgår af 18. betragtning til direktivet, at »for at forhindre, at en person unddrages den beskyttelse, der sikres ved dette direktiv, skal enhver behandling af personoplysninger inden for Fællesskabet være i overensstemmelse med lovgivningen i en af medlemsstaterne; med henblik herpå bør enhver behandling af oplysninger være underkastet lovgivningen i den medlemsstat, hvor den registeransvarlige, under hvis myndighed behandlingen udføres, er etableret«.

4. Det fremgår endvidere af 19. betragtning til direktiv 96/46, at der »ved etablering på en medlemsstats område forstås faktisk udøvelse af aktiviteter gennem en mere permanent struktur; den pågældende strukturs retlige form, hvad enten det blot er en filial eller et datterselskab med status som juridisk person, har ikke afgørende betydning i denne forbindelse […]«. Det fremgår af samme betragtning, at »en registeransvarlig, som er etableret på flere medlemsstaters område, især i form af datterselskaber, [...] navnlig for at undgå omgåelse, [skal] sikre sig, at hver enkelt struktur opfylder kravene i den gældende nationale lovgivning«.

5. Artikel 4, stk. 1, i direktiv 95/46, hvis litra a) er relevant i forbindelse med den foreliggende sag, udgør reglen vedrørende gældende ret i forbindelse med behandling af oplysninger, idet følgende bestemmes heri:

»1. Medlemsstaterne anvender de nationale bestemmelser, de vedtager til gennemførelse af dette direktiv, på behandling af personoplysninger:

a) der foretages som led i en virksomheds eller et organs aktiviteter inden for den medlemsstats område, hvor den registeransvarlige er etableret; en registeransvarlig, som er etableret på flere medlemsstaters område, skal træffe de nødvendige foranstaltninger til at sikre, at hver af disse virksomheder eller organer opfylder kravene i den gældende nationale lovgivning

[…]«

6. Artikel 28, som er den bestemmelse, der omhandler tilsynsmyndighederne inden for databeskyttelsesområdet, bestemmer følgende i stk. 1, 3, 4 og 6:

»1. Hver medlemsstat drager omsorg for, at der udpeges en eller flere offentlige myndigheder, der har til opgave på dens område at påse overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af dette direktiv.

Disse myndigheder udøver i fuld uafhængighed de funktioner, der tillægges dem.

[…]

3. Hver tilsynsmyndighed skal bl.a. kunne:

– iværksætte undersøgelser og bl.a. have adgang til de oplysninger, der gøres til genstand for en behandling, og til at indsamle alle oplysninger, der er nødvendige for at varetage dens tilsynsopgaver

– gribe effektivt ind ved f.eks. at afgive udtalelser forud for iværksættelsen af behandlingerne i henhold til artikel 20 og sikre en passende offentliggørelse af disse udtalelser, at beordre oplysninger blokeret, slettet eller tilintetgjort, midlertidigt eller definitivt at forbyde en behandling, at udstede en advarsel til den registeransvarlige eller påtale en overtrædelse over for den registeransvarlige eller ved at høre parlamenter eller andre nationale politiske institutioner

– indbringe overtrædelser af de nationale bestemmelser, som vedtages til gennemførelse af dette direktiv, for retsinstanserne eller gøre retsinstanserne opmærksom på disse overtrædelser.

Afgørelser truffet af tilsynsmyndigheden, som går en involveret part imod, kan indbringes for en retsinstans.

4. Enhver kan, eventuelt repræsenteret ved en sammenslutning, til tilsynsmyndigheden indgive en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger. Den pågældende underrettes om, hvorledes sagen følges op.

Enhver kan til tilsynsmyndigheden især indgive en anmodning om at få kontrolleret en behandlings lovlighed, når de nationale bestemmelser, der er truffet i henhold til artikel 13 i dette direktiv, finder anvendelse. Den pågældende underrettes i alle tilfælde om, at der er blevet foretaget en kontrol.

[…]

6. Den enkelte tilsynsmyndighed er, uanset hvilken national lov der måtte gælde for den pågældende behandling, kompetent til på sin medlemsstats område at udøve de beføjelser, der tillægges den i overensstemmelse med stk. 3 i denne artikel. Myndigheden kan blive anmodet om at udøve sine beføjelser af en myndighed i en anden medlemsstat.

Tilsynsmyndighederne samarbejder med hinanden i det omfang, det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle alle nyttige oplysninger.

[...]«

B – Ungarsk ret

7. Lov CXII af 2011 om informationsmæssig selvbestemmelse og informationsfrihed (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011, herefter »informationsloven«) er den nationale retsforskrift, hvorved direktiv 95/46 gennemføres.

8. Informationslovens § 2 bestemmer:

»(1) Denne lovs anvendelsesområde omfatter enhver behandling og bearbejdning af data, som finder sted på Ungarns område, og som vedrører oplysninger om fysiske personer samt oplysninger af almen interesse eller oplysninger, som er tilgængelige af hensyn til den almene interesse.

(2) Loven finder anvendelse på såvel behandling som bearbejdning af data, uanset om det foregår manuelt eller på fuld- eller semiautomatisk vis.

(3) Bestemmelserne i denne lov finder anvendelse, når den registeransvarlige, som behandler personlige oplysninger uden for Den Europæiske Unions område, overlader databearbejdningen til en ansvarlig for bearbejdning af oplysninger, som har sit hjemsted, et foretagende, en filial, sin private adresse eller bopæl på Ungarns område, eller anvender et medie, der befinder sig på dette område, medmindre dette medie alene anvendes med henblik på videreformidling gennem Den Europæiske Unions område. Den registeransvarlige skal udpege en repræsentant på Ungarns område.«

9. Det bestemmes endvidere i informationslovens § 3, at der i denne lov gælder følgende definitioner:

»(9) registeransvarlig (»adatkezelő«): en fysisk eller juridisk person eller en enhed, som ikke er en juridisk person, der alene eller i fællesskab med andre fastsætter formålet med behandlingen af oplysninger, træffer beslutninger om den pågældende behandling (herunder hvilke medier der skal anvendes i forbindelse hermed), og forestår behandlingen selv eller via en ansvarlig for bearbejdning af oplysninger (»adatfeldolgozó«)

(10) behandling af oplysninger (»adatkezelés«): enhver operation eller række af operationer, som oplysningerne gøres til genstand for, uanset hvilken fremgangsmåde der anvendes, herunder navnlig indsamling, opfangning, registrering, systematisering, opbevaring, ændring, brug, søgning, videregivelse, offentliggørelse, sammenstilling eller samkøring, blokering, sletning eller tilintetgørelse samt forhindring af anden anvendelse af oplysningerne, opfangning af fotografier, lyde eller billeder eller registrering af fysiske kendetegn, der tjener til identifikation af personerne (f.eks. fingeraftryk, håndfladeaftryk, DNA-prøver eller irisbillede)

(11) videregivelse af oplysninger: når oplysningerne gøres tilgængelige for en nærmere bestemt tredjemand

[…]

(17) bearbejdning af oplysninger (»adatfeldolgozás«): udførelse af tekniske opgaver i forbindelse med behandlingen af oplysninger, uanset hvilken metode og hvilket medie der anvendes i forbindelse hermed, og uanset hvor opgaverne udføres, så længe oplysningerne er genstand for de tekniske opgaver

(18) ansvarlig for bearbejdning af oplysninger (»adatfeldolgozó«): en fysisk eller juridisk person eller en enhed, som ikke er en juridisk person, der i henhold til en kontrakt – herunder de lovbestemte kontrakter – varetager bearbejdningen af oplysningerne

[…]«

II – De faktiske omstændigheder og retsforhandlingerne i hovedsagen

10. Det foreliggende præjudicielle spørgsmål rejses i forbindelse med en appelsag iværksat ved Kúria til prøvelse af den af Fővárosi Közigazgatási és Munkaügyi Bíróság (forvaltnings- og arbejdsretten i Budapest) afsagte dom i en forvaltningssag om databeskyttelse mellem selskabet Weltimmo s.r.o. (herefter »Weltimmo«) og den ungarske databeskyttelsesmyndighed.

11. Weltimmo er et selskab, som administrerer en webside med formidling af fast ejendom, og som har hjemsted i Slovakiet. Selskabet beskæftiger sig med driften af den nævnte webside, hvorpå der annonceres for ejendomme beliggende i Ungarn. Annoncerne er gratis for annoncøren i den første måned, hvorefter tjenesten bliver en betalingstjeneste. Et betydeligt antal annoncører anmodede via e-mail om sletning af såvel deres annoncer som deres personlige oplysninger, eftersom de ikke ønskede at overgå til betalingstjenesten efter den første måned. Weltimmo imødekom imidlertid ikke disse anmodninger, men fortsatte med at fakturere sine tjenester. Som følge af den manglende betaling af fakturaerne videregav Weltimmo annoncørernes personlige oplysninger til inkassofirmaer.

12. På grundlag af de af annoncørerne indgivne klager fastslog den ungarske databeskyttelsesmyndighed, at den var kompetent, samt at national ret var gældende i sagen (i henhold til informationslovens § 3, stk. 10, udgør indsamling af oplysninger en databehandling), hvorefter den pålagde en bøde på 10 mio. HUF. Afgørelsen blev indklaget af Weltimmo til forvaltnings- og arbejdsretten i Budapest, som ikke satte spørgsmålstegn ved hverken databeskyttelsesmyndighedens kompetence eller gældende ret, men som alligevel annullerede den administrative afgørelse på grund af en utilstrækkelig afklaring af visse af de anførte faktiske omstændigheder.

