FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
PRIIT PIKAMÄE
föredraget den 15 juni 2023(1)
Mål C‑118/22
NG
Förvaltningsmål
mot
Direktor na Glavna direktsia ”Natsionalna politsia” pri MVR – Sofia,
ytterligare deltagare i rättegången:
Varhovna administrativna prokuratura
(begäran om förhandsavgörande från Varhoven administrativen sad (Högsta förvaltningsdomstolen, Bulgarien))
”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Direktiv (EU) 2016/680 – Artiklarna 4, 5, 8, 10 och 16 – Lagring av personuppgifter för en fysisk person, som dömts för ett uppsåtligt brott, fram till dennes bortgång – Fysisk person som har dömts genom en lagakraftvunnen dom och senare har rehabiliterats – Avslag på begäran om radering – Behovet och proportionaliteten av ett ingrepp i de grundläggande rättigheter som stadfästs i artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna”
1. Ska man känna oro över lagring av personuppgifter i ett polisregister som innebär att den registrerade, eventuellt under hela sin livstid, betraktas som socialt avvikande och ständigt farlig? Eller ska man tvärtom glädja sig över detta polisregister och konstatera att det kan hjälpa utredarna att lösa gamla ouppklarade fall, så kallade cold cases, till största möjliga lättnad för brottsoffrens familjer?
2. Förevarande mål rör just dessa motstående frågor som avser huruvida det allmänna intresset av att bekämpa brottslighet kan förenas med den enskildes intresse av skydd för sina personuppgifter och respekt för privatlivet. Det ger domstolen tillfälle att uttala sig om frågan om behandling av personuppgifter för brottsbekämpande syften i ett tidsmässigt hänseende, mot bakgrund av relevanta bestämmelser i direktiv (EU) 2016/680.(2)
I. Tillämpliga bestämmelser
A. Unionsrätt
3. Relevanta bestämmelser i förevarande mål är artiklarna 4, 5, 8, 10 och 16 i direktiv 2016/680 samt artikel 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan).
B. Bulgarisk rätt
4. I artikel 26.1 och 26.2 i Zakon za Ministerstvo na vatreshnite raboti (lagen om inrikesministeriet) (nedan kallad ZMVR) föreskrivs följande:
”1) När inrikesministeriets tjänstemän behandlar personuppgifter i samband med verksamhet som syftar till att skydda den nationella säkerheten, bekämpa brottslighet, upprätthålla allmän ordning och genomföra straffrättsliga förfaranden
…
3. får de behandla alla nödvändiga kategorier av personuppgifter.
2) Tidsgränserna för lagring av de uppgifter som avses i punkt 1 eller för periodisk översyn av behovet av att lagra uppgifterna ska fastställas av inrikesministeriet. Vidare ska uppgifterna raderas i enlighet med en domstolshandling eller ett beslut av kommissionen för skydd av personuppgifter.”
5. I artikel 27 ZMVR anges följande:
”Uppgifter som härrör från att personer förts in i polisregistret i enlighet med artikel 68 ska endast användas i syfte att skydda den nationella säkerheten, bekämpa brottslighet och upprätthålla den allmänna ordningen.”
6. I artikel 68 ZMVR föreskrivs följande:
”1) Polismyndigheterna ska i polisregistret föra in uppgifter om personer som har lagförts för ett uppsåtligt brott som omfattas av allmänt åtal. De myndigheter som ansvarar för utredningen är skyldiga att vidta nödvändiga åtgärder för att se till polismyndigheterna för in uppgifterna i registret.
2) Införandet i polisregistret utgör en typ av behandling av personuppgifter för de personer som avses i punkt 1, vilken ska utföras i enlighet med denna lag.
3) I syftet att föra in uppgifter i polisregistret ska polismyndigheterna
1. samla in personuppgifter om de personer som avses i artikel 18 i lagen om bulgariska identitetshandlingar,
2. ta digitala fingeravtryck av personerna och fotografera dem,
3. ta prover för DNA-profilering av personerna.
…
6) Uppgifterna i polisregistret ska raderas till följd av ett skriftligt beslut som den personuppgiftsansvarige, eller av denne bemyndigade tjänstemän, har fattat ex officio eller till följd av en skriftlig och motiverad begäran från den registrerade, om
1. registreringen har skett i strid med lagen,
2. det straffrättsliga förfarandet har lagts ner, utom i de fall som avses i artikel 24.3 i [Nakazatelno-protsesualen kodeks (straffprocesslagen)],
3. det straffrättsliga förfarandet har lett till ett frikännande,
4. personen har frikänts från straffrättsligt ansvar och har ålagts en administrativ påföljd,
5. personen har avlidit, varvid begäran kan inges av hans eller hennes arvingar.
7) Villkoren för införande i och radering ur polisregistret ska fastställas genom en regeringsförordning.”
II. Bakgrund till tvisten, målet vid den nationella domstolen och tolkningsfrågan
7. NG fördes in i polisregistret i samband med en förundersökning avseende falskt vittnesmål, som är ett brott enligt artikel 290.1 i Nakazatelen Kodeks (strafflagen). Till följd av detta förfarande upprättades en anklagelseakt mot honom den 2 juli 2015. Genom dom av den 28 juni 2016, som vid överklagande fastställdes genom dom av den 2 december 2016, befanns han skyldig och dömdes till ett års villkorligt fängelse. Straffet hade avtjänats den 14 mars 2018.
8. Den 15 juli 2020 lämnade NG in en begäran om radering av de registrerade uppgifterna till den territoriellt behöriga myndigheten vid Ministerstvo na vatreshnite raboti (inrikesministeriet, Bulgarien) och bifogade ett utdrag ur belastningsregistret som styrkte att han inte var dömd för brott.
9. Genom beslut av den 2 september 2020 avslog den behöriga administrativa myndigheten begäran med motiveringen att en lagakraftvunnen dom inte finns med bland de skäl för radering av uppgifter i polisregistret som uttömmande räknas upp i artikel 68.6 ZMVR, inbegripet i fall av rehabilitering i den mening som avses i artikel 85 i strafflagen. Den 8 oktober 2020 ingav NG ett överklagande av detta beslut till Administrativen sad Sofia grad (Förvaltningsdomstolen i Sofia, Bulgarien). Överklagandet avslogs genom beslut av den 2 februari 2021.
10. NG överklagade beslutet från Administrativen sad Sofia grad till Varhoven administrativen sad (Högsta förvaltningsdomstolen, Bulgarien). Den huvudsakliga grunden för detta överklagande avser ett åsidosättande av den princip som följer av artiklarna 5, 13 och 14 i direktiv 2016/680, enligt vilken behandling av personuppgifter genom lagring inte får ske under obegränsad tid. Emellertid kan en dömd person efter sin rehabilitering, i avsaknad av skäl för radering av uppgifterna i polisregistret, inte begära att uppgifter som samlats in i samband med ett brott för vilket straffet har avtjänats ska raderas, vilket innebär att lagringstiden för uppgifterna är obegränsad.
11. Eftersom den hänskjutande domstolen hyser tvivel om huruvida den nationella lagstiftningen om polisregistret i fråga är förenlig med unionsrätten, beslutade den att vilandeförklara målet och ställa följande fråga till EU-domstolen:
”Ska artikel 5 jämförd med artikel 13.2 b och 13.3 i [direktiv 2016/680] tolkas så, att den utgör hinder mot nationella lagstiftningsåtgärder som leder till en i praktiken obegränsad rätt för de behöriga myndigheterna att behandla personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott och/eller till att den registrerades rätt till begränsning av behandlingen och radering eller förstöring av dennes personuppgifter upphävs?”
III. Förfarandet vid EU-domstolen
12. Den bulgariska, den tjeckiska, den irländska, den spanska och den polska regeringen samt Europeiska kommissionen har inkommit med skriftliga yttranden. Vid förhandlingen, som hölls den 7 februari 2023, yttrade sig NG, den bulgariska, den irländska, den spanska, den nederländska och den polska regeringen samt kommissionen.
IV. Bedömning
A. Huruvida direktiv 2016/680 är tillämpligt
13. Av begäran om förhandsavgörande framgår att den hänskjutande domstolen anser det vara uppenbart att den omtvistade nationella lagstiftningen omfattas av det materiella tillämpningsområdet (ratione materiae) för direktiv 2016/680. Denna uppfattning motiverar enligt min mening några anmärkningar.
14. Enligt artikel 1.1 jämförd med artikel 2.1 i direktiv 2016/680 är detta direktiv tillämpligt på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Enligt artikel 2.3 a i direktiv 2016/680 är behandling av personuppgifter ”som utgör ett led i en verksamhet som inte omfattas av unionsrätten” undantagen från direktivets tillämpningsområde. I skälen 12 och 14 i direktivet preciseras innebörden av detta undantag från tillämpligheten så, att undantaget bland annat omfattar verksamhet som rör den nationella säkerheten, till skillnad från verksamhet som rör upprätthållande av lag och ordning som en uppgift som anförtros åt polisen eller andra brottsbekämpande myndigheter när det är nödvändigt för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och mot i lag skyddade grundläggande allmänna intressen som kan leda till ett brott.
