FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT
M. BOBEK
fremsat den 26. januar 2017(1)
Sag C-13/16
Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde
mod
Rīgas pašvaldības SIA »Rīgas satiksme«
(anmodning om præjudiciel afgørelse indgivet af Augstākā tiesa, Administratīvo lietu departaments (øverste domstol, afdelingen for forvaltningsretlige sager, Letland))
»Anmodning om præjudiciel afgørelse – personoplysninger – lovlig behandling af oplysninger – artikel 7, litra f), i direktiv 95/46/EF – anvendelsesområde og betingelser – pligt til eller mulighed for at behandle personoplysninger – begrebet behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse«
I. Indledning
1. En taxachauffør standsede sit køretøj i vejkanten på en vej i Riga. Da en trolleybus fra Rīgas satiksme (herefter »appelindstævnte«) kørte forbi, åbnede en passager i taxaen pludselig døren. Der skete et sammenstød, og trolleybussen blev beskadiget. Rīgas satiksme anmodede politiet (herefter »appellanten«) om at oplyse passagerens identitet. Sagsøgeren ønskede at sagsøge passageren for den skade, trolleybussen var blevet påført, ved et civilt søgsmål. Politiet oplyste kun Rīgas satiksme passagerens navn. Politiet nægtede at oplyse ID-nummer og adresse.
2. Den forelæggende ret ønsker på denne baggrund oplyst, om artikel 7, litra f), i direktiv 95/46/EF (herefter »direktivet«) (2) indfører en pligt til at oplyse alle de personoplysninger, der er nødvendige for at anlægge et civilt søgsmål mod den person, som angiveligt er ansvarlig for en administrativ lovovertrædelse. Den ønsker endvidere oplyst, om svaret på det sidstnævnte er et andet, hvis personen er mindreårig.
II. Retsforskrifter
A. EU-ret
1. Den Europæiske Unions charter om grundlæggende rettigheder
3. Artikel 7 bestemmer, at »[e]nhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin kommunikation«.
4. Artikel 8 bestemmer:
»1. Enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende.
2. Disse oplysninger skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag. Enhver har ret til adgang til indsamlede oplysninger, der vedrører den pågældende, og til berigtigelse heraf.
3. Overholdelsen af disse regler er underlagt en uafhængig myndigheds kontrol.«
2. Traktaten om Den Europæiske Unions funktionsmåde
5. Artikel 16, stk. 1, TEUF bestemmer, at »[e]nhver har ret til beskyttelse af personoplysninger om vedkommende selv«.
3. Direktiv 95/46 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger
6. Artikel 2 opstiller en række definitioner hvad angår direktivet.
»a) »personoplysninger« enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet
b) »behandling af personoplysninger« (»behandling«) enhver operation eller række af operationer - med eller uden brug af elektronisk databehandling - som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse
[…]
f) »tredjemand« enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede, den registeransvarlige, registerføreren og de personer under den registeransvarliges eller registerførerens direkte myndighed, der er beføjet til at behandle oplysningerne
[…]«
7. Artikel 5 i kapitel II, der har overskriften »Almindelige betingelser for lovlig behandling af personoplysninger«, fastsætter, at »[m]edlemsstaterne præciserer i henhold til bestemmelserne i dette kapitel, på hvilke betingelser behandling af personoplysninger er lovlig«.
8. Artikel 6, stk. 1, bestemmer: »Medlemsstaterne fastsætter bestemmelser om, at personoplysninger
[…]
c) skal være relevante og tilstrækkelige og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de indsamles, og til de formål, hvortil de senere behandles
[…]«
9. Artikel 7 bestemmer: »Medlemsstaterne fastsætter bestemmelser om, at behandling af personoplysninger kun må finde sted hvis:
a) der ikke hersker tvivl om, at den registrerede har givet sit samtykke, eller
b) behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på dennes anmodning forud for indgåelsen af en sådan kontrakt, eller
c) behandlingen er nødvendig for at overholde en retlig forpligtelse, som gælder for den registeransvarlige, eller
d) behandlingen er nødvendig for at beskytte den registreredes vitale interesser, eller
e) behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, som den registeransvarlige eller en tredjemand, til hvem oplysningerne videregives, har fået pålagt, eller
f) behandlingen er nødvendig, for at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse, medmindre den registreredes interesser eller de grundlæggende rettigheder og frihedsrettigheder, der skal beskyttes i henhold til artikel 1, stk. 1, i dette direktiv, går forud herfor.«
10. Artikel 8 forbyder principielt behandling af personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsforhold og seksuelle forhold. Der er dog en række undtagelser hertil.
11. Forbuddet finder navnlig ikke anvendelse i henhold til artikel 8, stk. 2, litra e), hvis »behandlingen […] er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares«.
12. Artikel 8, stk. 5, bestemmer:
»[…] Medlemsstaterne kan fastsætte bestemmelser om, at behandling af oplysninger vedrørende administrative sanktioner eller civile retssager ligeledes skal foretages under en offentlig myndigheds kontrol«.