13. Weltimmo nedlagde i sin appel bl.a. påstand om, at det skulle fastslås, at der ikke var grundlag for en yderligere afklaring af de faktiske omstændigheder, eftersom den ungarske databeskyttelsesmyndighed i henhold til artikel 4, stk. 1, litra a), i direktiv 95/46 ikke havde kompetence til at behandle en sag og til at anvende ungarsk ret i forbindelse med en tjenesteyder, der havde hjemsted i en anden medlemsstat, og appellanten gjorde i denne forbindelse navnlig gældende, at den pågældende myndighed i henhold til direktivets artikel 28, stk. 6, skulle have anmodet den tilsvarende slovakiske myndighed om at gribe ind.

14. Den ungarske databeskyttelsesmyndighed gjorde til støtte for sin kompetence og anvendeligheden af ungarsk ret gældende i hovedsagen, at Weltimmo havde en »ungarsk kontaktperson« – nærmere bestemt en af selskabets indehavere, der var ungarsk statsborger – som havde repræsenteret selskabet såvel i den administrative sag som i den nationale retssag. Myndigheden gjorde endvidere gældende, at Weltimmos indehavere er bosiddende i Ungarn. Det var under alle omstændigheder myndighedens opfattelse, at den ved artikel 28, stk. 6, i direktiv 95/46 blev tillagt kompetence, uanset hvilken ret der var gældende.

III – De præjudicielle spørgsmål og retsforhandlingerne ved Domstolen

15. Inden for disse rammer, og eftersom de relevante bestemmelser i direktiv 95/46 ikke anses for at være tilstrækkelig klare, har Kúria i sin kendelse af 22. april 2014, som blev indført i Domstolens register den 12. maj 2014, indgivet følgende præjudicielle spørgsmål:

»1) Skal artikel 28, stk. 1, i [direktiv 95/46] fortolkes således, at en medlemsstats nationale bestemmelser inden for medlemsstatens område kan finde anvendelse på en ansvarlig for behandling af oplysninger, som udelukkende er etableret i en anden medlemsstat, og som driver en webside med formidling af fast ejendom, hvor der bl.a. annonceres for ejendomme beliggende på den førstnævnte medlemsstats område, når indehaverne af ejendommene har videregivet deres personlige oplysninger til et medie (server), hvor oplysningerne opbevares og bearbejdes, og som tilhører websidens administrator og er placeret i en anden medlemsstat?

2) Skal artikel 4, stk. 1, litra a), i databeskyttelsesdirektivet, sammenholdt med direktivets 18.-20. betragtning samt artikel 1, stk. 2, og artikel 28, stk. 1, fortolkes således, at [den ungarske databeskyttelsesmyndighed] ikke kan anvende den ungarske databeskyttelseslov som national ret på en administrator af en webside med formidling af fast ejendom, som udelukkende er etableret i en anden medlemsstat, selv om der på websiden bl.a. annonceres for ungarske ejendomme, hvis indehavere – formentlig fra ungarsk område – har videregivet oplysninger om deres ejendomme til et medie (server), hvor oplysningerne opbevares og bearbejdes, og som tilhører websidens administrator og er placeret i en anden medlemsstat?

3) Har det betydning for fortolkningen, om den tjenesteydelse, der leveres af den databehandlingsansvarlige person, som administrerer websiden, er rettet mod en anden medlemsstats område?

4) Har det betydning for fortolkningen, om oplysningerne vedrørende de ejendomme, der befinder sig på den anden medlemsstats område, samt indehavernes personlige oplysninger faktisk er indsamlet på denne anden medlemsstats område?

5) Har det betydning for fortolkningen, om de personlige oplysninger i forbindelse med de pågældende ejendomme er personlige oplysninger om en anden medlemsstats borgere?

6) Har det betydning for fortolkningen, om indehaverne af den i Slovakiet etablerede virksomhed har bopæl i Ungarn?

7) Såfremt det ud fra besvarelsen af ovenstående spørgsmål viser sig, at den ungarske databeskyttelsesmyndighed kan behandle en sag, men ikke kan anvende national ret, idet den derimod skal anvende etableringsmedlemsstatens ret, skal databeskyttelsesdirektivets artikel 28, stk. 6, da fortolkes således, at den ungarske databeskyttelsesmyndighed alene kan udøve de beføjelser, der er fastsat i databeskyttelsesdirektivets artikel 28, stk. 3, i overensstemmelse med bestemmelserne i etableringsmedlemsstatens lovgivning, og at den derfor ikke har beføjelse til at pålægge en bøde?

8) Skal begrebet »adatfeldolgozás« [...], der anvendes i såvel artikel 4, stk. 1, litra a), som artikel 28, stk. 6, i [den ungarske version af] databeskyttelsesdirektivet, anses for at være identisk med begrebet »adatkezelés« [i direktivets terminologi]?«

16. Der er indgivet skriftlige indlæg af den ungarske regering, den slovakiske regering, Det Forenede Kongeriges regering, den ungarske databeskyttelsesmyndighed samt Europa-Kommissionen. På retsmødet, der blev afholdt den 12. marts 2015, deltog den ungarske regering, den slovakiske regering, den polske regering, den ungarske databeskyttelsesmyndighed samt Europa-Kommissionen.

IV – Analyse

17. De forskellige præjudicielle spørgsmål, som er forelagt af Kúria, vedrører to problemstillinger, der fremstilles som indbyrdes relaterede, men som bør behandles særskilt, således som det fremgår af de skriftlige og mundtlige indlæg, der er indgivet under proceduren ved Domstolen. Det drejer sig nærmere bestemt om, hvilken ret der er gældende i forbindelse med behandlingen af oplysninger, samt om, hvilken tilsynsmyndighed der har kompetence. Mit ræsonnement vil af denne grund være opdelt i to. I første omgang vil jeg behandle spørgsmålet om gældende ret i forbindelse med behandling af oplysninger, og helt konkret spørgsmålet om »etablering«, idet jeg i denne forbindelse vil foretage en samlet analyse af første til sjette spørgsmål. Dernæst vil jeg analysere spørgsmålet om, hvilken tilsynsmyndighed der har kompetence, samt hvilke beføjelser den tillægges, idet jeg samtidig vil undersøge spørgsmålet om den mulige afkobling mellem den kompetente tilsynsmyndighed og gældende ret (syvende spørgsmål). Til sidst vil jeg behandle det terminologiske spørgsmål, der rejses i det ottende præjudicielle spørgsmål.

A – Gældende ret i forbindelse med behandling af oplysninger samt begrebet etablering (første til sjette præjudicielle spørgsmål)

18. Med det første til sjette præjudicielle spørgsmål, som bør behandles samlet, ønsker Kúria i det væsentlige at vide, om artikel 4, stk. 1, litra a), og artikel 28, stk. 1, i direktiv 95/46 skal fortolkes således, at det i henhold til disse bestemmelser, og under omstændigheder som de i hovedsagen foreliggende, er muligt at anvende den ungarske databeskyttelseslov, samt at det er den ungarske databeskyttelsesmyndighed, der skal anvende denne lov på en administrator af en webside, som udelukkende er etableret i en anden medlemsstat. I denne forbindelse rejser Kúria endvidere spørgsmål om betydningen af en række specifikke faktorer, herunder det forhold, at den pågældende virksomheds tjenesteydelser er rettet mod en anden medlemsstats område, stedet, hvor oplysningerne vedrørende ejendommene er blevet indsamlet, de berørte personers nationalitet samt det forhold, at virksomhedens indehavere har bopæl i Ungarn.

19. Kúria har i sine første to spørgsmål både henvist til direktivets artikel 28, stk. 1, og artikel 4, stk. 1, litra a). Jeg mener imidlertid, at disse spørgsmål kan besvares fuldt ud, uden at det er nødvendigt at foretage en analyse af omfanget af den første af de nævnte bestemmelser. Det eneste, der bestemmes i artikel 28, stk. 1, er således, at »[h]ver medlemsstat drager omsorg for, at der udpeges en eller flere offentlige myndigheder, der har til opgave på dens område at påse overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af dette direktiv«. Denne bestemmelse er efter min opfattelse ikke afgørende for, hvilken ret der er gældende. Set ud fra et systematisk synspunkt henhører artikel 28 for det første under direktivets kapitel VI, som indeholder reglerne for tilsynsmyndigheder og for gruppen til beskyttelse af personer i forbindelse med behandling af personoplysninger, men ikke for spørgsmålet om gældende ret. For det andet tilfører selve ordlyden af direktivets artikel 28, stk. 1, ingen yderligere kriterier for fastlæggelsen af den ret, der er gældende i forbindelse med behandling af oplysninger. Bestemmelsen indeholder kort sagt ingen elementer, der ved en fortolkning heraf kan føre til et andet resultat i forbindelse med fastlæggelsen af gældende ret end de kriterier, der er fastsat i det pågældende direktivs artikel 4, som er den bestemmelse, der specifikt regulerer spørgsmålet om lovvalg.

20. Hvis vi således koncentrerer os om direktivets artikel 4, stk. 1, litra a), skal det indledningsvis bemærkes, at der både i de mundtlige indlæg på retsmødet og i de indlæg, der blev indgivet under den skriftlige procedure, er enighed om, at denne bestemmelse er relevant i forbindelse med besvarelsen af spørgsmålene om lovvalg, ligesom der også er enighed om, at det er særlig vigtigt at fastslå, hvor Weltimmo er etableret.