15. Vid tolkningen av artikel 2.2 a i förordning (EU) 2016/679(3), i vilken det föreskrivs ett undantag från tillämpningen av denna förordning och vilken har samma lydelse som artikel 2.3 a i direktiv 2016/680, har domstolen slagit fast att förstnämnda bestämmelse, jämförd med skäl 16 i samma förordning, ska anses ha som enda syfte att från förordningens tillämpningsområde undanta behandling av personuppgifter som statliga myndigheter utför som ett led i en verksamhet som syftar till att upprätthålla nationell säkerhet eller en verksamhet som kan placeras i samma kategori. Det innebär att enbart den omständigheten att en verksamhet endast kan bedrivas av staten eller av en offentlig myndighet inte räcker för att detta undantag automatiskt ska vara tillämpligt på en sådan verksamhet. Domstolen har preciserat att verksamhet som syftar till att upprätthålla den nationella säkerheten omfattar bland annat verksamhet som syftar till att skydda statens grundfunktioner och samhällets grundläggande intressen.(4)
16. De uppgifter som i förevarande fall har registrerats och lagrats av polisen i enlighet med artikel 68 ZMVR har enligt artikel 27 i samma lag registrerats och lagrats i syfte att skydda den nationella säkerheten, bekämpa brottslighet och upprätthålla den allmänna ordningen. Polisregistret i fråga består således av en enda databas som är blandad, eftersom den innehåller information som kan vara föremål för behandlingar som svarar mot olika ändamål, däribland att skydda den nationella säkerheten, vilket inte omfattas av det materiella tillämpningsområdet för direktiv 2016/680. Under dessa omständigheter kan frågan huruvida lagringen av uppgifter i ett sådant register är laglig prövas mot bakgrund av kraven i detta direktiv endast i den mån uppgifterna i fråga används enbart för de ändamål som anges i artikel 1.1 i direktivet, vilket det ankommer på den hänskjutande domstolen att kontrollera.(5) Av de handlingar i målet som har ingetts till domstolen tycks det inte som om lagringen av NG:s uppgifter i polisregistret, vilka han har begärt ska raderas, kan betraktas som en behandling som ska undantas från det materiella tillämpningsområdet för direktiv 2016/680.
17. I detta skede är det viktigt att betona att den nationella lagstiftning som avses i det nationella målet redan har varit föremål för en dom från domstolen, till följd av en fråga från en bulgarisk domstol i ett mål avseende en person som misstänktes för skattebedrägeri och som vägrade att underställa sig insamling av sina uppgifter. I den domen uttalade domstolen sig bland annat om huruvida insamlingen av uppgifterna var tillåten mot bakgrund av kraven i artikel 10 i direktiv 2016/680 och slog fast att nämnda artikel, jämförd med artikel 4.1 a–c samt artikel 8.1 och 8.2 i direktivet, ska tolkas så, att den utgör hinder för nationell lagstiftning enligt vilken det föreskrivs en systematisk insamling av biometriska och genetiska uppgifter från varje person som är misstänkt för uppsåtlig brottslighet som omfattas av allmänt åtal för registrering, utan att det föreskrivs någon skyldighet för den behöriga domstolen att pröva och visa dels att denna insamling är absolut nödvändig för att uppnå de konkreta mål som eftersträvas, dels att dessa mål inte kan uppnås genom åtgärder som utgör ett mindre allvarligt ingrepp i den berörda personens rättigheter och friheter.(6) I förevarande mål har domstolen att pröva lagligheten i ett annat ingrepp, det vill säga lagring av information om fysiska personer som har dömts för brott och som identifieras med förnamn och efternamn i polisregistret i fråga, vilket är en behandling av personuppgifter som utförs av en offentlig myndighet, det vill säga det bulgariska inrikesministeriet, som har behörighet att förebygga, förhindra, avslöja och utreda brott i den mening som avses i artikel 3.1, 3.2 och 3.7 a i direktiv 2016/680.
B. Omformulering av tolkningsfrågan
18. Det ska inledningsvis erinras om att enligt det förfarande för samarbete mellan nationella domstolar och EU-domstolen som införts genom artikel 267 FEUF ankommer det på EU-domstolen att ge den nationella domstolen ett användbart svar, som gör det möjligt för den domstolen att avgöra det mål som den ska pröva. I detta syfte kan EU-domstolen behöva omformulera de frågor som hänskjutits. EU-domstolen har nämligen till uppgift att tolka samtliga bestämmelser i unionsrätten som behövs för att de nationella domstolarna ska kunna avgöra de mål som är anhängiga vid dem, även om dessa bestämmelser inte är uttryckligen angivna i de frågor som dessa domstolar har hänskjutit.(7)
19. Omständigheterna i det nationella målet avser en begäran om radering av personuppgifter i polisregistret, vilken har ingetts av en fysisk person som, efter att ha dömts för falskt vittnesmål, hade avtjänat sitt straff och hade rehabiliterats den 14 mars 2020, det vill säga fem år efter ovannämnda registrering. Begäran avslogs genom beslut av den behöriga administrativa myndigheten, vilket fastställdes i första instans genom beslut av Administrativen sad Sofia grad (Förvaltningsdomstolen i Sofia, Bulgarien), vilket har överklagats till den hänskjutande domstolen, som hyser tvivel om huruvida den nationella lagstiftningen är förenlig med direktiv 2016/680 när det gäller lagringen av uppgifterna i polisregistret. Det är således uppenbart att det nationella målet rör den i artikel 16.2 i direktiv 2016/680 föreskrivna rätten att utan onödigt dröjsmål få sina personuppgifter raderade, om behandlingen står i strid med de bestämmelser som antas enligt artiklarna 4, 8 och 10 i direktivet eller om personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
20. I artikel 4.1 c och e i direktiv 2016/680 anges att medlemsstaterna, i enlighet med principen om uppgiftsminimering respektive principen om lagringsminimering, ska säkerställa att personuppgifterna är adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas samt inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas.(8) Beträffande artikel 8 i direktivet rör den behandlingens laglighet, för vilken det krävs att behandlingen är nödvändig för att utföra en uppgift som utförs av en behörig myndighet för de ändamål som anges i artikel 1.1 i direktivet och som sker på grundval av unionsrätt eller medlemsstaternas nationella rätt, varvid nämnda nationella rätt åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. Vad slutligen gäller artikel 10 i direktiv 2016/680 innehåller den regler om behandling av särskilda kategorier av personuppgifter, såsom de biometriska och genetiska uppgifter som används i polisregistret för unik identifiering av en fysisk person.
21. Det måste konstateras att i tolkningsfrågan hänvisas det inte till de bestämmelser som anges i ovanstående punkt, trots att det är uppenbart att de är relevanta för det svar som domstolen ska tillhandahålla i förevarande fall. Den hänskjutande domstolen har begärt en tolkning av artiklarna 5, 13.2 b och 13.3 i direktiv 2016/680, vilka inte finns med bland de bestämmelser som uttryckligen anges i artikel 16.2 i direktivet, enligt vilken den registrerade ska ha rätt till radering av personuppgifterna, om den nationella lagstiftningen står i strid med de däri angivna bestämmelserna. Denna rättighet tillerkänns emellertid även om personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse som åvilar den personuppgiftsansvarig, vilket kan motsvara de situationer som avses i artiklarna 5 och 13.2 b i direktivet, det vill säga fastställande av längsta lagringstider för personuppgifter eller periodisk översyn av behovet av att lagra personuppgifter(9) respektive den personuppgiftsansvariges skyldighet att i specifika fall lämna ytterligare information till den registrerade utöver den information som avses i artikel 13.1, för att göra det möjligt för honom eller henne att utöva sina rättigheter. Artikel 13.3 däremot rör möjligheten för medlemsstaterna att på vissa villkor anta lagstiftningsåtgärder som gör att informationen till den registrerade enligt punkt 2 senareläggs, begränsas eller till och med utelämnas, vilket inte kan omfattas av en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
22. Av begäran om förhandsavgörande framgår i vart fall inte att frågan om information till NG om hans rättigheter skulle ha uppkommit i det nationella målet, eftersom det är uppenbart att han har kunnat utöva dem, som det framgår av att han har ingett ett klagomål rörande lagringen av hans personuppgifter till de administrativa myndigheterna följt av ett överklagande. Den fråga som har ställts till EU-domstolen förefaller således inte kräva en tolkning av artikel 13.2 b och 13.3 i direktiv 2016/680. Följaktligen är det särskilt artikel 16.2 i direktiv 2016/680 samt artiklarna 4, 5, 8 och 10 i direktivet som avses i det nationella målet.