13. Artikel 8, stk. 7, fastsætter: »Medlemsstaterne bestemmer, på hvilke betingelser et nationalt identifikationsnummer eller andre almene midler til identifikation kan gøres til genstand for behandling.«
14. Artikel 14 bestemmer: »Medlemsstaterne indrømmer den registrerede ret til:
a) i det mindste i de i artikel 7, litra e) og f), omhandlede tilfælde af vægtige legitime grunde, der vedrører den pågældendes særlige situation, til enhver tid at gøre indsigelse mod, at personoplysninger om ham selv gøres til genstand for behandling, medmindre andet er bestemt i den nationale lovgivning; i tilfælde af berettiget indsigelse må den af den registeransvarlige iværksatte behandling ikke længere omfatte de pågældende oplysninger.
[…]«
15. Direktivet er nu blevet ophævet ved forordning (EU) nr. 2016/679 (3). Den trådte i kraft den 24. maj 2016. Den nye forordning finder dog først anvendelse fra den 25. maj 2018.
B. National ret
16. Artikel 7 i Fizisko personu datu aizsardzības likums (lov om beskyttelse af personoplysninger) er formuleret på tilsvarende vis som direktivets artikel 7. Den bestemmer, at behandlingen af personoplysninger kun er tilladt, såfremt en af følgende betingelser er opfyldt, medmindre andet er bestemt i loven:
1) Den registrerede har givet samtykke.
2) Behandlingen af oplysningerne er nødvendig af hensyn til opfyldelsen af en kontrakt, som den registrerede er part i, eller efter anmodning fra den registrerede, fordi behandlingen er nødvendig af hensyn til gennemførelsen af den pågældende kontrakt.
3) Behandlingen er nødvendig for at overholde en retlig forpligtelse, som gælder for den registeransvarlige.
4) Behandlingen er nødvendig for at beskytte den registreredes vitale interesser, herunder dennes liv og helbred.
5) Behandlingen er nødvendig af hensyn til samfundets interesse eller med henblik på at udføre opgaver i samfundets interesse, hvilket kræver, at oplysningerne videregives til den registeransvarlige eller en tredjemand.
6) Behandlingen er nødvendig, for at den registeransvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en legitim interesse, medmindre den registreredes grundlæggende rettigheder og frihedsrettigheder går forud herfor.
III. Tvisten i hovedsagen og det præjudicielle spørgsmål til Domstolen
17. I december 2012 skete der en trafikulykke i Riga. En taxachauffør havde standset sit køretøj i vejkanten. Da en trolleybus fra Rīgas satiksme passerede taxaen, åbnede taxipassageren døren, som ramte og beskadigede trolleybussen. Der blev indledt en administrativ sag som følge af ulykken. Der blev optaget rapport, som fandt, at der var begået en administrativ lovovertrædelse.
18. Da taxachaufføren oprindeligt blev anset for ansvarlig for ulykken, fremsatte Rīgas satiksme erstatningskrav mod det forsikringsselskab, hvor ejeren af taxaen var forsikret mod civilt ansvar. Forsikringsselskabet meddelte imidlertid Rīgas satiksme, at det ikke ville udbetale erstatning, idet taxachaufføren ikke var ansvarlig for ulykken, men snarere passageren, som Rīgas satiksme kunne anlægge et civilt søgsmål mod.
19. Rīgas satiksme henvendte sig til Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvaldes Satiksmes administratīvo pārkāpumu izskatīšanas birojs (kontoret for administrative overtrædelser på trafikområdet under sikkerhedspolitiet i regionen Riga) (herefter »politiet«). Rīgas satiksme anmodede om oplysninger om den person, der var blevet pålagt en administrativ sanktion for ulykken. Rīgas satiksme anmodede nærmere bestemt om taxapassagerens navn, identitetsnummer og adresse samt kopier af de forklaringer, som taxachaufføren og passageren havde afgivet vedrørende ulykkens omstændigheder. Rīgas satiksme anførte over for politiet, at de anmodede oplysninger kun ville blive anvendt med henblik på at anlægge et civilt søgsmål mod personen.
20. Politiet imødekom kun delvist Rīgas satiksmes anmodning. Politiet videregav kun taxapassagerens navn. Politiet nægtede at videregive personens identitetsnummer og adresse. Det videregav heller ikke de forklaringer, som de i ulykken involverede personer havde afgivet, til Rīgas satiksme.
21. Politiet anførte i sin afgørelse, at sagsakterne i administrative sager, der fører til sanktioner, kun kan videregives til parterne i disse sager. Rīgas satiksme var ikke en sådan part. Hvad endvidere angår identitetsnummeret og adressen forbyder Datu valsts inspekcija (det lettiske datatilsyn) videregivelse af sådanne oplysninger vedrørende privatpersoner.
22. I overensstemmelse med artikel 261 i Latvijas Administratīvo pārkāpumu kodeks (den lettiske lov om administrative lovovertrædelser) kan en person efter udtrykkelig anmodning anerkendes som skadelidt i administrative sager, der kan føre til sanktioner. Rīgas satiksme gjorde ikke brug af retten til at anmode om at blive anerkendt som skadelidt i den pågældende administrative sag.
23. Rīgas satiksme påbegyndte en administrativ sag mod politiets afgørelse, for så vidt som denne nægtede at videregive taxapassagerens identitetsnummer og adresse.
24. Ved dom af 16. maj 2014 gav Administratīvā rajona tiesa (distriktsdomstol i forvaltningsretlige sager) Rīgas satiksme medhold. Retten pålagde politiet at videregive de oplysninger, der var anmodet om, nemlig taxapassagerens identitetsnummer og adresse.