21. Problemstillingen med hensyn til gældende ret i grænseoverskridende tilfælde af behandling af oplysninger har i flere årtier været et omstridt emne på internationalt plan (4). Direktivets artikel 4, som fastsætter, hvilken national lovgivning der er gældende, er den første retsregel, hvorved det er lykkedes at indføre en lovvalgsregel på dette område (5). I bestemmelsen fastsættes forskellige kriterier for vurderingen af, om de nationale forskrifter, der er vedtaget til gennemførelse af direktivet, finder anvendelse, og derved fastlægges på indirekte vis (gennem fastsættelsen af de nationale bestemmelsers anvendelighed) selve direktivets territoriale anvendelsesområde.

22. Artikel 4, stk. 1, litra a), i direktiv 95/46 har således særlig betydning i de tilfælde, der omhandler spørgsmålet om gældende ret mellem EU’s medlemsstater, idet det bestemmes heri, at »medlemsstaterne anvender de nationale bestemmelser, de vedtager [ (6)] til gennemførelse af dette direktiv, på behandling af personoplysninger: a) der foretages som led i en virksomheds eller et organs aktiviteter inden for den medlemsstats område, hvor den registeransvarlige er etableret«.

23. Dermed udfylder artikel 4, stk. 1, litra a), en dobbelt funktion. Dels gør bestemmelsen det muligt at anvende EU-retten gennem lovgivningen i en af medlemsstaterne, når behandlingen af oplysninger udelukkende foretages »som led« i en virksomheds eller et organs aktiviteter inden for den pågældende medlemsstats område, også selv om den egentlige databehandling foretages i et tredjeland (således som det var tilfældet i sagen Google Spain og Google (7)). Dels fungerer bestemmelsen som lovvalgsregel i sager, der involverer flere medlemsstater (hvilket netop er tilfældet i den foreliggende sag). I sidstnævnte tilfælde er direktivets artikel 4, stk. 1, litra a), den bestemmelse, som fastsætter, hvilken ret der skal finde anvendelse, når der er konflikt mellem de forskellige medlemsstaters lovgivning.

24. Der skal i denne forbindelse erindres om, at de af den nationale ret rejste spørgsmål omhandler en administrator af en webside med annoncer for fast ejendom, som udelukkende er etableret i en anden medlemsstat, og at denne påstand er blevet bestridt af den ungarske databeskyttelsesmyndighed. Efter Det Forenede Kongeriges opfattelse er det åbenbart, at gældende ret i den foreliggende sag skal være etableringsmedlemsstatens ret, i dette tilfælde Slovakiets, hvorfor den ungarske myndighed ikke har mulighed for at anvende bestemmelserne i ungarsk ret. Kommissionen har i overensstemmelse hermed bemærket, at uanset om anvendelsen af ungarsk ret ville kunne antages, hvis det blev konstateret, at sagsøgeren ligeledes er etableret i Ungarn, har Kúria fastslået, at virksomheden i dette tilfælde udelukkende er etableret i en anden medlemsstat.

25. På trods af det faktiske skøn, der foretages i de præjudicielle spørgsmål vedrørende det effektive etableringssted, kan der i det tredje til det sjette af de af Kúria forelagte spørgsmål spores en vis usikkerhed hos den forelæggende ret med hensyn til begrebet etablering, der i direktivet anvendes som et begreb, der muligvis ikke er fuldkommen formelt. Jeg mener af denne grund ikke, at det er muligt at give et brugbart svar på første til sjette spørgsmål, medmindre det fastlægges, hvilke kriterier der skal anvendes for at kunne fastslå, om der har fundet en behandling af oplysninger sted »som led i [den registeransvarliges] virksomheds eller […] organs aktiviteter«, dvs. ungarsk område, i henhold til direktivets artikel 4, stk. 1, litra a).

26. For i den foreliggende sag at kunne afgøre, om det er ungarsk ret, eller derimod slovakisk ret, der er gældende, er det derfor nødvendigt at opdele undersøgelsen i to faser efter den samme metode, som blev anvendt i dommen i sagen Google Spain og Google (8). Det skal derfor i første omgang undersøges, om Weltimmo rådede over en virksomhed eller et organ i Ungarn, og dernæst om behandlingen af oplysninger fandt sted som led i denne virksomheds eller dette organs aktiviteter. Det skal imidlertid bemærkes, at det omtvistede spørgsmål i den foreliggende sag, til forskel fra sagen Google Spain og Google, ikke handler om, hvorvidt behandlingen af oplysninger blev foretaget »som led i en virksomheds eller et organs aktiviteter«. Det afgørende spørgsmål er derimod, om sagsøgeren er etableret i Ungarn og/eller i Slovakiet. Min analyse vil derfor i det væsentlige være koncentreret om denne første fase.

27. Med hensyn til dette spørgsmål har den ungarske regering i sit skriftlige indlæg anført, at de forskellige sprogudgaver af denne bestemmelse taler for en fortolkning af begrebet etablering, hvor det ikke er tilstrækkeligt blot at henvise til etableringsstedet i selskabsretlig forstand. Den slovakiske regering har ligeledes slået til lyd for en ikke-formalistisk fortolkning af begrebet etablering, idet den har bemærket, at det i denne sammenhæng er nødvendigt at henholde sig til Domstolens retspraksis vedrørende etableringsfriheden. Den ungarske databeskyttelsesmyndighed støtter ligeledes en fortolkning af begrebet etablering, hvor det ikke er den retlige form, der er afgørende, idet den har anført, at etableringen kan være i skikkelse af Weltimmos repræsentant i Ungarn, dvs. hr. Benkö i det foreliggende tilfælde. Denne person har således repræsenteret virksomheden under den administrative procedure i første instans, har været i kontakt med de berørte personer, der indgav klagerne, og er registreret i det slovakiske virksomhedsregister med en adresse i Ungarn. Endvidere har myndigheden på retsmødet fremhævet, at Weltimmo råder over en postboks i Ungarn, som anvendes til administration af virksomhedens løbende forretninger, og at myndigheden efter en uformel henvendelse til den slovakiske databeskyttelsesmyndighed har fået bekræftet, at virksomheden ikke udøver nogen effektiv aktivitet i Slovakiet. Kun den polske regering har i sit indlæg på retsmødet holdt fast i nødvendigheden af, at der alene tages hensyn til selskabets indregistrering i en medlemsstat, eftersom dette er det eneste objektive og kontrollérbare element.

28. Når dette er sagt, må der nødvendigvis henvises til 19. betragtning til direktiv 95/46, som udgør et grundlæggende fortolkningsmæssigt element i forbindelse med fastlæggelsen af indholdet af begrebet etablering i den forstand, hvori udtrykket er anvendt i samme direktiv. Således lægges der i den nævnte betragtning op til en fleksibel fortolkning af begrebet, hvor der lægges afstand til den formalistiske tilgangsvinkel, hvorefter en virksomhed alene ville kunne anses for at være etableret på det sted, hvor den er indregistreret. I den nævnte betragtning indføres således for det første et effektivitetskriterium og et kriterium om forretningsstedets varige karakter, idet det bemærkes heri, at »ved etablering på en medlemsstats område forstås faktisk udøvelse af aktiviteter gennem en mere permanent struktur […]«. For det andet gives der mulighed for en betydelig grad af fleksibilitet, for så vidt som det bemærkes, at »den pågældende strukturs retlige form, hvad enten det blot er en filial eller et datterselskab med status som juridisk person, [...] ikke [har] afgørende betydning i denne forbindelse«.

29. Denne opfattelse af begrebet etablering stemmer overens med den måde, hvorpå begrebet er blevet fortolket i Domstolens retspraksis inden for andre områder af EU-retten. Det fremgår navnlig af fast retspraksis, at »begrebet etablering som omhandlet i traktatens bestemmelser vedrørende etableringsfriheden [forudsætter], at der rent faktisk udøves erhvervsmæssig virksomhed ved hjælp af en fast indretning i denne medlemsstat i et ikke nærmere angivet tidsrum« (9), hvilket forudsætter, »at det pågældende selskab faktisk befinder sig i værtsmedlemsstaten og faktisk udøver erhvervsmæssig virksomhed i denne« (10).

30. Endvidere henvises der i udtalelse 8/2010 fra artikel 29-gruppen vedrørende databeskyttelse (herefter »artikel 29-gruppen«) (11) til fortolkningen af begrebet etablering som et kriterium for den afgiftsmæssige tilknytning på momsområdet (12). Domstolens retspraksis på dette område er særlig interessant – idet begrebet etablering optræder som tilknytningskriterium for fastlæggelsen af, hvilken national skatte- og afgiftslovgivning en person er underlagt – og indeholder en grundig gennemgang af begrebet etablering af et fast forretningssted, som »[…] skal være kendetegnet ved en tilstrækkelig permanent karakter og passende struktur med hensyn til de menneskelige og tekniske midler, således at det kan modtage og anvende de ydelser, som dette forretningssted får leveret, til egne formål« (13). Ydermere taler begrebet etablering inden for såvel Romkonventionens (14) som Bruxelleskonventionens (15) anvendelsesområde ligeledes for en ikke-formalistisk fortolkning (16).