23. Såsom det anges i skäl 104 i direktiv 2016/680 respekterar detta direktiv de grundläggande rättigheterna och iakttar de principer som erkänns i stadgan, så som de stadfästs i fördraget om Europeiska unionens funktionssätt, särskilt rätten till respekt för privatlivet och familjelivet och rätten till skydd av personuppgifter. Enligt skäl 46 i direktivet måste all begränsning av den registrerades rättigheter vara förenlig med stadgan och med Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, undertecknad i Rom den 4 november 1950 (nedan kallad Europakonventionen), tolkade enligt rättspraxis från domstolen respektive Europeiska domstolen för de mänskliga rättigheterna (nedan kallad Europadomstolen), och i synnerhet respektera kärnan i dessa rättigheter och friheter. Det ska erinras om att de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter, vilka garanteras i artiklarna 7 och 8 i stadgan, inte utgör några absoluta rättigheter, utan ska förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter. Begränsningar får således göras, förutsatt att de, i enlighet med vad som anges i artikel 52.1 i stadgan, är föreskrivna i lag och förenliga med det väsentliga innehållet i de grundläggande rättigheterna och proportionalitetsprincipen. Enligt den sistnämnda principen får begränsningar endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller mot behovet av skydd för andra människors rättigheter och friheter. Begränsningarna får inte gå utöver vad som är strikt nödvändigt, och den lagstiftning som innebär ett ingrepp måste innehålla tydliga och precisa bestämmelser som reglerar räckvidden och tillämpningen av den aktuella åtgärden.(10)
24. Under dessa omständigheter måste det anses att den hänskjutande domstolen vill få klarhet i huruvida artiklarna 4, 5, 8, 10 och 16.2 i direktiv 2016/680, jämförda med varandra och tolkade mot bakgrund av artikel 52.1 i stadgan, ska tolkas så, att de utgör hinder för nationell lagstiftning enligt vilken personuppgifter, inbegripet biometriska och genetiska uppgifter, ska lagras i ett polisregister fram till den registrerades bortgång, och enligt vilken den registrerade inte har möjlighet att få uppgifterna raderade till följd av rehabilitering som han eller hon har genomgått efter att ha dömts för brott.(11)
C. Lagringen av personuppgifter för brottsbekämpande ändamål
25. Innan jag granskar förenligheten hos den nationella lagstiftningen om polisregistret i fråga är det nödvändigt att undersöka problematiken kring lagring av personuppgifter för brottsbekämpande ändamål mot bakgrund av vissa bestämmelser i direktiv 2016/680 samt praxis från EU‑domstolen och från Europadomstolen.
26. För det första ska det påpekas att direktiv 2016/680 syftar till att bidra till förverkligandet av ett område med frihet, säkerhet och rättvisa inom unionen, samtidigt som det inrättas en stark och sammanhängande ram för skyddet av personuppgifter för att säkerställa iakttagandet av den grundläggande rätten till skydd för fysiska personer med avseende på behandling av personuppgifter, vilken erkänns i artikel 8.1 i stadgan och artikel 16.1 FEUF och är nära knuten till rätten till respekt för privatlivet, vilken stadfästs i artikel 7 i stadgan.(12) All behandling av personuppgifter ska i detta syfte vara förenlig med de principer som reglerar behandlingen av personuppgifter och de rättigheter som den registrerade har enligt kapitlen II respektive III i direktiv 2016/680. All behandling av personuppgifter ska i synnerhet vara förenlig med de principer för behandling av personuppgifter och de villkor för laglig behandling som anges i artiklarna 4 och 8 i direktivet. Eftersom de krav som anges i sistnämnda bestämmelse är ett uttryck för de krav som följer av artikel 52.1 i stadgan, ska de tolkas mot bakgrund av denna artikel.(13)
27. I svaret till den hänskjutande domstolen ska således principen om ”uppgiftsminimering” i artikel 4.1 c i direktiv 2016/680 beaktas, vilken är ett uttryck för proportionalitetsprincipen.(14) Det samma gäller principen om lagringsminimering, vilken föreskrivs i artikel 4.1 e i direktivet, enligt vilken det ska bedömas huruvida behandlingen är proportionerlig i förhållande till dess ändamål med hänsyn till den tid som gått. Att lagra uppgifterna under en längre tid än vad som är nödvändigt, det vill säga längre än vad som är nödvändigt för att uppnå de ändamål för vilka uppgifterna lagrats, strider mot denna princip.(15) Härav följer att även en behandling av uppgifter som inledningsvis är laglig med tiden kan bli oförenlig med direktiv 2016/680, om uppgifterna inte längre är nödvändiga för att uppnå dessa ändamål, och att uppgifterna måste raderas när nyssnämnda ändamål är uppfyllda.(16)
28. Tidsproblematiken i samband med lagring av personuppgifter tas även upp i artikel 5 i direktiv 2016/680, i vilken kraven i artikel 4 i direktivet kompletteras och preciseras.(17) Som det anges i skäl 26 i direktivet bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll för att säkerställa att uppgifter inte sparas längre än nödvändigt. Det måste konstateras att det i artikel 5 i direktiv 2016/680 dels föreskrivs att det ankommer på medlemsstaterna att bedöma och fastställa lämpliga tidsgränser för lagringen, dels föreskrivs en möjlighet till periodisk översyn av behovet av att lagra personuppgifter, som ett alternativ till att på förhand fastställa en längsta lagringstid. Denna andra möjlighet anser jag vara av viss betydelse i förevarande mål, eftersom den visar att unionslagstiftaren erkänner möjligheten att lagra personuppgifter för brottsbekämpande ändamål under en obestämd tid.(18) Detta konstaterande ska förenas med artikel 16.3 i direktiv 2016/680, där det föreskrivs en möjlighet att begränsa behandlingen av personuppgifter som ett alternativ till radering av dem, bland annat om, som det anges i led b, personuppgifterna måste sparas ”som bevisning”, vilket visar att det inte finns någon absolut rätt till radering.(19)
29. Huruvida lagringen av personuppgifterna är laglig beror nödvändigtvis även på arten av personuppgifterna, vilka i förevarande fall utgörs av bland annat digitala fingeravtryck, fotografier och ett DNA-prov av den person som är misstänkt för att ha begått ett brott eller har dömts för brott. Denna typ av uppgifter innebär att behandlingen omfattas av tillämpningsområdet för artikel 10 i direktiv 2016/680. Det är viktigt att betona att även om de regler som anges i denna bestämmelse, till skillnad från de som föreskrivs i artikel 9 i den allmänna dataskyddsförordningen, inte innehåller något principiellt förbud mot behandling av sådana uppgifter, ska behandlingen vara tillåten ”endast om det är absolut nödvändigt” och under förutsättning att det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter och endast om behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt.
30. Syftet med denna artikel 10 i direktiv 2016/680 är enligt rättspraxis att säkerställa ett utökat skydd mot sådan behandling som, på grund av att dessa uppgifter är särskilt känsliga och av det sammanhang i vilket de behandlas, såsom anges i skäl 37 i direktivet, kan utgöra ett synnerligen allvarligt hot mot grundläggande rättigheter, som rätten till respekt för privatlivet och skyddet för personuppgifter, vilka garanteras genom artiklarna 7 och 8 i stadgan. Det framgår av själva ordalydelsen i artikel 10 i direktiv 2016/680 att villkoret enligt vilket behandling av sådana uppgifter är tillåten ”endast om det är absolut nödvändigt” ska tolkas så, att det fastställer strängare villkor för att behandling av känsliga uppgifter ska vara tillåten, i förhållande till de villkor som följer av artikel 4.1 b och c samt artikel 8.1 i detta direktiv. De sistnämnda villkoren hänvisar endast till att behandling av uppgifter som allmänt sett omfattas av direktivets tillämpningsområde ska vara ”nödvändig”. Användningen av adverbet ”endast” framför uttrycket ”om det är absolut nödvändigt” understryker således att behandling av särskilda kategorier av uppgifter, i den mening som avses i artikel 10 i direktiv 2016/680, endast kan anses vara nödvändig i ett begränsat antal fall. Den omständigheten att behovet av att behandla sådana uppgifter ska vara ”absolut” tyder vidare på att detta behov ska bedömas särskilt strikt.(20)
31. För det andra ska det påpekas att även om domstolen redan flera gånger har uttalat sig om frågan om huruvida lagring av personuppgifter för brottsbekämpande ändamål är laglig, har dessa uttalanden gjorts i normativa och faktiska sammanhang som i högsta grad skiljer sig från förevarande mål. Domstolen har således slagit fast(21) att den unionsrätt som har sitt upphov i direktiv 2002/58/EG,(22) av vilket det följer att användarna av elektroniska kommunikationsmedel i princip har rätt att förvänta sig att deras kommunikationer och därmed förbundna uppgifter förblir anonyma och inte kan registreras, såvida de inte har samtyckt till detta, utgör hinder för en generell och odifferentierad lagring i förebyggande syfte av trafik- och lokaliseringsuppgifter i syfte att bekämpa brottslighet, oavsett brottslighetens allvar, eftersom sådan lagring endast tillåts på vissa villkor i fall av ett allvarligt, verkligt och aktuellt eller förutsebart hot mot den nationella säkerheten. Den har tillagt att unionsrätten däremot inte utgör hinder för lagstiftning som, i syfte att bekämpa grov brottslighet, föreskriver en generell och odifferentierad lagring av uppgifter om användarnas fysiska identitet och, för en period som är tidsmässigt begränsad till vad som är strängt nödvändigt, av deras IP‑adresser, eller en riktad lagring av uppgifter vilken, på grundval av objektiva och icke-diskriminerande faktorer, är avgränsad genom de kategorier av personer som berörs eller genom ett geografiskt kriterium, för en period som är tidsmässigt begränsad till vad som är strängt nödvändigt men som kan förlängas eller, under en begränsad tidsperiod, ett skyndsamt säkrande av de trafik- och lokaliseringsuppgifter som tjänsteleverantörerna har tillgång till, förutsatt att denna lagstiftning, genom klara och precisa regler, säkerställer att lagringen av uppgifterna i fråga iakttar tillämpliga materiella och formella villkor, och att de berörda personerna förfogar över effektiva garantier mot riskerna för missbruk.