25. Politiet iværksatte appel til prøvelse af denne afgørelse ved Augstākā tiesa (øverste domstol, Letland), som er den forelæggende ret i denne sag. Den forelæggende ret anmodede først om en udtalelse fra det lettiske datatilsyn. Datatilsynet anførte, at i denne specifikke sag kunne oplysningerne ikke videregives i henhold til artikel 7, stk. 6, i lov om beskyttelse af personoplysninger, henset til at lov om administrative lovovertrædelser fastsætter de fysiske og juridiske personer, som politiet kan give oplysninger om en sag. Videregivelse af personoplysninger fra en administrativ sag, der kan føre til sanktioner, kan alene ske i overensstemmelse med artikel 7, stk. 3 og 5. Herudover pålægger lovens artikel 7 ikke den registeransvarlige (politiet i denne sag) at behandle oplysninger; den giver blot tilladelse hertil.
26. Det lettiske datatilsyn anførte desuden, at Rīgas satiksme havde andre muligheder for at indhente oplysninger: enten ved at henvende sig til Iedzīvotāju reģistr (folkeregistret) med en begrundet anmodning eller ved i medfør af artikel 98, 99 og 100 i Civilprocesa likums (den lettiske lov om civil retspleje) at henvende sig til retterne og anmode om fremlæggelse af beviser. Den pågældende ret kan derefter pålægge politiet at videregive de personoplysninger, som Rīgas satiksme behøver for at kunne indlede et civilt søgsmål mod den pågældende person.
27. Den forelæggende ret har udtrykt tvivl om de alternative måder for indhentelse af personoplysninger, som det lettiske datatilsyn henviste til. Ved en henvendelse til folkeregistret udelukkende på baggrund af taxapassagerens navn, er der måske mange personer, der har det samme navn. Den relevante person kan måske kun identificeres ved hjælp af andre oplysninger, såsom de oplysninger, der er anmodet om i denne sag (identitetsnummer og adresse). Endvidere citerede det lettiske datatilsyn bestemmelserne i lov om civil retspleje vedrørende fremlæggelse af beviser. I overensstemmelse med artikel 128 i lov om civil retspleje skal sagsøgtes navn og identitetsnummer (hvis kendt) samt dennes retlige adresse og alternative adresse, der er angivet i registret, angives i forbindelse med indgivelsen af en stævning, eller hvis de ikke foreligger, hans bopæl med henblik på forkyndelse. Sagsøgeren skal derfor som minimum kende sagsøgtes bopæl.
28. Ifølge den forelæggende ret er de alternative muligheder for indhentelse af de nødvendige personoplysninger derfor uklare eller virkningsløse. Som følge heraf kan det være nødvendigt for Rīgas satiksme at indhente de personoplysninger, der er anmodet om, fra politiet for at beskytte sine legitime interesser.
29. Den forelæggende ret har også udtrykt tvivl om fortolkningen af ordet »nødvendig« i artikel 7, litra f), og er af den opfattelse, at fortolkningen er afgørende for retsforhandlingernes udfald.
30. Augstākās tiesas (Administratīvo lietu departaments) (øverste domstol (afdelingen for forvaltningsretlige sager), Letland) har derfor besluttet at udsætte retsforhandlingerne og forelægge Domstolen følgende præjudicielle spørgsmål:
»Skal formuleringen »behandlingen er nødvendig, for at […] den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse« som omhandlet i artikel 7, litra f), i Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger fortolkes således, at det nationale politi skal videregive de personoplysninger til Rīgas satiksme, som sidstnævnte har anmodet om, idet de er nødvendige for at kunne anlægge et civilt søgsmål?Berøres besvarelsen af dette spørgsmål af den omstændighed, således som det fremgår af sagsakterne, at den taxapassager, hvis personoplysninger forsøges indhentet af Rīgas satiksme, var mindreårig på ulykkestidspunktet?«
31. Rīgas satiksme, Kommissionen og den tjekkiske, den spanske, den lettiske, den østrigske og den portugisiske regering har indgivet skriftlige indlæg. Kommissionen og den lettiske regering har afgivet mundtlige indlæg under retsmødet den 24. november 2016.
IV. Bedømmelse
32. Den forelæggende ret har i det væsentlige ønsket oplyst, om den registeransvarlige i henhold til direktivet har pligt til at videregive oplysninger, som gør det muligt at identificere en person, som angiveligt er skyldig i en administrativ lovovertrædelse, således at sagsøgeren kan indlede et civilt søgsmål.
33. Mit korte svar på dette specifikke spørgsmål fra den forelæggende ret er »nej«. Selve direktivet fastlægger ikke en sådan pligt. Det giver blot en mulighed (i betydningen tilladelse eller godkendelse) for at gøre det, hvis en række elementer foreligger. Muligheden for at udøve en vis aktivitet i henhold til loven er en særskilt kategori, der er adskilt fra pligten til at udøve denne aktivitet.
34. I henhold til omstændighederne i denne sag er det dog ikke hele problemstillingen. Det vil sige, at Domstolen i det mindste delvist i forhold til oplysninger, der faktisk er blevet videregivet, også er blevet anmodet om at fastlægge betingelserne for anvendelse af direktivets artikel 7, litra f), samt arten af og anvendelsesområdet for personoplysninger, som den, der anmoder om oplysninger, kan få i henhold til denne bestemmelse.