31. Uanset at der er indlysende forskelle i såvel kontekst som genstand mellem de områder, hvor Domstolen har fastsat sin retspraksis i de ovennævnte tilfælde, og den sag, vi har med at gøre her, er det under alle omstændigheder af afgørende betydning, at EU-retten på forskellige områder har holdt fast i en fortolkning af begrebet etablering, som er baseret på, om der faktisk udøves erhvervsmæssig virksomhed, og om der foreligger en vis grad af stabilitet, hvilket således er i overensstemmelse med de retningslinjer, der udstikkes i 19. betragtning til direktiv 95/46.

32. Henses der endvidere til det specifikke formål med direktiv 95/46, således som det er fastsat i artikel 1, stk. 1, nemlig at »sikre[...] beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger«, finder jeg det nødvendigt at foretage en fortolkning af, i hvor høj grad strukturen forekommer at være stabil, og i hvilken grad der faktisk udøves aktiviteter, idet der i denne forbindelse skal tages hensyn til den specifikke karakter af den pågældende erhvervsmæssige virksomhed og de pågældende tjenesteydelser.

33. Som den ungarske databeskyttelsesmyndighed og den slovakiske regering har anført, og som det ligeledes fremgår af de af artikel 29-gruppen fastsatte kriterier (17), kan en enkelt agent således være tilstrækkelig til, at det kan antages, at der er tale om en permanent struktur, hvis han optræder med en tilstrækkelig grad af stabilitet og under tilstedeværelse af de ressourcer, som er nødvendige for at kunne præstere de konkrete tjenesteydelser i den pågældende medlemsstat.

34. Som generaladvokat Jääskinen bemærkede i sit forslag til afgørelse i sagen Google Spain og Google, skal der tages hensyn til sagsøgerens forretningsmodel ved bedømmelsen af kravene i artikel 4 i direktiv 95/46 (18). Det er derfor her nødvendigt at vurdere de særlige kendetegn, der er karakteristiske for de virksomheder, som udelukkende driver forretning via internettet, og hvis forretningsmodel relativiserer begrebet fast fysisk forretningssted og ligeledes har indflydelse på omfanget af såvel menneskelige som tekniske midler. Således kan en agent med varig tilstedeværelse, og som ikke er forsynet med meget andet end en bærbar computer, under visse omstændigheder udgøre en tilstrækkelig struktur til faktisk at kunne udøve en aktivitet med en tilstrækkelig grad af stabilitet. Set i lyset af disse betragtninger er det i forbindelse med vurderingen af de pågældende menneskelige og tekniske ressourcer nødvendigt at foretage en omhyggelig iagttagelse af de særlige egenskaber, der kendetegner de virksomheder, som tilbyder tjenester via internettet, idet der samtidig skal tages hensyn til de særlige omstændigheder i hvert enkelt tilfælde.

35. Den særlige karakter af den erhvervsmæssige virksomhed, der udøves via internettet, er allerede blevet taget i betragtning i forbindelse med definitionen af begrebet etablering i andre EU-retlige instrumenter. Navnlig bemærkes det i 19. betragtning til direktivet om elektronisk handel (19), at »[…] etableringsstedet for en virksomhed, der leverer tjenester via en internet-hjemmeside (website), [...] ikke [er] det sted, hvor den benyttede teknologi befinder sig, eller det sted, hvor internet-hjemmesiden er tilgængelig, men det sted, hvor virksomheden udøver sin erhvervsmæssige virksomhed.« Denne definition blev af artikel 29-gruppen anset for relevant i forbindelse med fortolkningen af artikel 4 i direktiv 95/46 (20).

36. Uden at det i øvrigt skal betvivles, at Weltimmo er et selskab, som formelt er indregistreret i Slovakiet, må det ud fra ovenstående betragtninger konkluderes, at det ikke kan udelukkes, at selskabet faktisk udøver sine aktiviteter på en anden medlemsstats område – i det foreliggende tilfælde Ungarn – gennem en permanent struktur, som muligvis kun består af en enkelt agent. Såfremt dette er tilfældet, er Weltimmo etableret i Ungarn i den forstand, hvori udtrykket er anvendt i artikel 4, stk. 1, litra a), i direktiv 95/46.

37. De forskellige supplerende faktorer, som Kúria har angivet i sine præjudicielle spørgsmål, dvs. det sted, hvor oplysningerne er blevet indsamlet, den medlemsstat, mod hvilken tjenesteydelserne er rettet, de berørte personers nationalitet samt det sted, hvor virksomhedens indehavere har deres bopæl, har i denne forbindelse ingen direkte eller afgørende betydning for fastlæggelsen af gældende ret (21). Disse faktorer optræder således ikke i direktivet som relevante kriterier, der ville kunne begrunde en undladelse af at anvende kriteriet i artikel 4, stk. 1, litra a) (22).

38. På trods af det ovenstående ville flere af disse faktorer under visse omstændigheder kunne udgøre holdepunkter for at fastslå, om der faktisk udøves aktiviteter – med henblik på at fastlægge etableringsstedet – og navnlig i forbindelse med vurderingen af, om behandlingen af oplysninger har fundet sted som led i den registeransvarliges virksomheds eller organs transaktioner.

39. Navnlig med hensyn til den anden af disse faktorer, dvs. at behandlingen af oplysninger foretages som led i en virksomheds eller et organs aktiviteter inden for en medlemsstats område, skal der derfor henvises til den fortolkning, der blev foretaget i dommen i sagen Google Spain og Google (23). I henhold til denne dom kræver artikel 4, stk. 1, litra a), i direktiv 95/46 »ikke, at den pågældende behandling af personoplysninger foretages »af« selve den berørte virksomhed eller det berørte organ, men udelukkende, at behandlingen foretages »som led i aktiviteter«, der foretages af virksomheden eller organet« (24). Henset til direktivets formål fastslog Domstolen endvidere, at »sidstnævnte udtryk ikke [kan] fortolkes indskrænkende« (25).

40. Anvendelsen af dette andet kriterium vil være særlig relevant, såfremt den forelæggende ret under anvendelse af de tidligere nævnte kriterier vurderer, at Weltimmo er etableret i begge de omhandlede medlemsstater. Som den slovakiske regering og Kommissionen har fremhævet i deres skriftlige indlæg, er det i så fald nødvendigt at undersøge, nøjagtig hvilke aktiviteter behandlingen er foretaget som led i, og navnlig i hvilken grad disse aktiviteter er forbundet med en bestemt virksomhed eller et bestemt organ (26). Artikel 29-gruppen har i forbindelse med søgemaskiner ligeledes fremhævet andre afgørende faktorer på dette punkt, som kan være til gavn ved fastlæggelsen af, om aktiviteterne udøves som led i virksomhedens eller organets aktiviteter, nemlig det forhold, at den etablerede virksomhed er ansvarlig for forholdet til søgemaskinens brugere, beskæftiger sig med salg af målrettet reklame til den pågældende stats indbyggere eller er underkastet en medlemsstats myndigheder for så vidt angår brugerdata (27).

41. For i den foreliggende sag at kunne afgøre, om ungarsk ret kan finde anvendelse på Weltimmos aktiviteter i Ungarn, er det kort sagt nødvendigt at fastslå, om Weltimmo har en virksomhed eller et organ i denne medlemsstat, som led i hvis aktiviteter den omtvistede behandling af oplysninger er foretaget. Til dette formål er det nødvendigt at fastslå, om den agent, der omtales i forelæggelseskendelsen, råder over en permanent struktur – uanset hvilken retlig form den måtte have – hvorigennem han faktisk udøver en aktivitet, som led i hvilken den omtvistede behandling af oplysninger er foretaget.

42. Sammenfattende mener jeg, at Kúrias første til sjette spørgsmål samlet skal besvares med, at artikel 4, stk. 1, litra a), i direktiv 95/46 er til hinder for, at den ungarske databeskyttelsesmyndighed kan anvende ungarsk ret på en registeransvarlig, som udelukkende er etableret i en anden medlemsstat. I denne henseende skal begrebet etablering fortolkes som eksistensen af en permanent struktur – uanset hvilken retlig form den måtte have – hvorigennem der faktisk udøves en aktivitet. En enkelt agent kan anses for at udgøre en permanent struktur, hvis han optræder med en tilstrækkelig grad af stabilitet og under tilstedeværelse af de menneskelige og tekniske midler, som er nødvendige for at kunne præstere de konkrete tjenesteydelser.

Andre faktorer, såsom det sted, hvor oplysningerne er blevet indsamlet, de berørte personers nationalitet, det sted, hvor indehaverne af den virksomhed, der er ansvarlig for behandlingen af oplysninger, har deres bopæl, og det forhold, at den tjenesteydelse, der leveres af den registeransvarlige, er rettet mod en anden medlemsstats område, har ingen direkte eller afgørende betydning for fastlæggelsen af gældende ret, om end de dog kan udgøre holdepunkter for at fastslå, om der faktisk udøves aktiviteter – med henblik på at fastlægge etableringsstedet – og navnlig i forbindelse med vurderingen af, om databehandlingen har fundet sted som led i pågældende virksomheds eller organs transaktioner.