32. Domstolen har även använt sig av kriteriet avseende iakttagande av gränserna för vad som är strikt nödvändigt när det gäller behandling av personuppgifter i samband med överföring, lagring och användning av uppgifter som ingår i de passageraruppgiftssamlingar om passagerare på flygningar utanför EU som upprättas av lufttrafikföretagen (nedan kallade PNR-uppgifter), i syfte att förebygga och upptäcka terroristbrott och allvarlig brottslighet.(23) Domstolen har haft tillfälle att understryka att eftersom PNR-uppgifter, enligt PNR-avtalet mellan EU och Kanada, kan lagras i upp till fem år, medger detta avtal tillgång till upplysningar om flygpassagerares privatliv under en synnerligen lång tid och att när det gäller flygpassagerare avseende vilka en risk för terrorism eller gränsöverskridande brottslighet inte har identifierats vid deras ankomst till Kanada och fram till deras avresa från detta tredjeland, tycks det när de väl har avrest inte finnas något samband, ens indirekt, mellan deras PNR-uppgifter och det mål som eftersträvas med avtalet i fråga, som skulle motivera att dessa uppgifter lagras. Den har därvid konstaterat att kontinuerlig lagring av PNR-uppgifter för samtliga flygpassagerare efter deras avresa från Kanada för eventuell tillgång till nämnda uppgifter, oberoende av om det finns något som helst samband med kampen mot terrorism och gränsöverskridande brottslighet, inte är motiverad.(24)
33. Domstolen har i samband med en begäran om förhandsavgörande uttalat sig om giltigheten och tolkningen av direktiv (EU) 2016/681,(25) enligt vilket lufttrafikföretag är skyldiga att överföra uppgifter om alla passagerare på flygningar utanför EU, som görs mellan tredjeländer och Europeiska unionen, till enheten för passagerarinformation i den medlemsstat där ankomst- eller avgångsorten för den berörda flygningen är belägen, i syfte att bekämpa terrorism och allvarlig brottslighet. De överförda PNR-uppgifterna är föremål för en förhandsbedömning vid enheten för passagerarinformation under en period av sex månader och lagras därefter under fem år för en eventuell senare utvärdering som görs av medlemsstaternas behöriga myndigheter, vilket kan föranleda analyser som utförs under en avsevärd eller till och med obestämd tid, när det gäller personer som reser med flyg mer än en gång vart femte år. Domstolen har funnit att detta direktiv innebär betydande ingrepp i de rättigheter som garanteras i artiklarna 7 och 8 i stadgan, bland annat eftersom det syftar till att införa ett system för kontinuerlig, icke riktad och systematisk övervakning, vilket innefattar automatisk utvärdering av personuppgifter för samtliga personer som använder sig av lufttransporttjänster, samtidigt som det kan tolkas i överensstämmelse med artiklarna 7, 8, 21 och 52.1 i stadgan. Domstolen har preciserat att efter utgången av den inledande lagringsperioden på sex månader förefaller lagringen av PNR-uppgifter inte vara begränsad till vad som är strikt nödvändigt när det gäller flygpassagerare för vilka varken förhandsbedömningen eller eventuella kontroller som utförts under den inledande lagringstiden på sex månader eller någon annan omständighet har visat att det föreligger objektiva omständigheter som visar att det föreligger en risk för terroristbrott eller grov brottslighet som har ett åtminstone indirekt objektivt samband med dessa passagerares flygresor. Den har däremot ansett att under den inledande sexmånadersperioden tycks lagringen av PNR-uppgifter avseende samtliga flygpassagerare som omfattas av det system som inrättats genom direktivet inte principiellt gå utöver vad som är strikt nödvändigt.
34. I motsats till den rättspraxis som det erinras om ovan ska det betonas, för det första, att till skillnad från vad som fastställs om behandling av uppgifter i direktiv 2002/58(26) utgör den registrerades samtycke inte en rättslig grund för den behandling av personuppgifter som utförs av de behöriga myndigheterna för de ändamål som anges i artikel 1.1 i direktiv 2016/680. Som det preciseras i skäl 35 i direktiv 2016/680, gör utförandet av uppgifterna att förebygga, förhindra, utreda, avslöja eller lagföra brott, som de behöriga myndigheterna institutionellt har tilldelats enligt lag, det möjligt för dem att kräva eller beordra att fysiska personer efterlever de begäranden som gjorts. För det andra är det i förevarande mål inte frågan om lagring och automatiserad analys av en ”ocean av uppgifter”(27) som genererats inom sektorn för elektronisk kommunikation eller lufttransport, vilka lagras av privata operatörer och överförs till utredande myndigheter, utan om ett enda polisregister, vilket innehåller uppgifter om personer som det finns grundad anledning att tro att de har begått ett brott, som misstänks för brott och har dömts för brott, och vilket är under exklusiv kontroll av en offentlig myndighet och är strikt konfidentiellt.
35. Det speciella normativa och faktiska sammanhanget i ovannämnda rättspraxis hindrar enligt min mening att de lösningar som tillämpats i den överförs rakt av när det gäller att svara på tolkningsfrågan i förevarande mål, särskilt med hänsyn till skillnaden mellan syftena med lagringen av uppgifterna (skydd av den nationella säkerheten respektive bekämpning av grov brottslighet eller annan brottslighet) och den nödvändiga korrelationen mellan dessa syftens betydelse och hur allvarliga ingrepp i de grundläggande rättigheterna som kan motiveras.(28) Uttalandet att kampen mot brottslighet i allmänhet endast kan motivera ingrepp som inte är allvarliga(29) kan med andra ord inte godtas i förevarande fall, eftersom det i så fall kraftigt skulle minska den ändamålsenliga verkan av direktiv 2016/680 och av de nationella instrument för utredning/allmän säkerhet, såsom polisregistret i fråga, som omfattas av tillämpningsområdet för detta direktiv, vars syfte ger utryck just för behovet att på ett proportionerligt sätt kunna behandla uppgifter för polisiära ändamål. Det ska påpekas att som det framgår av skälen 10 och 11 i direktiv 2016/680 har unionslagstiftaren haft för avsikt att anta regler som beaktar den särskilda karaktären hos det område som omfattas av detta direktiv. I skäl 12 anges att polisens och andra brottsbekämpande myndigheters verksamhet främst är inriktad på att förebygga, förhindra, utreda, avslöja och lagföra brott (utan närmare precisering), inbegripet polisverksamhet där man inte på förhand vet om det inträffade utgör ett brott eller inte.(30)
36. För det tredje ska det påpekas att artikel 7 i stadgan, avseende rätten till skydd för privatlivet och familjelivet, innehåller rättigheter som motsvaras av de som garanteras i artikel 8.1 i Europakonventionen, och att skyddet för personuppgifter spelar en grundläggande roll för utövandet av rätten till skydd för privat- och familjelivet enligt artikel 8 i Europakonventionen. I enlighet med artikel 52.3 i stadgan ska nyssnämnda artikel 7 följaktligen ges samma innebörd och räckvidd som artikel 8.1 i Europakonventionen, såsom den tolkats i praxis från Europadomstolen.(31)
37. Europadomstolen anser att skyddet för personuppgifter spelar en grundläggande roll vid utövandet av rätten till respekt för privatlivet, vilken stadfästs i artikel 8 i Europakonventionen, och att redan lagring av uppgifter beträffande en enskilds privatliv utgör ett ingrepp i den mening som avses i nyssnämnda artikel 8, oavsett huruvida den lagrade informationen sedan används eller inte. Enligt Europadomstolen måste det i nationell rätt bland annat säkerställas att uppgifterna är relevanta och inte för omfattande i förhållande till de syften för vilka de registreras samt inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka de registreras. Nationell rätt måste också innehålla skyddsåtgärder som effektivt kan skydda registrerade personuppgifter mot olämplig användning och missbruk, samtidigt som de erbjuder en konkret möjlighet att lämna in en begäran om radering av lagrade uppgifter. Europadomstolen har emellertid noga preciserat att den är fullt medveten om att de nationella myndigheterna, i syfte att skydda befolkningen – vilket är deras skyldighet –, behöver inrätta register som effektivt bidrar till att bekämpa och förhindra vissa brott, i synnerhet de allvarligaste. Sådana åtgärder kan emellertid inte genomföras genom en överdriven maximering av den information som anges i dessa register och den tid under vilken de bevaras.(32) Beträffande sistnämnda punkt har Europadomstolen konstaterat att den omständigheten att det inte fastställs en längsta lagringstid för personuppgifter för personer som har dömts för brott inte nödvändigtvis är oförenlig med artikel 8 i Europakonventionen, men att det i en sådan situation är desto mer nödvändigt att det finns vissa fungerande processuella skyddsåtgärder.(33)
D. Ingreppet i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan
38. Såsom det framgår av artikel 68 ZMVR och av den bulgariska regeringens yttranden vid förhandlingen inbegriper de uppgifter som avses i den nationella lagstiftningen bland annat den registrerades civilstånd, de brott som denne misstänks ha begått eller för vilka han eller hon har dömts samt fingeravtryck, fotografier och DNA-prover för profilering. Eftersom dessa uppgifter således innehåller information om identifierade fysiska personer, påverkar de olika behandlingar som dessa uppgifter kan bli föremål för den grundläggande rätten till respekt för privatlivet, som garanteras i artikel 7 i stadgan. Dessutom omfattas sådan behandling av uppgifter som avses i den nationella lagstiftningen även av artikel 8 i stadgan på grund av att den utgör behandling av personuppgifter i den mening som avses i denna artikel och därför med nödvändighet måste uppfylla de krav på skydd av uppgifter som följer av den artikeln.(34)
39. Liksom Europadomstolen, som anser att redan lagring av uppgifter om en enskild persons privatliv utgör ett ingrepp i den mening som avses i artikel 8 i Europakonventionen,(35) anser EU-domstolen att lagring av uppgifter i sig utgör ett ingrepp i de grundläggande rättigheter till respekt för privatlivet och skydd av personuppgifter som är stadfästa i artikel 7 respektive artikel 8 i stadgan, oberoende av om de uppgifter som avser privatlivet är av känslig art eller ej eller om de berörda har fått utstå eventuella olägenheter på grund av ingreppet samt oberoende av om de lagrade uppgifterna senare kommer eller inte kommer att användas.(36)
40. Det framgår att med hänsyn till arten av vissa av de uppgifter som ingår i polisregistret, särskilt de biometriska och genetiska uppgifterna, utgör lagringen ett allvarligt ingrepp, eftersom domstolen har kvalificerat de risker som behandlingen av känsliga uppgifter innebär för de registrerades fri- och rättigheter som betydande, särskilt i samband med de uppdrag hos behöriga myndigheter som svarar mot de ändamål som anges i artikel 1.1 i direktiv 2016/680.(37) I skäl 23 i direktivet preciseras härvid att eftersom genetiska uppgifter är komplexa och känsliga, finns det en stor risk för att den personuppgiftsansvarige missbrukar och återanvänder dem för olika ändamål. I skäl 51 i direktivet anges att risker för fysiska personers rättigheter och friheter kan uppkomma till följd av uppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om genetiska uppgifter eller biometriska uppgifter behandlas för att unikt identifiera en person eller om uppgifter om fällande domar i brottmål samt brott behandlas.