35. Dette forslag til afgørelse er derfor opbygget således: For det første vil jeg redegøre for, hvorfor den enhed, der råder over oplysninger, efter min opfattelse ikke har pligt til at videregive dem i henhold til direktivet (afsnit A). For det andet vil jeg, for at give den forelæggende ret et fuldstændigt og nyttigt svar i denne sag, foreslå betingelser for anvendelse af direktivets artikel 7, litra f), samt arten af og anvendelsesområdet for personoplysninger, der kan videregives, hvis betingelserne er opfyldt (afsnit B).
A. Pligt til videregivelse
36. Den forelæggende ret har ønsket oplyst, om personoplysninger skal videregives med henblik på at indlede et civilt søgsmål i medfør af direktivets artikel 7, litra f). Den forelæggende ret har med andre ord ønsket oplyst, om selve direktivet pålægger en pligt til at videregive disse personoplysninger.
37. Efter min opfattelse kan der ikke udledes en sådan pligt af selve direktivet. Det følger utvetydigt af ordlyden og opbygningen samt selve formålet med direktivet.
38. Hvis jeg starter med direktivets opbygning og logik, er den hovedregel, der ligger bag direktivet, at personoplysninger generelt ikke bør behandles, således at der sikres et højt beskyttelsesniveau for retten til privatliv (4). Behandling af personoplysninger forbliver efter sin art en undtagelse.
39. Artikel 7 er en del af denne ordning. Artiklen opstiller en liste over undtagelser til hovedreglen, hvorved behandling er lovlig under visse strengt formulerede betingelser. Kategorierne i artikel 7 er dermed undtagelser til den overordnede regel.
40. På denne baggrund bekræfter ordlyden af artikel 7 klart, at de opregnede kategorier blot er en tilladelse til eller mulighed for at behandle personoplysninger i modsætning til en pligt, når den faktiske situation er omfattet af en af de retlige undtagelser. I henhold til bestemmelsen »[fastsætter m]edlemsstaterne […] bestemmelser om, at behandling af personoplysninger kunmå finde sted hvis […]« (5). Denne sprogbrug, som også anvendes i andre sprogversioner (6), viser klart, at artikel 7-undtagelserne virkelig er undtagelser. De kan ikke forstås som en pligt til at behandle personoplysninger.
41. Det forhold, at i det mindste nogle af artikel 7-undtagelserne har direkte virkning (7), ændrer ikke den tidligere konklusion. De skaber ikke i sig selv en ret til at modtage oplysninger for dem, der anmoder herom, ligesom de heller ikke skaber en heraf følgende pligt for dem, der råder over sådanne oplysninger, til at videregive dem. Artikel 7 fastsætter snarere generelle regler med henblik på, at registerføreren afgør hvornår, om, hvordan og i hvilket omfang registerføreren kan behandle personoplysninger, som denne har fået.
42. Endelig er direktivets overordnede formål at fastsætte fælles EU-grænser eller -afgrænsninger for behandlingen af personoplysninger. De konkrete individuelle årsager til og begrundelser for behandlingen kan oftest findes i national ret eller i andre EU-retlige instrumenter. Direktivet fastsætter med andre ord grænserne for databehandling. Det er ikke en opfordring til at databehandle.
43. Direktivets ordlyd, opbygning, logik og formål er alle ganske klare, idet det anføres, at direktivets artikel 7, litra f), ikke skal læses således, at den i sig selv fastsætter en pligt til at videregive personoplysninger.
44. Det kan som en bredere systematisk og subsidiær bemærkning også tilføjes, at en tilsvarende struktur på ingen måde er usædvanlig inden for andre EU-retlige områder, hvor den afledte EU-ret direkte eller indirekte berører personoplysninger.
45. F.eks. indeholder direktiv 2002/58/EF om privatliv og elektronisk kommunikation (8), som supplerer direktiv 95/46 hvad angår sektoren for elektronisk kommunikation, heller ikke en pligt til videregivelse. Domstolen gjorde det klart i Promusicae-dommen, at den førstnævnte hverken udelukker eller tvinger medlemsstaterne til at fastsætte en pligt til under en civil retssag at videregive personoplysninger (9). Det er derfor medlemsstaterne, der bestemmer. Det er ikke nødvendigvis en følge af EU-retten.
46. Tilsvarende har Domstolen fastslået, at andre direktiver (10), som berører personoplysninger, men som hovedsagelig tilsigter at sikre den effektive beskyttelse af intellektuelle ejendomsrettigheder i informationssamfundet (11), heller ikke pålægger medlemsstaterne at fastsætte pligten til at videregive personoplysninger med henblik på at sikre den effektive beskyttelse af ophavsretten under en civil retssag (12).
B. Mulighed for videregivelse
47. Som anført af den forelæggende ret modtog appelindstævnte faktisk nogle personoplysninger: den pågældende persons fornavn og efternavn. Resten af anmodningen blev afvist. Dette skete antageligt på grundlag af national ret.
48. Derfor, og henset til de personoplysninger, der faktisk blev videregivet, er spørgsmålet, om videregivelsen var forenelig med direktivets artikel 7, af relevans.
49. Det skal imidlertid klart understreges, at den følgende del af dette forslag til afgørelse vedrører muligheden for at videregive personoplysninger i en faktisk situation som den i hovedsagen omhandlede på den betingelse, at national ret giver hjemmel for en sådan videregivelse. Med andre ord: hvilke grænser opstiller EU-retten for videregivelse af personoplysninger i en sådan situation? Hvis national ret giver mulighed for videregivelsen af personoplysninger i en tilsvarende situation, er en sådan videregivelse da forenelig med direktivets artikel 7, litra f)?