B – Den kompetente tilsynsmyndighed samt den mulige afkobling mellem kompetent myndighed og gældende ret (syvende præjudicielle spørgsmål)

43. Med sit syvende præjudicielle spørgsmål ønsker Kúria Domstolens svar på, om direktivets artikel 28, stk. 6, »[s]åfremt det ud fra besvarelsen af ovenstående spørgsmål viser sig, at den ungarske databeskyttelsesmyndighed kan behandle en sag, men ikke kan anvende national ret, idet den derimod skal anvende etableringsmedlemsstatens ret, skal [...] fortolkes således, at den ungarske databeskyttelsesmyndighed alene kan udøve de beføjelser, der er fastsat i artikel 28, stk. 3, i overensstemmelse med bestemmelserne i etableringsmedlemsstatens lovgivning, og at den derfor ikke har beføjelse til at pålægge en bøde«.

44. Som det kan ses, er dette præjudicielle spørgsmål udelukkende relevant i det tilfælde, at den forelæggende ret i overensstemmelse med de ovennævnte kriterier finder, at Weltimmo ikke har en virksomhed eller et organ i Ungarn, men alene er etableret i Slovakiet. For at kunne give et brugbart svar på dette præjudicielle spørgsmål er det derfor nødvendigt forud herfor, eftersom dette ikke fremgår udtrykkeligt af besvarelsen af de foregående spørgsmål, at overveje den mulighed, at en tilsynsmyndighed i en medlemsstat kan gribe ind, selv i de tilfælde, hvor det i henhold til kriterierne i direktivets artikel 4, stk. 1, litra a), er en anden medlemsstats ret, der er gældende. Besvares dette spørgsmål bekræftende, vil det dernæst være nødvendigt at fastlægge omfanget og indholdet af den pågældende myndigheds beføjelser.

45. Indledningsvis rejses således spørgsmålet om, hvorvidt artikel 4 (som vedrører gældende ret) ud over at udgøre en regel om fastlæggelse af gældende ret også udgør en værnetingsregel, og, i bekræftende fald, hvilken betydning præciseringerne i artikel 28 vedrørende de offentlige myndigheders kompetence har herfor. Alle disse spørgsmål stilles på et tidspunkt, hvor der gennemføres en vidtrækkende reform af EU-lovgivningen på databeskyttelsesområdet (28).

46. I de indlæg, der er indgivet til Domstolen, er der foreslået forskellige fortolkninger af stk. 1, 3 og 6, i direktivets artikel 28. Således har den ungarske databeskyttelsesmyndighed fastholdt, at den har kompetence til at pålægge en bødesanktion, også selv om en anden medlemsstats ret måtte være gældende. Den ungarske regering har udtalt sig i samme retning, idet det efter dens opfattelse er indlysende, at de forskellige typer statusser og fremgangsmåder i forbindelse med udøvelsen af tilsynsmyndighedernes beføjelser, som er opregnet i direktivets artikel 28, stk. 3, er reguleret i national ret i den medlemsstat, hvor den pågældende myndighed har sit hovedsæde, hvorfor pålæggelsen af sanktioner skal foregå i overensstemmelse med denne medlemsstats nationale ret.

47. Kommissionen er af den opfattelse, at en medlemsstats tilsynsmyndigheder har ret til at udøve de beføjelser, der er opregnet i direktivets artikel 28, stk. 3, forudsat at disse kan udøves på deres medlemsstats område i medfør af artikel 28, stk. 1 og 6. Hvis en beføjelse derimod alene kan udøves på en anden medlemsstats område, vil myndigheden ikke have andre muligheder end at anmode tilsynsmyndigheden i den nævnte medlemsstat om administrativt samarbejde. Tilsynsmyndigheden i den første medlemsstat vil således ikke kunne pålægge en sanktion mod en registeransvarlig, som alene er etableret i en anden medlemsstat. Den slovakiske regering har udtalt sig i samme retning, idet den har anført, at det, såfremt slovakisk ret er gældende, vil være den ungarske databeskyttelsesmyndighed, som i medfør af artikel 28, stk. 3 og 6, har kompetence til at gennemføre en undersøgelse og til at gennemgå de klager, den har modtaget, under iagttagelse af dens egne procedureregler, men at den vil være nødt til at indgive en anmodning om samarbejde til myndigheden i den medlemsstat, hvis retsregler er gældende, eftersom det vil være tilsynsmyndigheden i denne medlemsstat, som skal tage stilling til en eventuel sanktionspålæggelse. Den polske regering har understreget, at muligheden for, at en medlemsstats myndigheder kan anvende en anden medlemsstats materielle ret, ikke er foreskrevet i direktivet, og den har derfor anført, at der, såfremt lovgiver havde ønsket at indføre en så vidtrækkende mulighed, ville findes specifikke bestemmelser i direktivet, hvori anvendelsesområdet herfor ville være fastsat. Endelig er Det Forenede Kongeriges regering af den opfattelse, at den ungarske databeskyttelsesmyndighed ikke har kompetence, eftersom slovakisk ret er gældende.

48. Det er ud fra det ovenstående bemærkelsesværdigt, at de indgivne indlæg afspejler så forskellige standpunkter, og at det alene er Det Forenede Kongerige og Polen, der har givet udtryk for den tvingende nødvendighed af, at der er sammenhæng mellem gældende ret og tilsynsmyndighedens jurisdiktion – forstået på den måde, at der ved fastlæggelsen af gældende ret i henhold til direktivets artikel 4, stk. 1, litra b), ligeledes fastlægges, hvilken tilsynsmyndighed der er kompetent (29).

49. Som jeg vil redegøre for i det følgende, mener jeg, at det komplekse spørgsmål, som vi her har med at gøre, skal løses ved at forsøge at forene direktivets specifikke formål med de principper, der regulerer de administrative tilsynsmyndigheders adfærd.

50. Den problemstilling, der rejses med dette præjudicielle spørgsmål, bygger på et realitetsspørgsmål af vidtrækkende karakter, nemlig om det kan tillades, at direktivet svækker eller ligefrem ophæver gyldigheden af den regel, der bestemmer, at en medlemsstats administrative myndigheder som udgangspunkt skal anvende dens nationale ret samt handle i medfør af denne. For så vidt angår offentlige myndigheders kompetence, og dermed udøvelsen af offentligretlige beføjelser, herunder navnlig straffebeføjelser (ius puniendi), er det en ufravigelig forudsætning, at der tages udgangspunkt i de krav, der udspringer af statens territoriale suverænitet (30), af legalitetsprincippet og ikke mindst af begrebet retsstat (31), idet alle disse faktorer taler for nødvendigheden af, at der skal være en sammenhæng mellem tilsynsmyndighedens jurisdiktion og gældende ret (32). I denne forbindelse kan udøvelsen af sanktionsbeføjelsen – som er den beføjelse, vi specifikt har med at gøre i den foreliggende sag – som hovedregel ikke finde sted uden for de lovmæssige rammer, hvorunder en administrativ myndighed har bemyndigelse til at handle i overensstemmelse med deres nationale ret (33). En undtagelse fra denne regel vil som minimum kræve et specifikt retligt grundlag, hvorpå anvendelsen af en anden medlemsstats offentlige ret tillades og afgrænses, og som endvidere gør det muligt for retssubjekterne klart og præcist at forudse, hvilken national ret der regulerer såvel deres adfærd som konsekvenserne heraf (34).

51. I forlængelse af det ovenstående mener jeg ikke, at artikel 28, stk. 6, første punktum, hvori det bestemmes, at »[d]en enkelte tilsynsmyndighed [...], uanset hvilken national lov der måtte gælde for den pågældende behandling, [er] kompetent til på sin medlemsstats område at udøve de beføjelser, der tillægges den i overensstemmelse med stk. 3 i denne artikel«, er en bestemmelse, som i sig selv er tilstrækkelig til at kunne have en så betydelig konsekvens (35). Bestemmelsen indeholder således ingen præciseringer for så vidt angår anvendelsesområdet, rækkevidden eller de garantier, der skulle kunne gøre det muligt for de administrative myndigheder i en medlemsstat at anvende en anden medlemsstats bestemmelser, og navnlig dens sanktionsbestemmelser.

52. Direktivets artikel 28, stk. 1, udgør efter min opfattelse heller ikke et tilstrækkeligt retsgrundlag for denne påstand, som den ungarske regering og den ungarske databeskyttelsesmyndighed har nedlagt med den blotte begrundelse, at der i bestemmelsens affattelse anvendes flertal, når det bestemmes, at »[h]ver medlemsstat drager omsorg for, at der udpeges en eller flere offentlige myndigheder, der har til opgave på dens område at påse overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af dette direktiv« (36).

53. På trods af det ovenstående peger disse bestemmelser på muligheden for, at der til en vis grad kan foretages en afkobling mellem den kompetente myndighed og gældende ret. De gør det under alle omstændigheder muligt for myndigheden i en medlemsstat at føre tilsyn med de aktiviteter, der udøves på dens område, også i de tilfælde, hvor en anden medlemsstats ret viser sig at være gældende.

54. Jeg mener herefter, at det er muligt at forene en fortolkning af artikel 28, stk. 1, 3 og 6, med de grundlæggende principper for udøvelsen af de administrative sanktionsbeføjelser. Dette vil kunne lade sig gøre ved at sammenholde første punktum i artikel 28, stk. 6, første led, med andet punktum i samme led – hvori det bestemmes, at den myndighed, der udøver beføjelserne inden for sin egen medlemsstats område, »kan blive anmodet om at udøve sine beføjelser af en myndighed i en anden medlemsstat« – og med andet afsnit i samme bestemmelse, hvorefter »[t]ilsynsmyndighederne samarbejder med hinanden i det omfang, det er nødvendigt for at opfylde deres pligter […]«.