41. Lagringstiden för uppgifterna i polisregistret gör också att det ska konstateras att ingreppet är allvarligt, i den meningen att uppgifterna om en person som har dömts för brott kan lagras under dennes hela livstid. Slutligen följer det av artikel 26.6 ZMVR att personuppgifterna kan överföras till behöriga myndigheter och mottagare i Europeiska unionens medlemsstater samt till unionens organ och byråer och till tredjeländer eller internationella organisationer. Härvid ska det erinras om att direktiv 2016/680 syftar till att underlätta det fria flödet av personuppgifter mellan behöriga myndigheter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot eller förebygga och förhindra hot mot den allmänna säkerheten inom unionen, samt överföringar av sådana personuppgifter till tredjeländer och internationella organisationer i syfte att säkerställa ett effektivt straffrättsligt samarbete och polissamarbete.(38) Det ska i detta sammanhang erinras om att rätten till skydd av personuppgifter kräver bland annat att den höga nivå för skydd av grundläggande fri- och rättigheter som följer av unionsrätten vidmakthålls vid överföring av personuppgifter från unionen till ett tredjeland.(39)
42. Mot bakgrund av det ovan anförda måste den slutsatsen dras att den nationella lagstiftning som avses i det nationella målet innebär ingrepp av ett visst allvar i de rättigheter som garanteras i artiklarna 7 och 8 i stadgan, Framför allt eftersom den syftar till att inrätta ett instrument för kontinuerlig lagring av känsliga uppgifter om personer som har dömts för brott, vilka kan överföras från den berörda staten till andra länder.
E. Huruvida ingreppet är motiverat
43. Såsom det har angetts ovan utgör de grundläggande rättigheter som stadfästs i artiklarna 7 och 8 i stadgan inte absoluta rättigheter. Av artikel 52.1 i stadgan framgår att stadgan tillåter begränsningar av utövandet av dessa rättigheter, förutsatt att begränsningarna är föreskrivna i lag, är förenliga med det väsentliga innehållet i nämnda rättigheter och, med beaktande av proportionalitetsprincipen, är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.(40) Enligt skäl 26 i direktiv 2016/680 kan brottsbekämpande myndigheter genomföra verksamhet i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, förutsatt att verksamheten har fastställts i lag och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den fysiska personens berättigade intressen.
44. När det gäller iakttagandet av proportionalitetsprincipen ska det erinras om att enligt domstolens fasta praxis kräver skyddet av den grundläggande rätten till respekt för privatlivet att undantag från och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är absolut nödvändigt. När det finns flera ändamålsenliga åtgärder att välja mellan för att uppnå de legitima mål som eftersträvas, ska den åtgärd väljas som är minst ingripande. Ett mål av allmänintresse kan inte eftersträvas utan att det beaktas att det måste vara förenligt med de grundläggande rättigheter som berörs av åtgärden, genom att det görs en balanserad avvägning mellan å ena sidan målet av allmänintresse och å andra sidan de aktuella rättigheterna, för att säkerställa att de olägenheter som åtgärden orsakar inte är orimliga i förhållande till de eftersträvade målen. Möjligheten att motivera en begränsning av de rättigheter som garanteras i artiklarna 7 och 8 i stadgan ska således bedömas med hänsyn till hur allvarligt ingrepp en sådan begränsning medför och till huruvida betydelsen av det mål av allmänintresse som eftersträvas med denna begränsning står i proportion till hur allvarligt ingreppet är.(41)
1. Huruvida legalitetsprincipen har iakttagits
45. Kravet att varje begränsning i utövandet av de grundläggande rättigheterna ska vara föreskriven i lag innebär att räckvidden av begränsningen i utövandet av den aktuella rättigheten ska vara definierad i själva den rättsliga grund som tillåter denna begränsning. I detta avseende har domstolen dessutom slagit fast att en lagstiftningsåtgärd som tillåter en sådan begränsning måste innehålla klara och precisa bestämmelser som reglerar räckvidden och tillämpningen av den aktuella åtgärden samt ange minimikrav, så att de personer vars personuppgifter lämnas ut har tillräckliga garantier för att uppgifterna på ett effektivt sätt är skyddade mot riskerna för missbruk. Den rättsliga grunden för all behandling av personuppgifter som omfattas av tillämpningsområdet för direktiv 2016/680 måste följaktligen, så som unionslagstiftaren för övrigt har understrukit i skäl 33 i direktivet, vara tydlig och precis, och dess tillämpning ska vara förutsägbar för enskilda rättssubjekt. Dessa måste i synnerhet kunna identifiera under vilka omständigheter och på vilka villkor räckvidden av de rättigheter som de tillerkänns genom direktivet kan begränsas.(42)
46. Mot bakgrund av en granskning av den redogörelse för den nationella lagstiftningen i fråga som har tillhandahållits i beslutet om hänskjutande och som har kompletterats genom den bulgariska regeringens yttranden är det enligt min mening möjligt att anse att kravet på ”egenskapen” av lag är uppfyllt, vilket emellertid inte hindrar att den lagstiftning genom vilken begränsningen införts har en lydelse som är tillräckligt öppen för att möjliggöra en anpassning till olika situationer och förändrade omständigheter.(43)
47. De enda ändamålen med att föra in och lagra uppgifter i polisregistret är enligt artikel 27 ZMVR att skydda den nationella säkerheten, bekämpa brottsligheten och upprätthålla den allmänna ordningen. Behandlingen i fråga syftar till att underlätta den operativa utredningsverksamhet som utförligt beskrivs i artikel 8 i denna lag.(44) Behandlingens omfattning vad beträffar arten av de brott som omfattas, de uppgifter som berörs, villkoren för deras insamling, de informationssamlingar i vilka de behandlas och lagringstiden fastställs tillräckligt precist i artikel 68 ZMVR och artikel 28 i Naredba za reda za izvarshvane i snemane na politseyska registratsia (förordning om förfarandet för registrering i och radering ur polisregistret) (nedan kallad NRISPR). I den nationella lagstiftningen föreskrivs uttryckligen, och i överensstämmelse med skäl 26 i direktiv 2016/680, förfaranden för att säkerställa personuppgifternas integritet och konfidentialitet samt förstöring av dem genom information som i enlighet med artiklarna 54 och 55 i Zakon za zashtita na lichnite danni (lag om skydd för personuppgifter) tillhandahålls den registrerade om bland annat dennes rätt att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av uppgifterna. Skälen för radering samt förfarandet för och verkningarna av en radering preciseras i artikel 68 ZMVR samt artikel 18 och följande artiklar NRISPR. Ordalydelsen i dessa bestämmelser är tillräckligt precis och tydlig för att lagens adressater ska kunna anpassa sitt handlingssätt och uppfyller därmed det krav på förutsebarhet som följer av Europadomstolens praxis.(45)
2. Huruvida det väsentliga innehållet i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan respekteras
48. När det gäller det väsentliga innehållet i den grundläggande rätten till respekt för privatlivet, vilken stadfästs i artikel 7 i stadgan, är den typ av information som ingår i polisregistret begränsad till en specifik aspekt av privatlivet, nämligen den registrerades brottshistorik, vilket inte gör det möjligt att dra slutsatser som på ett allmänt sätt rör den registrerades privatliv, såsom dagliga vanor, varaktig eller tillfällig bosättningsort, dagliga eller andra förflyttningar, utövade aktiviteter, sociala relationer och sociala miljöer som frekventeras, och därigenom upprätta den registrerades profil. När det gäller det väsentliga innehållet i rätten till skydd av personuppgifter, vilken stadfästs i artikel 8 i stadgan, visar det resonemang som förts ovan att i den nationella lagstiftningen i fråga avgränsas ändamålen med behandlingen av uppgifterna, uppräknas uttömmande vilka uppgifter som får lagras och anges vilka regler som är avsedda att säkerställa tillgång till och rättelse eller radering av uppgifterna. Det ingrepp som lagringen av uppgifter i enlighet med denna lagstiftning innebär äventyrar under dessa omständigheter inte det väsentliga innehållet i de grundläggande rättigheter som stadfästs i ovannämnda artiklar.(46)
3. Målet av allmänintresse och huruvida behandlingen av uppgifterna i fråga är ägnad att uppnå detta mål
49. De uppgifter som härrör från registreringen av personer i polisregistret med stöd av artikel 68 ZMVR används, som det har konstaterats ovan, för att skydda den nationella säkerheten, bekämpa brottsligheten och upprätthålla den allmänna ordningen. Den bulgariska regeringen har angett att uppgifterna samlas in och behandlas inom ramen för det straffrättsliga förfarande varigenom den registrerade utreds, och detta i syfte att ställas mot andra uppgifter som samlats in i samband med andra brottsutredningar. Sistnämnda ändamål omfattar även en jämförelse med uppgifter som samlats in i andra medlemsstater.(47)
50. Enligt den bulgariska regeringen sorterar denna behandling under den operativa utredningsverksamhet som beskrivs i artikel 8 ZMVR, vars ändamål var följande: att förhindra och upptäcka brott samt hot mot den nationella säkerheten och angrepp på den allmänna ordningen, att eftersöka personer som undandrar sig sitt straffrättsliga ansvar eller som har undandragit sig verkställandet av ett straff i ett brottmål som omfattas av allmänt åtal samt eftersöka försvunna personer, och att eftersöka objekt som är föremål eller instrument för ett brott eller som kan användas som bevisning samt att förbereda och lagra materiell bevisning och lägga fram den för de behöriga rättsliga myndigheterna.