50. Efter min opfattelse er det i en situation som den i hovedsagen omhandlede fuldstændigt foreneligt med artikel 7, litra f), at videregive personoplysninger med et anvendelsesområde og i et omfang, som gør den skadelidte i stand til at indlede et civilt søgsmål.
51. I dette afsnit undersøger jeg derfor for det første den rette hjemmel for behandling af personoplysninger i henhold til direktivet i en tilsvarende faktisk situation. For det andet foreslår jeg betingelserne for anvendelse af direktivets artikel 7, litra f). For det tredje vurderer jeg den foreliggende sag i lyset af disse betingelser.
1. Den rette hjemmel i henhold til direktivets artikel 7
52. En indledende problemstilling, der blev drøftet både i de skriftlige og mundtlige indlæg, er, hvilket litra i direktivets artikel 7 der bør finde anvendelse på en faktisk situation som den i hovedsagen omhandlede.
53. De fleste af parterne og intervenienterne støttede ret på artikel 7, litra f), som den forelæggende ret har påberåbt sig. Den østrigske regering har i sit skriftlige indlæg dog argumenteret for, at direktivets artikel 7, litra f), ikke er den korrekte hjemmel, selv med henblik på at indlede et civilt søgsmål. Dette skyldes, at den angiveligt opstiller en for abstrakt og upræcis begrundelse for databehandling. Den kan derfor ikke begrunde et sådant indgreb i retten til databeskyttelse.
54. Kommissionen har i sit skriftlige indlæg fokuseret på artikel 7, litra f). I retsmødet foreslog Kommissionen imidlertid også, at databehandling som i den i hovedsagen omhandlede også kunne være omfattet af direktivets artikel 7, litra c) eller e).
55. Direktivets artikel 7 opstiller forskellige hjemler for lovlig databehandling ved at sondre mellem seks scenarier. For at disse oplysninger kan behandles, skal de være omfattet af mindst en af kategorierne i artikel 7. Det er dog åbenlyst, at bestemmelsernes anvendelsesområde og begrundelse er forskellige.
56. Artikel 7 indeholder – i bredere, abstrakte vendinger – tre typer undtagelser, for hvilke behandling af personoplysninger skal være lovlig: For det første når den registrerede har givet sit samtykke [artikel 7, litra a)], for det andet når den registeransvarlige eller tredjemand i et vist omfang formodes at have legitime interesser [artikel 7, litra b)-e)], og for det tredje når det ikke blot er fastslået, at der er konkurrerende legitime interesser, men også at de vejer tungere end den registreredes interesser eller rettigheder og frihedsrettigheder [artikel 7, litra f)].
57. Anvendelsesområdet for artikel 7, litra f), er dermed bredere end for artikel 7, litra c) eller e). Den førstnævnte er ikke bundet op på specifikke retlige eller faktiske omstændigheder, men er formuleret i ganske generelle vendinger. Anvendelsen heraf er dog mere stringent, eftersom den er betinget af, at den registeransvarlige eller tredjemand har legitime interesser, som vejer tungere end den registreredes, hvilket ikke kræves i henhold til artikel 7, litra c) eller e).
58. Hvis man ser bort fra teoretiske drøftelser, er der imidlertid to punkter, som er værd at fremhæve. For det første udelukker artikel 7-undtagelserne ikke hinanden indbyrdes. To eller potentielt alle tre kan dermed finde anvendelse på ét faktisk forhold (13). For det andet er den praktiske forskel i anvendelsen sandsynligvis ganske minimal – på trods af den forskellige ordlyd – forudsat at der er klart formulerede og troværdige legitime interesser.
59. Med disse forbehold in mente, men henvist til den nationale ret – som har fuldstændigt kendskab til sagens faktiske omstændigheder og national lovgivning, der er redegjort for i spørgsmålet, og som har påberåbt sig artikel 7, litra f), som den undtagelse, der finder anvendelse – er det min opfattelse, at Domstolen bør fortsætte på dette grundlag.
2. Betingelserne i og anvendelsesområdet for direktivets artikel 7, litra f)
60. Artikel 7, litra f), indeholder to kumulative betingelser. Begge skal være opfyldt for, at behandling af personoplysninger er lovlig: for det første skal behandlingen af personoplysninger være nødvendig for, at den registeransvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, kan forfølge en legitim interesse. For det andet må den registreredes grundlæggende rettigheder og frihedsrettigheder ikke gå forud herfor(14).
61. Den anden betingelse tilsigter at afveje de involverede interesser. Den første kan faktisk opdeles i to underbetingelser for didaktiske formål: selve den legitime interesse på den ene side og behandlingens nødvendige karakter, dvs. en form for proportionalitet, på den anden side.
62. I henhold til artikel 7, litra f), skal der dermed være tre elementer til stede: a) der skal være en legitim interesse, som begrunder behandlingen, b) denne interesse går forud for den registreredes rettigheder og interesser (interesseafvejning) og c) behandlingen skal være nødvendig for udøvelsen af de legitime interesser.
a) Legitim interesse
63. For det første er behandling i henhold til direktivets artikel 7, litra f), betinget af, at den registeransvarlige eller tredjemand har legitime interesser.