55. I denne forbindelse må den handlemulighed, som tilsynsmyndighederne gives i artikel 28, stk. 6 – selv i de tilfælde, hvor deres egen medlemsstats ret ikke er gældende – nødvendigvis gøres til genstand for en systematisk fortolkning, hvor der både tages højde for, om der findes et klart mandat til samarbejde mellem de administrative myndigheder, og at en myndighed kan blive anmodet af en anden myndighed om at udøve sine beføjelser. En samlet vurdering af denne bestemmelse taler således for, at opgaverne fordeles mellem de forskellige tilsynsmyndigheder inden for rammerne af et samarbejde og gensidig bistand.

56. Den omstændighed, at gældende ret viser sig at være en bestemt medlemsstats ret, indebærer ikke, at tilsynsmyndighederne i andre medlemsstater fratages muligheden for at gribe ind, navnlig når det tages i betragtning, at der i visse tilfælde – på trods af, at det i henhold til kriteriet i direktivets artikel 4, stk. 1, litra a), er en anden medlemsstats ret, som er gældende – kan foreligge mange andre faktorer vedrørende territorial tilknytning, såsom de tekniske midler og ikke mindst de personer, der berøres af databehandlingen. Som følge heraf, og med henblik på at sikre en effektiv gennemførelse af direktivet, vil det være nødvendigt, at den lokale myndighed har mulighed for at foretage undersøgelser og iværksætte bestemte foranstaltninger, også inden det har været muligt at fastlægge, hvilken ret der er gældende.

57. Mere konkret udtrykt skal en tilsynsmyndighed, som ved en klage eller individuel anmodning er blevet bedt om at gribe ind, kunne udøve sine forundersøgelsesbeføjelser på sit eget territorium. Dette fremgår klart og tydeligt af direktivets artikel 28, stk. 4, hvori det bestemmes, at enhver kan indgive en anmodning til tilsynsmyndigheden om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger. Denne antagelse stemmer ligeledes overens med bestemmelserne i Europarådets konvention nr. 108 af 1981 om beskyttelse af fysiske personer med hensyn til elektronisk behandling af personoplysninger (37), i hvis artikel 14 det foreskrives, at personer bosat i en anden kontraherende part, »valgfrit [kan] lade deres anmodninger formidle gennem den myndighed, der er udpeget af denne kontraherende part«.

58. Denne fremgangsmåde ville i tilstrækkelig grad kunne afhjælpe den bekymring, som den ungarske regering har udtrykt på retsmødet, idet den gjorde gældende, at den effektive virkning af foranstaltningerne i direktivet ville blive svækket, såfremt den ungarske databeskyttelsesmyndighed ikke havde nogen kompetence, eftersom de interesserede parter ville være nødsaget til at henvende sig til udenlandske myndigheder på sprog, som de ikke behersker.

59. Kort sagt har tilsynsmyndighederne, uanset hvilken materiel ret der finder anvendelse i det enkelte tilfælde, de beføjelser til at iværksætte undersøgelser og gribe effektivt ind, som er foreskrevet i direktivets artikel 28, stk. 3, men som alene er reguleret i deres egen nationale ret, inden for deres geografiske aktivitetsområde(38) og under iagttagelse af de principper, der er opregnet i punkt 50 i dette forslag til afgørelse.

60. Det er således åbenbart, at tilsynsmyndigheden i en medlemsstat ikke har ubegrænsede handlemuligheder, når en anden medlemsstats materielle ret viser sig at være gældende. Det skal i denne forbindelse bemærkes, at princippet om, at tilsynsmyndigheden under udøvelsen af sin kompetence er bundet af de begrænsninger, som den pålægges i kraft af sin karakter af offentligretligt retssubjekt, der er underlagt sin egen medlemsstats lovgivning, og at den alene kan udøve sin kompetence på sit eget nationale område, fortsat er gældende. Navnlig kan der ikke herske tvivl om, at et eventuelt medhold i påstanden om ulovlig adfærd samt en ligeledes eventuel sanktionspålæggelse for de krænkelser, der følger af den ulovlige behandling af oplysninger, skal træffes af myndigheden i den medlemsstat, hvis materielle ret finder anvendelse på databehandlingen i overensstemmelse med kravet i direktivets artikel 4, stk. 1, litra a).

61. Selv om der ganske vist ikke er noget til hinder for, at sanktionsbeføjelsen kan opfattes som en af de beføjelser, der er omhandlet i direktivets artikel 28, stk. 3 (hvis tredje led vedrører tilsynsmyndighedernes beføjelse til at »indbringe overtrædelser [...] for retsinstanserne«), må det således – henset til den samarbejdsforpligtelse, der er fastsat i direktivets artikel 28, stk. 6 – nødvendigvis være myndigheden i den medlemsstat, hvis lovgivning finder anvendelse på databehandlingen, som skal anmodes om at tage stilling til, om der foreligger en overtrædelse i henhold til gældende ret, og om at pålægge eventuelle sanktioner, på grundlag af de oplysninger, der er indsamlet og i givet fald videregivet af myndigheden i den førstnævnte medlemsstat.

62. Denne fortolkning stemmer overens med den holdning, der kommer til udtryk i flere af artikel 29-gruppens dokumenter. Som det fremgår af gruppens udtalelse 8/2010 om gældende ret, har artikel 28, stk. 6, således netop til formål »at slå bro over en eventuel kløft mellem gældende ret og tilsynsmyndighed, der kan opstå inden for databeskyttelse på det indre marked« (39). Ganske vist fremgår det udtrykkeligt af denne udtalelse, at »[…] når en anden medlemsstats databeskyttelsesregler finder anvendelse, vil tilsynsmyndigheden være i stand til fuldt ud at udøve de beføjelser, der tillægges den i dens eget nationale retssystem, på sit område«, men samtidig gives der udtryk for en betydelig tvivl med hensyn til rækkevidden af tilsynsmyndighedernes kompetence på dette område (40). Som led i artikel 29-gruppens efterfølgende overvejelser præciserede gruppen på Kommissionens opfordring sit standpunkt med hensyn til spørgsmålet om afkoblingen mellem gældende ret og jurisdiktion i sin rapport vedrørende den praktiske gennemførelse af artikel 28, stk. 6 (41). Gruppen fastslog, at myndigheden i en faktisk situation, hvor der foretages en afkobling, skal anvende de processuelle og administrative bestemmelser i dens eget retssystem, mens de materielle aspekter af databeskyttelsen henhører under den medlemsstat, hvis ret er gældende (42).

63. Ovenstående betragtninger indgår i en særlig retlig sammenhæng, hvor det EU-retlige interventionsredskab er et direktiv, hvilket har betydet, at det har været muligt at opretholde en væsentlig bredde i medlemsstaternes lovgivning for så vidt navnlig angår reguleringen samt tilsynsmyndighedernes muligheder for sanktioner (43). I mangel af et tydeligt retsgrundlag og garantier, der kan sikre et nært samarbejde om fortolkningen af overtrædelserne og sanktionernes ækvivalens (44), ville det derfor ikke være foreneligt med de krav, der udspringer af principperne om legalitet og territorial suverænitet, hvis afkoblingen mellem kompetent myndighed og gældende ret enten ledte til pålæggelse af sanktioner i henhold til den lokale tilsynsmyndigheds nationale lovgivning – sanktioner, som muligvis ikke foreskrives i retsordenen i den medlemsstat, hvis lovgivning måtte vise sig at finde anvendelse på behandlingen af oplysninger – eller til en lokal myndigheds anvendelse af en anden medlemsstats sanktionsretlige bestemmelser.

64. Endelig vil en analog anvendelse af Domstolens dom i UPC DTH-sagen (45), således som den ungarske regering og den ungarske tilsynsmyndighed har påberåbt sig til støtte for sidstnævntes kompetence til at pålægge sanktioner i det tilfælde, som vi her beskæftiger os med, ikke føre til en anden konklusion. I denne dom, som vedrører fortolkningen af bestemte instrumenter inden for de lovgivningsmæssige rammer, der finder anvendelse på elektroniske kommunikationstjenester (46), fastslog Domstolen, at »overvågningsprocedurer vedrørende elektroniske kommunikationstjenester [...] skal behandles af myndighederne i den medlemsstat, hvor modtagerne af de nævnte tjenester er bosat« (47).

65. Som svar på dette anbringende er det tilstrækkeligt at anføre dels, at den nævnte fortolkning omhandler et tilfælde med udveksling af tjenesteydelser, som er underkastet retlige forskrifter, hvis formål og opbygning afviger markant fra dem, vi har med at gøre i den foreliggende sag, dels – hvad endnu vigtigere er – at disse betragtninger blev fremført i en sag, hvor der ikke var nogen diskussion om, hvilken ret der var gældende (48).

66. På baggrund af ovenstående betragtninger mener jeg, at det syvende af de af Kúria forelagte præjudicielle spørgsmål på EU-rettens nuværende stadie bør besvares på følgende måde:

Såfremt den forelæggende ret fastslår, at national ret ikke kan anvendes i henhold til kriteriet i artikel 4, stk. 1, litra a), i direktiv 95/46, skal direktivets artikel 28, stk. 6, fortolkes således, at kompetencen til at pålægge sanktioner for krænkelserne i forbindelse med behandlingen af oplysninger skal tillægges tilsynsmyndigheden i den medlemsstat, hvis retsregler er gældende, uanset hvilken lokal tilsynsmyndighed der kan udøve samtlige af de beføjelser, der er opregnet i artikel 28, stk. 3, på sit område i henhold til de nærmere regler i national ret.