51. Domstolen har preciserat att målet att skydda den allmänna säkerheten utgör ett mål av allmänintresse för unionen som kan motivera ingrepp, även allvarliga sådana, i de grundläggande rättigheter som är stadfästa i artiklarna 7 och 8 i stadgan. Skyddet för den allmänna säkerheten bidrar för övrigt även till skyddet för andra människors fri- och rättigheter. I artikel 6 i stadgan anges att var och en har rätt till frihet, men också till personlig säkerhet. Denna bestämmelse garanterar rättigheter som motsvarar dem som garanteras i artikel 5 i Europakonventionen.(48) I målet rörande huruvida insamling av uppgifter som fördes in i samma bulgariska polisregister var förenlig med unionsrätten slog domstolen entydigt fast att denna behandling avseende misstänkta personer i ett straffrättsligt förfarande för att registrera dem eftersträvar sådana syften som anges i artikel 1.1 i direktiv 2016/680, särskilt att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Nämnda syften utgör mål av allmänt intresse som erkänns av unionsrätten. Den tillade att en sådan insamling svarar mot det mål som anges i skäl 27 i direktiv 2016/680, nämligen att behöriga myndigheter, för att kunna förebygga, förhindra, utreda och lagföra brott, måste kunna behandla personuppgifter som insamlats inom ramen för förebyggande, förhindrande, utredning och lagföring av specifika brott i ett bredare sammanhang för att utveckla förståelsen för kriminell verksamhet och göra kopplingar mellan olika upptäckta brott.(49) Dessa överväganden gäller naturligtvis även lagring av uppgifterna.
52. Det kan knappast bestridas att lagringen av uppgifter i polisregistret är en behandling som gör det möjligt att uppnå målen av allmänintresse att upptäcka och följaktligen förhindra brott. Det är uppenbart att ett polisregister som innehåller uppgifter om de registrerades fysiska identitet samt fotografier och biometriska och genetiska uppgifter, och således uppgifter om unika fysiska egenskaper som är omöjliga att förfalska, utgör ett utredningsverktyg som är fullständigt relevant för de brottsbekämpande myndigheterna när det gäller att klara upp brott och identifiera gärningsmännen. I denna mening uppfyller den nationella lagstiftningen i fråga objektiva kriterier, som fastställer ett samband mellan de uppgifter som ska lagras och det eftersträvade målet.(50)
4. Huruvida ingreppet i fråga är nödvändigt och proportionerligt
53. Även om det är uppenbart att lagringen av uppgifterna i polisregistret i fråga är ägnad att uppnå det eftersträvade målet av allmänintresse, måste det även kontrolleras huruvida ingreppet i de rättigheter som garanteras i artiklarna 7 och 8 i stadgan, vilket följer av nämnda lagring, är begränsat till vad som är strikt nödvändigt, i den meningen att målet inte rimligen kan uppnås lika effektivt med andra medel som är mindre ingripande i de registrerades grundläggande rättigheter, och huruvida ingreppet är proportionerligt i förhållande till detta mål, vilket bland annat innebär en avvägning av målets betydelse och ingreppets allvar.(51)
54. Vid utövandet av denna kontroll ska i förevarande fall hänsyn tas till syftet med polisregistret, de berörda brottens art och antalet personer som kan vara registrerade i registret, den särskilda känsligheten hos de insamlade personuppgifterna och lagringstiden samt de rättsliga och/eller tekniska skyddsåtgärder som föreskrivs i den nationella lagstiftningen vad gäller läsningen i registret och kontrollen av bibehållandet av uppgifterna i registret.
a) Registrets syfte
55. Den irländska regeringen har i sina skriftliga yttranden gjort gällande att lagringen av uppgifterna skulle kunna vara nödvändig för angränsande kontroller, som tjänar det allmänna intresset inom området förhindrande av brottslighet och skydd av den allmänna säkerheten. Läsning av informationen i ett polisregister borde därför kunna medges inte endast för att eftersöka gärningsmän, utan också för administrativa polisiära ändamål, inom ramen för utredningar som föregår beslut om rekrytering till eller behörighet för vissa offentliga eller känsliga tjänster, varvid syftet skulle vara att kontrollera att de berördas beteende inte är oförenligt med utövandet av dessa tjänster.
56. Den bulgariska regeringen bekräftade vid förhandlingen det som man kan sluta sig till av den uttryckliga lydelsen i artikel 27 ZMVR, det vill säga att polisregistret i fråga är ett stödverktyg för rättsliga utredningar och inte för administrativa sådana. Detta konstaterande har en viss betydelse när det gäller de konsekvenser som ska dras av att en person förs in i ett register som innehåller de registrerades brottshistorik, i den meningen att registreringen inte innebär att det är omöjligt att få tillgång till vissa yrken.(52) Införandet i polisregistret i fråga är inte vare sig en bestraffning eller ett kompletterande straff, dess ändamål är klart avgränsat till rättsliga utredningar och dess användning är förbehållen myndigheter som har tystnadsplikt.
57. Dock kvarstår att det rör sig om ett enda register som tjänar synnerligen vitt skilda kriminalpolisiära syften och innehåller diversifierad information som omfattar allt från enkla upplysningar om civilstånd till biometriska och genetiska uppgifter för personer som inte kan hänföras till samma processuella status. I andra lagstiftningar har det, i stället för att en enda behandling inbegriper samtliga uppgifter, ansetts vara att föredra att för specifika ändamål föreskriva olika polisregister med ett enda användningsområde och i vilka en enda typ av uppgifter registreras.
b) De berörda brotten och de registrerade
58. Lagringen av uppgifter i polisregistret berör personer som utreds för eller har dömts för uppsåtliga brott som omfattas av allmänt åtal, det vill säga åtal som väcks av åklagare. Enligt uppgifter från den bulgariska regeringen omfattar denna kategori inte icke uppsåtliga brott, handlingar och brott som medför skadeståndsansvar samt vissa brott som är föremål för en administrativ påföljd. Det har redan påpekats att de flesta av de brott som föreskrivs i strafflagen är uppsåtliga och att nästan alla omfattas av allmänt åtal.(53)
59. Det måste konstateras att den nationella lagstiftningen inte innehåller en uttömmande förteckning över de brott som avses samt att det inte görs någon åtskillnad mellan brotten beroende på deras art, vilken i sig är kopplad till gärningarnas allvar och det tillämpliga straffet, och inte heller fastställs det något kriterium avseende fängelsestraffets exakta mängd. Olika brottsliga beteenden har således samlats i en enda bred grupp, visserligen med förbehållet att de är uppsåtliga, vilket i princip leder till undantag för mindre allvarliga brott vid vilka enbart den omständigheten att de påtalade gärningarna faktiskt har begåtts är tillräckligt för att karakterisera brottet(54) och brott som kännetecknas av att de endast beror på oförsiktighet eller försummelse. När den bulgariska regeringen vid förhandlingen anmodades att precisera innehållet i brottskategorin i fråga angav den tyvärr endast att det rör sig om brott för vilka straffet är minst fem års fängelse.