64. Direktivet definerer ikke legitime interesser (15). Det er dermed den registeransvarlige eller registerføreren, der under de nationale retters kontrol skal afgøre, om der er et legitimt formål, som kan begrunde et indgreb i privatlivets fred.
65. Domstolen har allerede fastslået, at åbenhed (16) eller beskyttelsen af ejendom, sundhed og liv (17) er legitime interesser. Begrebet legitime interesser er elastisk nok til at tage højde for andre betragtninger. Jeg er slet ikke i tvivl om, at en tredjemands interesse i at få personoplysninger om en person, som har forvoldt skade på vedkommendes ejendom, med henblik på at anlægge erstatningssag kan kvalificeres som en legitim interesse.
b) Interesseafvejning
66. Den anden betingelse vedrører afvejningen af to hold konkurrerende interesser, nemlig den registreredes interesser og rettigheder (18) og den registeransvarliges og tredjemands interesser. Kravet om afvejning fremgår klart af både artikel 7, litra f), og direktivets tilblivelseshistorie. Hvad angår direktivets ordlyd kræver artikel 7, litra f), at den registreredes legitime interesser afvejes mod den registeransvarliges eller tredjemands legitime interesser. Tilblivelseshistorien bekræfter, at interesseafvejningen allerede var fastsat – dog på lidt andre måder – i Kommissionens oprindelige forslag (19) og også i Kommissionens ændrede forslag efter Europa-Parlamentets førstebehandling (20).
67. Domstolen har fastslået, at anvendelsen af artikel 7, litra f), nødvendiggør en afvejning af de omhandlede modstående rettigheder og interesser, i forbindelse med hvilken der skal tages hensyn til vigtigheden af den registreredes rettigheder, som følger af chartrets artikel 7 og 8 (21). En sådan afvejning skal foretages på grundlag af de konkrete omstændigheder i det enkelte tilfælde (22).
68. Afvejning er nøglen til den korrekte anvendelse af artikel 7, litra f). Det er denne proces, der adskiller artikel 7, litra f), fuldstændigt fra de øvrige bestemmelser i artikel 7. Den afhænger altid af de konkrete omstændigheder i det enkelte tilfælde. Det er af disse grunde, at Domstolen har fremhævet, at medlemsstaterne for visse kategorier af personoplysninger ikke definitivt kan foreskrive resultatet af afvejningen af de modstående rettigheder og interesser, uden at tillade et anderledes resultat som følge af særlige omstændigheder i det konkrete tilfælde (23).
69. For at kunne foretage en meningsfuld afvejning skal der tages behørigt hensyn til navnlig arten og følsomheden af de oplysninger, der er anmodet om, hvorvidt de er offentligt tilgængelige eller ikke (24) og krænkelsens grovhed. Et af de mulige elementer, som skal tages i betragtning ved afvejningen, og som er af betydning for denne sag, er den registreredes alder.
c) Nødvendighed
70. Hvad angår nødvendigheden eller på en måde den grundlæggende proportionalitet har Domstolen fastslået, at undtagelser fra og begrænsninger af beskyttelsen af personoplysninger skal holdes inden for det strengt nødvendige (25). Arten og omfanget af de oplysninger, der skal behandles, må derfor ikke gå længere end det, der er nødvendigt for opnå formålet med de pågældende legitime interesser.
71. Undersøgelsen af forholdsmæssigheden er en vurdering af forholdet mellem mål og valgte midler. De valgte midler kan ikke gå længere end det nødvendige. Denne logik går dog også den modsatte vej: Midlerne skal være i stand til at opnå det angivne mål.
72. Den registeransvarlige, der skal foretage vurderingen af nødvendigheden, har praktisk talt to muligheder. Enten afholder han sig fra at videregive nogen oplysninger, eller hvis han beslutter sig for at behandle oplysningerne, så skal han give alle oplysninger, der er nødvendige for at opfylde de pågældende legitime interesser (26).
73. For det første kræver artikel 6, stk. 1, litra c), og det fremgår af 28. betragtning til direktivet, at personoplysninger skal være relevante og tilstrækkelige og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de indsamles, og til de formål, hvortil de senere behandles (27). Det følger dermed af disse bestemmelser, at de videregivne oplysninger også skal være tilstrækkelige og relevante for gennemførelsen af de legitime interesser.
74. For det andet taler sund fornuft for en rimelig fremgangsmåde med hensyn til de oplysninger, der faktisk bør behandles. Dem, der anmoder om oplysninger, bør faktisk gives nyttige og relevante oplysninger, som er nødvendige og tilstrækkelige for, at de kan opfylde deres egne legitime interesser, uden at skulle sende en anmodning til en anden enhed, som måske også har oplysningerne.
75. Billedlig talt bør anvendelsen af nødvendighedskriteriet ikke medføre, at gennemførelsen af en legitim interesse bliver til en kafkask skattejagt, der minder om et afsnit af Fangerne på Fortet, hvor deltagerne sendes fra et ene værelse til det andet for at samle delvise spor for senere at kunne finde ud af, hvor de faktisk skulle være gået hen.