C – Begrebet »behandling« af oplysninger (ottende præjudicielle spørgsmål)

67. Med sit ottende præjudicielle spørgsmål spørger den forelæggende ret Domstolen om følgende: »Skal begrebet »adatfeldolgozás«, der anvendes i såvel artikel 4, stk. 1, litra a), som artikel 28, stk. 6, i [den ungarske version af] databeskyttelsesdirektivet, anses for at være identisk med begrebet »adatkezelés« [i direktivets terminologi]?«

68. I samtlige de indlæg, der er indgivet til Domstolen, er der enighed om, at den terminologiske afvigelse, der fremhæves i forelæggelseskendelsen, er uden betydning.

69. I bestemmelserne i direktiv 95/46 anvendes på systematisk vis udelukkende termen »[adat]feldolgozás», når der henvises til begrebet behandling af oplysninger, således som det er defineret i direktivets artikel 2, litra b). Det er alene i informationsloven, at der forekommer en sondring mellem begreberne »adatkezelés« og »adatfeldolgozás« (49), idet sidstnævnte term defineres som »udførelse af tekniske opgaver i forbindelse med behandlingen af oplysninger […]« (50).

70. Definitionen af begrebet »[adat]feldolgozás« i direktivets artikel 2, litra b), der anvendes såvel i artikel 4, stk. 1, litra a), som i artikel 28, stk. 6, er således meget bred og dækker over enhver operation, som personoplysninger gøres til genstand for, med eller uden brug af elektronisk databehandling. Med denne brede definition må begrebet »behandling« således omfatte det smallere begreb »udførelse af tekniske opgaver i forbindelse med behandlingen af oplysninger«.

71. Jeg skal på grundlag af disse betragtninger foreslå Domstolen at besvare det ottende præjudicielle spørgsmål således:

Begrebet »adatfeldolgozás«, som anvendes i artikel 4, stk. 1, litra a), og artikel 28, stk. 6, i den ungarske udgave af direktiv 95/46, skal fortolkes således, at det omfatter såvel behandling af oplysninger i bred forstand som udførelse af tekniske opgaver i forbindelse med behandlingen af oplysninger.

V – Forslag til afgørelse

72. På baggrund af ovenstående betragtninger foreslår jeg Domstolen at besvare de af Kúria forelagte præjudicielle spørgsmål således:

»1) Artikel 4, stk. 1, litra a), i direktiv 95/46 er til hinder for, at den ungarske databeskyttelsesmyndighed kan anvende ungarsk ret på en registeransvarlig, som udelukkende er etableret i en anden medlemsstat. I denne henseende skal begrebet etablering fortolkes som eksistensen af en permanent struktur – uanset hvilken retlig form den måtte have – hvorigennem der faktisk udøves en aktivitet. En enkelt agent kan anses for at udgøre en permanent struktur, hvis han optræder med en tilstrækkelig grad af stabilitet og under tilstedeværelse af de menneskelige og tekniske midler, som er nødvendige for at kunne præstere de konkrete tjenesteydelser.

Andre faktorer, såsom det sted, hvor oplysningerne er blevet indsamlet, de berørte personers nationalitet, det sted, hvor indehaverne af den virksomhed, der er ansvarlig for databehandlingen, har deres bopæl, og det forhold, at den tjenesteydelse, der leveres af den registeransvarlige, er rettet mod en anden medlemsstats område, har ingen direkte eller afgørende betydning for fastlæggelsen af gældende ret, om end de dog kan udgøre et indicium for, om der faktisk udøves aktiviteter – med henblik på at fastlægge etableringsstedet – og navnlig i forbindelse med vurderingen af, om databehandlingen har fundet sted som led i pågældende virksomheds eller organs transaktioner.

2) Såfremt den forelæggende ret fastslår, at national ret ikke kan anvendes i henhold til kriteriet i artikel 4, stk. 1, litra a), i direktiv 95/46 skal direktivets artikel 28, stk. 6, fortolkes således, at kompetencen til at pålægge sanktioner for krænkelserne i forbindelse med behandlingen af oplysninger skal tillægges tilsynsmyndigheden i den medlemsstat, hvis ret er gældende, uanset hvilken lokal tilsynsmyndighed der kan udøve samtlige af de beføjelser, der er opregnet i artikel 28, stk. 3, på sit område i henhold til de nærmere regler i national ret.

3) Begrebet »adatfeldolgozás«, som anvendes i artikel 4, stk. 1, litra a), og artikel 28, stk. 6, i den ungarske udgave af direktiv 95/46, skal fortolkes således, at det omfatter såvel behandling af oplysninger i bred forstand som de tekniske opgaver, der udføres i forbindelse med behandling af oplysninger.«

1 – Originalsprog: spansk.

2 – Europa-Parlamentet og Rådets direktiv af 24.10.1995 (EFT L 281, s. 31).

3 – C-131/12, EU:C:2014:317.

4 – Jf. bl.a. F. Rigaux, »La loi applicable à la protection des individus à l’égard du traitement automatisé des données à caractère personnel«, Revue critique de droit international privé, 1980, s. 443-478.

5 – L. Bygrave, »Determining applicable law pursuant to European Data Protection Legislation«, Computer Law and Security Report, nr. 16, 2000, s. 252.

6 – Den spanske oversættelse af bestemmelsen indeholder en mindre fejl, idet verbet fremstår i ental. Dette bekræftes af andre sprogudgaver; »each Member State shall apply the national provisions it adopts pursuant to this Directive […]«, »chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive«, osv.

7 – C-131/12, EU:C:2014:317.

8 – C-131/12, EU:C:2014:317, præmis 48-50.

9 – Jf. dom Factortame m.fl. (C-221/89, EU:C:1991:320, præmis 20) og Kommissionen mod Det Forenede Kongerige (C-246/89, EU:C:1991:375, præmis 21).

10 – Dom Cadbury Schweppes og Cadbury Schweppes Overseas (C-196/04, EU:C:2006:544, præmis 54).

11 – Udtalelse om gældende ret, vedtaget den 16.12.2010, 0836-02/10/DA, WP 179.

12 – Der henvises i denne udtalelse til domme Berkholz (168/84, EU:C:1985:299, præmis 18) og Lease Plan (C-390/96, EU:C:1998:206), som begge vedrørte fortolkningen af artikel 9, stk. 1, i Rådets sjette direktiv 77/388/EØF af 17.5.1977 om harmonisering af medlemsstaternes lovgivning om omsætningsafgifter – Det fælles merværdiafgiftssystem: ensartet beregningsgrundlag (EFT L 145, s. 1).

13 – Dom Welmory (C-605/12, EU:C:2014:2298, præmis 58) vedrørende fortolkningen af artikel 44 i Rådets direktiv 2006/112/EF af 28.11.2006 om det fælles merværdiafgiftssystem (EUT L 347, s. 1), som ændret ved Rådets direktiv 2008/8/EF af 12.2.2008 (EUT L 44, s. 11). Jf. ligeledes dom Planzer Luxembourg (C-73/06, EU:C:2007:397, præmis 54 og den deri nævnte retspraksis).

14 – Konvention om, hvilken lov der skal anvendes på kontraktlige forpligtelser åbnet for undertegnelse i Rom den 19.6.1980 (EFT L 266, s. 1).

15 – Bruxelleskonventionen af 27.9.1968 om retternes kompetence og om fuldbyrdelse af retsafgørelser i borgerlige sager, herunder handelssager (EFT 1978 L 304, s. 32, konsolideret udgave i EFT 1998 C 27, s. 1).

16 – Det er således blevet fastslået, at »begrebet filial, agentur eller en lignende virksomhed forudsætter, at der foreligger et centrum for erhvervsudøvelsen, som udadtil varigt fremtræder som en repræsentation for hovedvirksomheden, med en ledelse og materielt udstyret således, at det kan forhandle med tredjemand […]« (domme Somafer, 33/78, EU:C:1978:205, præmis 12, og Blanckaert & Willems, 139/80, EU:C:1981:70, præmis 11), idet det ligeledes er blevet fastholdt, at »[…] udtrykket »forretningssted« tager sigte på enhver stabil struktur i en virksomhed. Følgelig kan ikke blot datterselskaber og filialer, men også andre enheder, såsom en virksomheds kontorer, udgøre forretningssteder i henhold til Romkonventionens artikel 6, stk. 2, litra b), selv om de ingen retsevne har« (dom Voogsgeerd, C-384/10, EU:C:2011:842, præmis 54).

17 – Udtalelse 8/2010, s. 14.

18 – C-131/12, EU:C:2013:424, punkt 65.

19 – Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8.6.2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked (EFT L 178, s. 1).

20 – Jf. Arbejdsdokument om den internationale anvendelse af Fællesskabets databeskyttelseslovgivning ved behandling af personoplysninger på Internet, som foretages af websteder, der er etableret uden for Fællesskabet, WP 56, 5035/01/DA/endelig, 30.5.2002, s. 8.