60. När det gäller de registrerade ska det påpekas att den påtalade behandlingen av uppgifterna begränsas av personernas ålder, eftersom det av artikel 4 NRISPR följer att underåriga inte ska föras in i polisregistret, vilket minskar antalet registrerade personer. Vid lagringen i fråga görs åtskillnad mellan två kategorier av personer, det vill säga personer som utreds för brott och personer som har dömts för brott. De personer som är föremål för lagring av uppgifter har därförinnan, inom ramen för tillämpliga nationella förfaranden och på grundval av objektiva och icke diskriminerande kriterier, befunnits utgöra ett hot mot den allmänna säkerheten eller upprätthållandet av allmän ordning. Medlemsstaterna har möjlighet att vidta lagringsåtgärder avseende personer som i samband med en sådan identifiering är föremål för utredning, det vill säga en kategori av personer avseende vilka det finns allvarliga skäl att tro att de har begått ett brott, eller som är föremål för en fällande dom som visar att deras straffrättsliga ansvar har fastställts. Dessa situationer kan innebära en hög risk för återfall i brott.(55) Återfall i brott, med vilket avses att en person begår nya brott, är en företeelse som varje medlemsstat försöker att mäta och förstå de avgörande faktorerna bakom, vilket är en besvärlig uppgift som är beroende av tillgången på objektiv och tillförlitlig statistik om brottsligheten. Om sådan statistik finns kan den visa att brottshistoriken är en avgörande faktor för återfall i brott.(56)
61. Det ska även betonas att enligt lydelsen i artikel 68 ZMVR ska de utredda personerna och deras uppgifter ”försvinna” ur polisregistret, om det straffrättsliga förfarandet rörande dem läggs ned eller leder till ett frikännande, vilket naturligtvis påverkar antalet personer som är införda i registret. Den bulgariska regeringen har inte kunnat ge någon information om antalet.(57)
c) Uppgifternas art och lagringstiden
62. När det gäller de berörda uppgifterna har domstolen slagit fast att med hänsyn till det utökade skyddet för enskilda med avseende på behandling av känsliga uppgifter ska den registeransvarige försäkra sig om att detta mål inte kan uppnås genom andra kategorier av uppgifter än dem som räknas upp i artikel 10 i direktiv 2016/680.(58) Som det har angetts ovan är det uppenbart att de uppgifter som det föreskrivs ska lagras är av en sådan art att de kan bidra till att förebygga, förhindra, avslöja eller lagföra brott i syfte att bekämpa brottslighet och upprätthålla den allmänna ordningen. Det förefaller svårt att anse att dessa ändamål skulle kunna uppnås lika effektivt genom enbart upplysningar om civilstånd eller fotografier av den registrerade, eftersom utredarnas förmåga att klara upp brotten genom en jämförelse av de uppgifter som samlats in under utredningen och de uppgifter som förts in i registret under tidigare utredningar i hög grad skulle begränsas.(59) Det är lyckligtvis en svunnen tid då ett erkännande betraktades som bevisens drottning. Detta tvivelaktiga bevis i bevishierarkin har med fördel ersatts av bevisning som samlas in av kriminalteknikerna. Det kan således konstateras att de berörda uppgifterna är både relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas.
63. När det gäller lagringstiden fastställs det i den nationella lagstiftningen i fråga inte en precis längsta lagringstid för den information som förs in i registret. För vissa personer som utreds lagras uppgifterna endast under förfarandet, eftersom lagringen upphör om förfarandet läggs ned eller leder till ett frikännande, medan uppgifterna för personer som döms genom en lagakraftvunnen dom lagras under hela deras livstid. Enligt de uppgifter som den bulgariska regeringen lämnade vid förhandlingen, vilka det ankommer på den nationella domstolen att kontrollera, raderas uppgifterna ex officio vid den registrerades bortgång. Vidare har arvingarna rätt att begära radering av uppgifterna i enlighet med artikel 68.6 ZMVR. Ska det i denna situation anses att lämpliga tidsgränser inte har fastställts för radering av personuppgifterna, så som det krävs enligt artikel 5 i direktiv 2016/680, i den meningen att begreppet tidsgräns nödvändigtvis måste motsvara en period som uttrycks i år, månader eller dagar? Om denna fråga ska besvaras jakande, anges i samma bestämmelse, som ett alternativ, att det i den nationella lagstiftningen ska fastställas frister för en periodisk översyn av behovet av att lagra uppgifterna.(60)
64. När det gäller personer som är under utredning finns det, med beaktande av den bulgariska lagstiftarens val att lagra deras uppgifter endast om de döms för brott vid utgången av förfarandet och att det med nödvändighet är osäkert hur länge förfarandet pågår, knappast några andra val än att formalisera ett stoppdatum för att förhindra ett alltför utdraget förfarande. När det gäller personer som döms anser jag att hänvisningen till den registrerades bortgång faktiskt utgör en tidsgräns som är kopplad till den registrerades biologiska liv och som utesluter att lagringstiden kvalificeras som obestämd eller obegränsad.(61) Det har i förväg fastställts när lagringen ska upphöra, även om den exakta tidpunkten per definition är obestämd. Det ska påpekas att den bulgariska regeringen vid förhandlingen i varje fall angav att det existerar en intern periodisk översyn av uppgifterna i registret, som i förevarande fall utförs var tredje månad, vilket uppfyller kraven i artikel 5 i direktiv 2016/680.
65. Dock kvarstår att det inte kan bestridas att beroende på vid vilken ålder den registrerade förs in i registret och vid vilken ålder han eller hon avlider kan lagringen bli mycket långvarig, längre än vad som föreskrivs för att konstatera återfall i brott och längre än preskriptionstiden för allmänt åtal för det grövsta brottet.(62) Denna lagringstid motiveras dock av det kriminalpolisiära ändamålet med behandlingen, det vill säga att samla indicier och bevisning i syfte att identifiera gärningsmännen för tidigare eller framtida brott, varvid det ska påpekas att risken för brott är av en allmän och varaktig karaktär, oberoende av om det rör sig om grova brott eller inte.(63) Att olösta brott ibland klaras upp långt senare visar både de stora svårigheter som utredarna står inför och relevansen av att långvarigt lagra de biometriska och genetiska uppgifter som samlats i registren.(64)
d) Förekomsten av rättsliga och tekniska skyddsåtgärder med avseende på lagringen av och åtkomsten till uppgifterna
66. Frågan huruvida det ingrepp som lagringen av uppgifter i polisregistret innebär är proportionerligt kan inte prövas oberoende av reglerna för åtkomst till registret och kontroll av huruvida det är motiverat att bibehålla uppgifterna i registret. När en stat tilldelar sig den vidast möjliga behörigheten att lagra uppgifter på obestämd tid är det, enligt Europadomstolen, avgörande att det finns vissa effektivt fungerande skyddsåtgärder. Nationell rätt måste således innehålla skyddsåtgärder som effektivt kan skydda de registrerade personuppgifterna mot olämplig användning och missbruk och som gör det möjligt att radera uppgifterna när fortsatt lagring blir oproportionerlig, framför allt genom att erbjuda en konkret möjlighet att lämna in en begäran om radering av de lagrade uppgifterna.(65)
1) Villkoren för läsning i registret
67. Av skälen 28, 56 och 57 samt artiklarna 24, 25 och 29 i direktiv 2016/680 framgår att medlemsstaterna ska vidta åtgärder för att se till att personuppgifterna behandlas på ett sätt som säkerställer en lämplig säkerhets- och konfidentialitetsnivå, framför allt genom att förhindra obehörig åtkomst till uppgifterna och till den utrustning som används vid behandlingen av dem samt obehörig användning av uppgifterna och utrustningen. Åtgärderna inbegriper att den personuppgiftsansvarige ska föra register, så att viss information om behandlingen av uppgifterna kan lämnas till tillsynsmyndigheten på dennas begäran, samt föra loggar över vissa typer av behandlingar såsom läsning, överföringar och radering. Enligt skäl 60 i direktiv 2016/680 bör den personuppgiftsansvarige utvärdera de risker som behandlingen är förknippad med och vidta åtgärder för att mildra dem, framför allt risker för röjande och för obehörig åtkomst till uppgifterna.
68. Vid förhandlingen framhöll den bulgariska regeringen att dessa krav iakttas i den nationella lagstiftningen och påtalade att det finns bestämmelser i vilka det bland annat föreskrivs att listor ska upprättas med namn på de tjänstemän som har haft åtkomst till uppgifterna samt att varje användare ska motivera sin rätt till åtkomst och ange sin identitet samt datum och tidpunkt för åtkomsten.(66) Dessa skyddsåtgärder avseende den personkrets som är behörig att läsa i registret och villkoren för läsning i registret förefaller kunna förhindra allt missbruk eller bedräglig användning av åtkomst till registret och därigenom ett alltför omfattande ingrepp i de grundläggande rättigheter som stadfästs i artiklarna 7 och 8 i stadgan, vilket det ankommer på den hänskjutande domstolen att kontrollera.
2) Kontrollen av bibehållandet av uppgifterna i registret
69. Det framgår att ovannämnda kontroll, som föreskrivs i artikel 68.6 ZMVR, är tvådelad, eftersom den utförs ex officio av de behöriga myndigheterna i form av en självkontroll samt på motiverad begäran av den registrerade eller dennes arvingar. Skälen till radering av uppgifter i registret anges i bägge fallen uttömmande i nämnda bestämmelse. Dessa skäl omfattar inte den situationen att en enskild person har varit föremål för rehabilitering, vilket har medfört att domen i fråga har strukits ur belastningsregistret. Endast det skäl som anges i artikel 68.6.1 ZMVR avseende registrering som har utförts i strid med lagen kan ligga till grund för en begäran om radering som, såsom i förevarande fall, lämnas in av en för brott dömd person medan han lever och således före den lagliga lagringstidens utgång, vilken är fastställd till den registrerades bortgång.