76. Endelig skal det gentages, at det nøjagtige omfang af de oplysninger, der skal videregives, er et anliggende for national ret. National ret kan ganske vist også bestemme, at der kun skal ske delvis videregivelse, hvilket i sig selv er utilstrækkeligt. Det er bestemt muligt. Det forhold, at national lovgivning ikke forekommer at give megen praktisk mening, gør den ikke automatisk uforenelig med EU-retten, forudsat at lovgivningen ligger inden for medlemsstaternes lovgivningsmæssige område. Det, jeg foreslår her, er, at direktivets artikel 7, litra f), ikke er til hinder for fuldstændig videregivelse af alle de oplysninger, der er nødvendige for effektivt at forfølge ens eget legitime mål, så længe de andre betingelser er opfyldt.
3. Anvendelse i denne sag
77. Efter at have redegjort for de overordnede rammer for bedømmelsen vender jeg mig nu mod den foreliggende sag med det forbehold, at det naturligvis i sidste ende er den nationale ret, der skal træffe en afgørelse, henset til dennes detaljerede kendskab til de faktiske omstændigheder og national ret.
78. Rīgas Satiksme anmodede om, at politiet gav dem taxapassagerens adresse og identitetsnummer med henblik på at indlede et civilt søgsmål med påstand om erstatning for det lidte tab.
79. For det første er det – som den tjekkiske, den spanske og den portugisiske regering med rette har argumenteret for – en legitim interesse at gøre et retskrav gældende, som det fremgår af artikel 7, litra f).
80. Dette bekræftes også af direktivets artikel 8, stk. 2, litra e), som bestemmer, at der kan behandles visse følsomme oplysninger, hvis »behandlingen vedrører oplysninger, som […] er nødvendig[e] for, at et retskrav kan fastlægges, gøres gældende eller forsvares«. Hvis udøvelsen af et retskrav kan begrunde behandlingen af følsomme oplysninger i henhold til artikel 8, har jeg vanskeligt ved at se, hvorfor det ikke så meget desto mere kan anses for en legitim interesse, som begrunder behandlingen af ikke-følsomme oplysninger i henhold til artikel 7, litra f). Denne fortolkning følger også af en pragmatisk tilgang til direktivet i lyset af de andre instrumenter i afledt ret (nævnt ovenfor), som søger at afveje privatlivets fred og effektiv retsbeskyttelse (28).
81. Hvad for det andet angår interesseafvejningen generelt ser jeg ingen grund til, at interesserne i den registreredes grundlæggende rettigheder bør veje tungere end skadelidtes specifikke legitime mål om at forfølge et civilt søgsmål. Det er i denne sammenhæng måske også værd at tilføje, at det, som appelindstævnte har anmodet om, faktisk er muligheden for at indlede retsforhandlinger ved en civil retsinstans. Videregivelsen i sig selv bør derfor ikke medføre nogen umiddelbar ændring i den registreredes retsstilling.
82. Som den portugisiske regering med rette har anført, er det navnlig på dette tidspunkt med afvejning, at den registreredes alder bør tages i betragtning.
83. Den forelæggende ret har faktisk ønsket oplyst, hvorvidt det forhold, at taxapassageren var mindreårig på ulykkestidspunktet, er relevant. Efter min opfattelse, og henset til sagens særlige omstændigheder, er det ikke.
84. Generelt er det forhold, at den registrerede er mindreårig, et forhold, der faktisk skal tages i betragtning ved interesseafvejningen. De særlige betragtninger, som mindreårige børn fortjener og den bedre beskyttelse heraf, bør have en mærkbar forbindelse med den pågældende form for databehandling. Medmindre det fastslås nøjagtigt, hvordan videregivelsen i denne bestemte sag kan bringe f.eks. et barns fysiske eller mentale udvikling i fare, har jeg vanskeligt ved at se, hvorfor det forhold, at skaden er forvoldt af en mindreårig, bør føre til, at der ikke kan anlægges et civilt søgsmål.
85. Endelig, hvis interesseafvejningen bør føre til, at den registreredes interesser ikke vejer tungere end interesserne hos den person, som anmoder om videregivelse af personoplysninger, opstår den sidste problemstilling: en om nødvendighed og omfanget af de oplysninger, der skal videregives.
86. Igen er det den forelæggende ret, der skal identificere den hjemmel i national ret, som giver mulighed for en sådan videregivelse. Når en sådan hjemmel er identificeret, er »nødvendighedskriteriet« i direktivets artikel 7, litra f), efter min opfattelse bestemt ikke til hinder for, at der kan ske fuldstændig videregivelse af alle de oplysninger, der er nødvendige for at indlede et civilt søgsmål i henhold til lettisk ret.
87. Den lettiske regering har argumenteret for, at beskyttelsen af den grundlæggende ret til privatliv i henhold til fast retspraksis kræver, at fravigelserne af beskyttelsen af personoplysninger og begrænsninger heri bør være begrænset til det, der er strengt nødvendigt. Selv om regeringen har anerkendt, at der var alternative måder til at få yderligere oplysninger, har den medgivet, at fornavnet og efternavnet sandsynligvis ikke var tilstrækkeligt til at gøre et retskrav gældende, og den har derfor henvist til den nationale rets bedømmelse.
88. Det bør bemærkes, at direktivets artikel 8, stk. 7, giver medlemsstaterne spillerum til at beslutte, om der skal videregives identitetsnumre. Medlemsstaterne har derfor ikke pligt til at behandle identitetsnumre, medmindre det er absolut nødvendigt for at indlede et civilt søgsmål.