21 – I de indlæg, der er indgivet til Domstolen, er der ikke enighed om, hvorvidt disse faktorer er relevante. Mens den ungarske databeskyttelsesmyndighed mener, at disse faktorer er relevante, er Det Forenede Kongerige af den opfattelse, at ingen af de nævnte faktorer er relevante, eftersom ingen af dem er nævnt i direktivets artikel 4, stk. 1. Europa-Kommissionen har udtalt sig i lignende vendinger. Efter den ungarske regerings opfattelse er kun to af faktorerne relevante, nemlig hvorvidt tjenesteydelserne er rettet mod en medlemsstats område, samt det sted, hvor oplysningerne er blevet indsamlet i it-systemet. Ifølge den slovakiske regering er hverken det sted, hvorfra oplysningerne udbredes, de berørte personers nationalitet eller det sted, hvor virksomhedens indehavere har deres bopæl, relevant med henblik på at fastlægge, hvilket lands ret der skal være gældende.

22 – Artikel 29-gruppen har på dette punkt udtalt sig i lignende vendinger, idet den har bemærket, at »hverken de registreredes statsborgerskab eller sædvanlige opholdssted eller personoplysningernes fysiske placering er afgørende [for fastlæggelsen af gældende ret.]« Udtalelse 8/2010, s. 9. Jf. ligeledes punkt 55-58 i generaladvokat Jääskinens forslag til afgørelse i sagen Google Spain og Google, C131/12, EU:C:2013:424.

23 – C-131/12, EU:C:2014:317, præmis 48-50.

24 – Ibidem, præmis 52.

25 – Ibidem, præmis 53.

26 – Jf. ligeledes herom artikel 29-gruppens udtalelse 8/2010.

27 – Udtalelse nr. 1/2008 om databeskyttelsesproblemer i forbindelse med søgemaskiner af 4.4.2008, WP 148, 00737/DA.

28 – Forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, COM(2012) 11 final.

29 – Retsvidenskaben er i øvrigt delt med hensyn til dette spørgsmål. Nogle forfattere anser direktivets artikel 4 for også at være den regel, der fastlægger jurisdiktionen (f.eks. J. Bing, »Data Protection, Jurisdiction and the Choice of Law«, Privacy Law & Policy Reporter, 1999), mens andre er af den modsatte opfattelse. Jf. f.eks. P.P. Swire, »Of Elephants, Mice and Privacy: International Choice of Law and the Internet«, The International Lawyer, 1998, s. 991. Jf. ligeledes med hensyn til dette spørgsmål C. Kuner, »Data Protection Law and International Jurisdiction on the Internet (Part 1)«, International Journal of Law and Information Technology, nr. 18, 2010, s. 176.

30 – Som det udtrykkeligt fremgår af 21. betragtning til direktivet, »berører [direktivet] ikke de territorialbestemmelser, der gælder i straffesager«. Jeg mener, at denne antagelse ligeledes bør gælde for administrative sanktioner.

31 – Kernen i dette begreb kan defineres således, at alle offentlige myndigheder på alle niveauer »must exercise the powers conferred on them reasonably, in good faith, for the purpose for which the powers were conferred and without exceeding the limits of such powers«, Lord Bingham, »The Rule of Law«, The Cambridge Law Journal, nr. 66, 2007, s. 78.

32 – Det er blevet bemærket i retsvidenskaben, at der »som følge af tilsynsordningens primært administrative eller offentligretlige karakter findes en snæver sammenhæng mellem gældende ret og den myndighed, der er kompetent til at sanktionere eventuelle overtrædelser«, af P.A. Miguel Asensio, Derecho Privado de Internet, 4. udg., Madrid, 2011, s. 333. Retsvidenskaben har udtalt sig i samme retning i forbindelse med tilsynsmyndighedernes kompetence inden for konkurrenceområdet, idet det er blevet bemærket, at en retsregels anvendelighed i forbindelse med offentlige foranstaltninger er bestemmende for kompetencen hos den myndighed, der skal anvende den. Jf. bl.a. J. Basedow, »Antitrust or Competition Law, International«, i R. Wolfrum (red.), Max Planck Encyclopedia of Public International Law, 2009.

33 – Jf. i denne forbindelse Rigaux: »On ne conçoit guère que les autorités administratives, les commissions de contrôle […] les organes de surveillance soumettent les fichiers du secteur privé à d’autres normes de conduite et qu’ils obéissent eux-mêmes à d’autres règles de fonctionnement qu’à celles qui sont contenues dans la lex fori«, nævnt ovenfor i fodnote 3, s. 469.

34 – C. Ohler, Die Kollisionsordnung des allgemeinen Verwaltungsrechts, Mohr Siebeck, 2005, s. 109 og 314.

35 – Min fremhævelse.

36 – Min fremhævelse. Jf. med hensyn til dette spørgsmål U. Damman og S. Simitis, EG-Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden-Baden, 1997, s. 306.

37 – (ETS nr. 108), hvori samtlige medlemsstater er parter. Det fremgår af 11. betragtning til direktivet, at direktivet indeholder en præcisering og udvidelse af den beskyttelse, der er sikret ved den pågældende konvention.

38 – Jf. herom i U. Damman og S. Simitis, EG-Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden-Baden, 1997, s. 313.

39 – Udtalelse 8/2010 om gældende ret, s. 27.

40 – Således fremhæver artikel 29-gruppen i udtalelse 8/2010 på den ene side, at samarbejdet mellem tilsynsmyndigheder ikke alene omfatter udveksling af oplysninger, men derimod også »behandling af klager på tværs af grænserne, indsamling af beviser for andre databeskyttelsesmyndigheder eller pålæggelse af sanktioner« (s. 28). Imidlertid gives der i udtalelsen ligeledes udtryk for tvivl med hensyn til omfanget af de beføjelser, hver databeskyttelsesmyndighed skal udøve: »Særligt, hvor langt vil databeskyttelsesmyndigheden på stedet gå i udøvelsen af sine beføjelser med hensyn til anvendelsen af de materielle principper og sanktionerne? Bør den begrænse brugen af sine beføjelser til kontrol af de faktiske omstændigheder, kan den træffe foreløbige foranstaltninger som led i retshåndhævelsen eller endog endelige foranstaltninger? Kan den foretage sin egen fortolkning af bestemmelserne i gældende ret, eller tilkommer fortolkningen alene databeskyttelsesmyndigheden i den medlemsstat, hvis lov er gældende ret? […]« (s. 28).

41 – Advice paper on the practical implementation of the Article 28(6) of the Directive 95/46/EC, Ref. Ares (2011) 444105, af 20.4.2011.

42 – Ibidem, s. 31. Dette illustreres tydeligt i eksempel nr. 10 i udtalelsen, hvori det i forbindelse med en hypotetisk sag, hvor tysk ret finder anvendelse på databehandlingen i Det Forenede Kongerige, fastslås, at »den britiske databeskyttelsesmyndighed skal have beføjelse til at foretage inspektion af lokalerne i Det Forenede Kongerige og foretage en konstatering af de faktiske omstændigheder, der skal fremsendes til den tyske databeskyttelsesmyndighed. [D]en tyske databeskyttelsesmyndighed bør være i stand til at pålægge den registeransvarlige i Tyskland sanktioner på grundlag af den britiske databeskyttelsesmyndigheds konstatering«.

43 – Dette medgives i niende betragtning til direktivet. Der kan i denne henseende henvises til det af Den Europæiske Unions Agentur for Grundlæggende Rettigheder udarbejdede dokument, Data Protection in the European Union: the role of National Data Protection Authorities, 2010, hvori der foretages en gennemgang af medlemsstaternes tilsynsmyndigheders forskellige beføjelser.

44 – Der kan i denne forbindelse ikke herske nogen tvivl om, at EU’s databeskyttelseslovgivning inden for det europæiske administrative samarbejdsområde er relevant og nyskabende. Såfremt forslaget til fremtidig generel forordning om databeskyttelse bliver vedtaget, vil det medføre en omfattende reform på området, navnlig for så vidt angår indførelsen af en kompleks og gennemarbejdet ordning for samarbejde, sammenhæng og ansvarsfordeling mellem de forskellige tilsynsmyndigheder.

45 – C-475/12, EU:C:2014:285.

46 – Navnlig Europa-Parlamentets og Rådets direktiv 2002/20/EF af 7.3.2002 om tilladelser til elektroniske kommunikationsnet og ‑tjenester (EFT L 108, s. 21), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/140/EF af 25.11.2009 (»tilladelsesdirektivet«) (EUT L 337, s. 37), og Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7.3.2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og ‑tjenester (EFT L 108, s. 33), som ændret ved direktiv 2009/140.

47 – Dom UPC DTH (C-475/12, EU:C:2014:285, præmis 88).

48 – Den sanktion, der blev pålagt i denne sag, var således foranlediget af, at det omhandlede selskab havde nægtet at udlevere oplysninger til den nationale kommunikationsmyndighed. Domstolen fastslog, at »i medfør af tilladelsesdirektivets artikel 11, stk. 1, litra b), [...] kan de nationale myndigheder stille krav om, at virksomhederne fremlægger oplysninger, som er forholdsmæssigt afpasset, og som der er et objektivt grundlag for med henblik på at kunne kontrollere, om vilkårene vedrørende forbrugerbeskyttelse er overholdt, når der er modtaget en klage, eller når de foretager en undersøgelse på eget initiativ«, ibidem, præmis 85.

49 – Der optræder i direktivet kun ét ord, som er afledt af termen »adatkezelés«, nemlig i forbindelse med omtalen af den registeransvarlige.

50 – Informationslovens § 3, stk. 17. I informationslovens § 3, stk. 10, defineres begrebet »adatkezelés« bredt og svarer således i det væsentlige til definitionen af begrebet behandling af oplysninger i direktivets artikel 2, litra b).