70. När den bulgariska regeringen vid förhandlingen tillfrågades om tillämpningsområdet för artikel 68.6 ZMVR, med hänsyn till hur den tillämpas av myndigheterna och de behöriga domstolarna, preciserade den att denna bestämmelse möjliggör ändring av en införd uppgift för en person som är under utredning, om uppgiften har blivit felaktig till följd av att brottet har omkvalificerats av domstol. Den bulgariska regeringen uteslöt varje möjlighet till radering av en uppgift i registret till följd av att en dömd person har rehabiliterats. Det ska härvid erinras om att registret i fråga utgör ett utredningsverktyg som syftar till att underlätta kriminalpolisens operativa verksamhet och inte i egentlig mening är ett register över brottshistorik, såsom belastningsregistret. Dessa båda instrument har inte samma ändamål. Det förstnämnda är ett register som uteslutande är avsett att användas av utredare för att de på lång sikt ska kunna klara upp tidigare eller framtida brott, medan det andra är avsett att vägleda domare i deras arbete när de meddelar straffpåföljden i ett givet mål. Tack vare rehabiliteringen, som har lett till att domen i fråga raderats ur belastningsregistret, kan den enskilde i förekommande fall komma att befinna sig i samma situation som en förstagångsförbrytare, som kan erhålla ett lägre straff eller en anpassning av straffet. Lagringen av uppgifterna i polisregistret är dock i princip nödvändig med hänsyn till polisregistrets vidare mål att avslöja, klara upp, förebygga och förhindra brott.
71. Av den bulgariska regeringens yttranden framgår dock att det skäl som anges i artikel 68.6.1 ZMVR inte täcker en bedömning av huruvida det i ett tidsmässigt hänseende är nödvändigt att lagra uppgifterna. Det förefaller inte finnas någon annan bestämmelse i den nationella lagstiftningen, och inte heller någon administrativ praxis eller domstolspraxis, som gör det möjligt för den behöriga myndigheten att i samband med kontrollerna var tredje månad radera uppgifterna i registret eller för den registrerade att begära att de ska raderas, om det inte längre är nödvändigt att lagra personuppgifterna med beaktande av en tid som har förflutit sedan registreringen. Den hänskjutande domstolen, som har att pröva huruvida beslutet om avslag på begäran om radering är lagligt, förefaller inte heller ha behörighet att göra en sådan bedömning.
F. Slutsats i denna del
72. Kan det anses att de ovan beskrivna kriterierna för lagring av uppgifter är tillräckligt riktade, proportionella och specifika och att den ifrågavarande behandlingen av personuppgifter inte går utöver vad som är strikt nödvändigt eller absolut nödvändigt? Domstolen skulle kunna besvara denna fråga nekande och detta av följande skäl.
73. För det första ska det betonas att problematiken kring behovet av att lagra personuppgifter är särskilt accentuerad när behandlingen såsom i förevarande fall tillåts för förebyggande och förhindrande syften. Det verkliga kriterium som motiverar registreringen och lagringen av uppgifter i polisregistret i fråga är de registrerades farlighet, vilket innebär en bedömning av riskerna. Det måste konstateras att denna bedömning i förevarande fall stannar vid enbart ett konstaterande av att det finns en misstanke om eller är säkert att ett uppsåtligt brott har begåtts, vilket är ett, om något, föga specifikt kriterium när gäller en grundläggande beståndsdel av ett brott eller till och med själva grunden för det straffrättsliga ansvaret. Det förefaller mig som om man i det nationella förfarandet för lagring beaktar brott av en minsta allvarlighetsgrad och som om förfarandet omfattar vitt skilda brott mot den allmänna ordningen, utan att det i princip krävs en påföljd i form av fängelsestraff, vilket gör det möjligt att anse att förfarandet är tillämpligt oavsett brottets art eller allvar.(67) Det ska erinras om att domstolen har konstaterat att den bulgariska lagstiftning som avses i det nationella målet, i vilken det föreskrivs att biometriska och genetiska uppgifter ska samlas in för varje person som utreds för ett uppsåtligt brott som omfattas av allmänt åtal, i princip strider mot kravet i artikel 10 i direktiv 2016/680, eftersom lagstiftningen i fråga kan leda till en generell insamling utan åtskillnad, eftersom begreppet ”uppsåtligt brott som omfattas av allmänt åtal” är av särskilt allmän karaktär och kan tillämpas på ett stort antal brott, oberoende av deras art och allvar.(68)
74. Även om statistiska undersökningar kan visa att brottshistoriken är en viktig avgörande faktor för återfall, understryker de också att det finns objektiva faktorer som förvärrar risken för återfall och som är kopplade till bland annat kön, ålder, det inledande brottets art och hur lång tid som förflutit innan det brottsliga beteendet upprepas, samt den omständigheten att återfallsbrottet har en stark koppling till arten av det brott som ledde till fängelse.(69) Om varje fällande dom för ett uppsåtligt brott, även det första brottet, används som kriterium för att lagra uppgifter ända fram till den registrerades bortgång,(70) innebär den underliggande logiken bakom behandlingen av dessa uppgifter en synnerligen extensiv bedömning av den brottsliga banan, oavsett om det rör sig om de brottsliga handlingarnas art och/eller allvar eller lagöverträdarens ålder. I likhet med Europadomstolen kan man fråga sig om denna typ av logik, om den dras till sin spets, inte i praktiken innebär ett rättfärdigande av lagring av information om hela befolkningen och deras avlidna släktingar, vilket definitivt vore alltför omfattande och inte relevant.(71) Det ska påpekas att domstolen har konstaterat att enbart den omständigheten att en person utreds för ett uppsåtligt brott som omfattas av allmänt åtal inte i sig kan anses utgöra en omständighet som gör det möjligt att anta att insamlingen av vederbörandes biometriska och genetiska uppgifter är absolut nödvändig med hänsyn till ändamålen för denna insamling.(72)
75. För det andra framgår det att uppgifterna lagras ända fram till den registrerades bortgång, utan hänsyn till behovet av att lagra dem. Med beaktande av lydelsen i artikel 68.6 ZMVR och hur den tolkats har de behöriga myndigheterna befogenhet att radera uppgifterna endast under exceptionella omständigheter, som inte har något samband med hur den registrerades situation har utvecklats efter det att uppgifterna fördes in i registret. Det samma gäller logiskt den begäran om radering som den registrerade kan inge enligt samma bestämmelse men som inte är av en tillräckligt effektiv karaktär, eftersom det inte till följd av en sådan begäran är möjligt att kontrollera huruvida lagringstiden för uppgifterna är proportionerlig i förhållande till syftet med ingreppet i fråga. Vid denna bedömning borde olika kriterier beaktas, såsom de konstaterade gärningarnas art och allvar, den tid som har förflutit sedan gärningarna begicks, den lagliga lagringstid som återstår eller den registrerades ålder när begäran ingavs, och detta med hänsyn till dennes personliga situation när det gäller den ålder vid vilken gärningarna begicks, uppförandet därefter (social återanpassning, skadestånd till brottsoffren), personlighet och huruvida rehabilitering erhållits som i detta sammanhang kan utgöra en faktor i helhetsbedömningen. Under dessa omständigheter förefaller den möjlighet till omprövning som framför allt den registrerade har så liten att den är närmast hypotetisk.(73)
76. Till det ovan anförda kommer den omständigheten att känsliga uppgifter kan lagras under mycket lång tid och att registret i fråga kan erbjuda användarna användningsfunktioner som är mycket ingripande, bland annat funktioner för identifiering, analys och jämförelse. Det ska påpekas att enligt artikel 68.3 ZMVR ska polismyndigheterna för införande i polisregistret ta prover för ”DNA-profilering” av personerna och fotografera dem samt att fotografierna vid behov kan användas med teknik för ansiktsigenkänning.
V. Förslag till avgörande
77. Mot bakgrund av det ovan anförda föreslår jag att domstolen besvarar de frågor som ställts av Varhoven administrativen sad (Högsta förvaltningsdomstolen, Bulgarien) på följande sätt:
Artiklarna 4, 5, 8, 10 och 16.2 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, jämförda med varandra och tolkade mot bakgrund av artikel 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna,
ska tolkas så,
att de utgör hinder för nationell lagstiftning enligt vilken personuppgifter, inbegripet biometriska och genetiska uppgifter, för varje person som har dömts för ett uppsåtligt brott ska lagras i ett polisregister fram till den registrerades bortgång, utan någon åtskillnad beroende på brottets art eller allvar samt utan möjlighet till kontroll av huruvida uppgifterna behöver bibehållas i registret med hänsyn till den tid som förflutit sedan de registrerades och utan möjlighet att eventuellt få uppgifterna raderade.
Vid kontroll av huruvida lagringstiden för uppgifterna, med hänsyn till den dömda personens situation, är proportionerlig i förhållande till behandlingens syfte kan den rehabilitering som den registrerade har genomgått beaktas.