89. Uanset deres nøjagtige art er det afgørende indehavelsen af alle de relevante oplysninger, som er uomgængeligt nødvendige for at gøre et retskrav gældende. Hvis adressen dermed er tilstrækkelig i henhold til national ret, så bør der ikke videregives yderligere oplysninger.
90. Det tilkommer den nationale ret i henhold til lettisk ret at afgøre, hvor mange personoplysninger der er nødvendige for, at Rīgas satiksme kan indlede en retssag (29). Jeg ønsker blot at fremhæve, som det allerede fremgår af punkt 74-75 i dette forslag til afgørelse, at det forhold, at der findes alternativer til at opnå de nødvendige personoplysninger, ikke er relevant for anvendelsen af artikel 7, litra f). Rīgas satiksme bør være i stand til at få alle de nødvendige oplysninger fra en enkelt registerfører, som han har anmodet om oplysninger.
En beskyttende databeskyttelsesepilog
91. Dette er en ganske særegen sag. Den forelæggende ret har i det væsentlige ønsket oplyst, om en undtagelse, der giver mulighed for behandling af personoplysninger, kan fortolkes som en pligt, der påhviler den registeransvarlige, til at videregive identiteten af en person, som forvoldte en bilulykke. Det forekommer, at den reelle grund til at stille spørgsmålet er, at muligheden for på nationalt niveau at opnå sådanne oplysninger i databeskyttelsens navn er vanskeliggjort, hvis ikke gjort helt umulig.
92. Hvis man ser på de pågældende begivenheder, kan en uoplyst tilskuer stille det uskyldige spørgsmål: Bør en privatpersons anmodning om identiteten på den person, som forvoldte skade på denne persons ejendom, og som personen ønsker at søge erstatning hos, reelt være en sag, hvor politibetjente skal foretage flere afvejninger af interesser og proportionalitet efterfulgt af en langstrakt retssag og en udtalelse fra det nationale datatilsyn?
93. Denne er sag er endnu et eksempel (30), hvor databeskyttelseslovgivningen griber ind i og anvendes under ganske overraskende omstændigheder. Det skaber, ikke blot for den uoplyste tilskuer, en vis intellektuel bekymring hvad angår databeskyttelsesreglernes rimelige anvendelse og funktionsmåde. Jeg vil benytte lejligheden for at komme med et par konkluderende bemærkninger i denne henseende.
94. Der er ingen tvivl om, at beskyttelsen af personoplysninger er af oprindelig betydning i den digitale tidsalder. Domstolen har stået i spidsen for udviklingen af retspraksis på dette område (31) og med rette.
95. De nævnte sager afspejler dog hovedproblemstillingen i beskyttelsen af personoplysninger og årsagen til, at den oprindeligt blev indført og energisk skal beskyttes: behandling i større omfang af personoplysninger ved mekaniske, digitale midler i alle afskygninger, såsom kompilering, forvaltning og anvendelse af store datasæt med andet end legitime formål, indsamling og udtagning af metadata mv.
96. Som inden for alle andre retsområder skal regler, der regulerer en bestemt aktivitet, være tilstrækkeligt fleksible til at omfatte alle de potentielle eventualiteter, der opstår. Dette kan dog medføre risiko for en for vid fortolkning og anvendelse af disse regler. De kan ende med også at blive anvendt i en situation, hvor forbindelsen med det oprindelige formål er noget spinkel og tvivlsom. Den for vide anvendelse og et vist »anvendelsesenevælde« kan føre til, at den oprindelige idé, som i sig selv var meget vigtig og legitim, miskrediteres.
97. Generelt insisterede Domstolen i Promusicae-dommen på behovet for at fortolke direktiverne om personoplysninger således, at det er muligt at sikre den rette afvejning af de forskellige grundlæggende rettigheder, der er beskyttet af Unionens retsorden (32).
98. Der kan måske også føjes en vis »rule of reason« hertil, som bør anvendes ved afvejningen. Det betyder, at lovgivningens oprindelige og primære (bestemt ikke unikke, men blot primære) formål skal haves in mente: at regulere større transaktioner, der foretages ved mekaniske, automatiske midler, og anvendelsen og overførslen af oplysninger, der herved opnås. Derimod er der efter min ydmyge opfattelse behov for en lettere hånd i situationer, hvor en person anmoder om en individuel oplysning vedrørende en bestemt person i et konkret forhold, når der er et klart og helt legitimt formål, som følger af lovens normale virke.
99. Sammenfattende er sund fornuft ikke en retskilde, men den bør åbenlyst vejlede fortolkningen heraf. Det er yderst uheldigt, hvis beskyttelsen af personoplysninger medfører hindring af personoplysninger.
V. Forslag til afgørelse
100. På baggrund af ovenstående betragtninger anbefaler jeg Domstolen at besvare det af Augstākā tiesa, Administratīvo lietu departaments (øverste domstol, afdelingen for forvaltningsretlige sager, Letland) forelagte spørgsmål således:
»Artikel 7, litra f), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger kan ikke fortolkes således, at den medfører, at den registeransvarlige har pligt til at videregive de personoplysninger, som en tredjemand har anmodet om med henblik på at indlede et civilt søgsmål.
Direktivets artikel 7, litra f), er imidlertid ikke til hinder for en sådan videregivelse, forudsat at national ret giver mulighed for videregivelse af personoplysninger i situationer som den i hovedsagen omhandlede. Det forhold, at den registrerede var mindreårig på ulykkestidspunktet, er ikke afgørende i denne henseende.«