Language of document : ECLI:EU:C:2024:97

DOMSTOLENS DOM (stora avdelningen)

den 30 januari 2024 (*)

”Begäran om förhandsavgörande – Skydd för fysiska personer i samband med behandling av personuppgifter för att förebygga brott – Direktiv (EU) 2016/680 – Artikel 4.1 c och 4.1 e – Uppgiftsminimering – Lagringsbegränsning – Artikel 5 – Lämpliga tidsgränser för radering eller för periodisk översyn av behovet av lagring – Artikel 10 – Behandling av genetiska och biometriska uppgifter – Absolut nödvändigt – Artikel 16.2 och 16.3 – Rätten till radering – Begränsad behandling – Artikel 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna – Fysisk person som dömts genom en lagakraftvunnen dom och senare rehabiliterats – Lagring av uppgifter till dess att den registrerade avlider – Avsaknad av rätt till radering eller till begränsning av behandling – Proportionalitet”

I mål C‑118/22,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Varhoven administrativen sad (Högsta förvaltningsdomstolen, Bulgarien) genom beslut av den 10 januari 2022, som inkom till domstolen den 17 februari 2022, i målet

NG

mot

Direktor na Glavna direktsia ”Natsionalna politsia” pri Ministerstvo na vatreshnite raboti Sofia,

ytterligare deltagare i rättegången:

Varhovna administrativna prokuratura,

meddelar

DOMSTOLEN (stora avdelningen)

sammansatt av ordföranden K. Lenaerts, vice-ordföranden L. Bay Larsen, avdelningsordförandena A. Arabadjiev, A. Prechal, K. Jürimäe, N. Piçarra och O. Spineanu-Matei samt domarna M. Ilešič, J.-C. Bonichot, L.S. Rossi, I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl och D. Gratsias (referent),

generaladvokat: P. Pikamäe,

justitiesekreterare: handläggaren R. Stefanova-Kamisheva,

efter det skriftliga förfarandet och förhandlingen den 7 februari 2023,

med beaktande av de yttranden som avgetts av:

–        NG, genom P. Kuyumdzhiev, advokat

–        Bulgariens regering, genom M. Georgieva, T. Mitova och E. Petranova, samtliga i egenskap av ombud,

–        Tjeckiens regering, genom O. Serdula, M. Smolek och J. Vláčil, samtliga i egenskap av ombud,

–        Irland, genom M. Browne, A. Joyce och M. Tierney, samtliga i egenskap av ombud, biträdda av D. Fennelly, BL,

–        Spaniens regering, av A. Ballesteros Panizo och J. Rodríguez de la Rúa Puig, båda i egenskap av ombud,

–        Nederländernas regering, av A. Hanje, i egenskap av ombud,

–        Polens regering, genom B. Majczyna, D. Łukowiak och J. Sawicka, samtliga i egenskap av ombud,

–        Europeiska kommissionen, genom A. Bouchagiar, C. Georgieva, H. Kranenborg och F. Wilman, samtliga i egenskap av ombud,

och efter att den 15 juni 2023 ha hört generaladvokatens förslag till avgörande,

följande

Dom

1        Begäran om förhandsavgörande avser tolkningen av artikel 5 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89), jämförd med artikel 13.2 b och 13.3 i detta direktiv.

2        Begäran har framställts i ett mål mellan NG och Direktor na Glavna direktsia ”Natsionalna politsia” pri Ministerstvo na vatreshnite raboti – Sofia (direktören för generaldirektoratet ”Nationella polisen” vid inrikesministeriet, Bulgarien) (nedan kallad DGPN). Målet rör DGPN:s beslut att avslå NG:s ansökan om att raderas från det nationella register i vilket de bulgariska polismyndigheterna registrerar personer som lagförts för ett uppsåtligt brott som faller under allmänt åtal (nedan kallat polisregistret). DGPN har i sin begäran hänvisat till den rehabilitering som denna NG beviljats efter att ha fällts genom en lagakraftvunnen brottmålsdom.

 Tillämpliga bestämmelser

 Unionsrätt

3        I skälen 11, 14, 26, 27, 37, 47 och 104 i direktiv 2016/680 anges följande:

”(11)      Det är … lämpligt att [områdena för straffrättsligt samarbete och polissamarbete] behandlas i ett direktiv som fastställer särskilda regler om skydd för fysiska personer i samband med behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, med respekt för den särskilda karaktären hos denna verksamhet. …

(14)      Eftersom detta direktiv inte bör tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten, bör verksamhet som rör nationell säkerhet … inte betraktas som verksamhet som omfattas av detta direktivs tillämpningsområde.

(26)      … Det bör … säkerställas att de uppgifter som insamlats inte är orimligt omfattande och att de inte sparas längre än vad som är nödvändigt för det ändamål för vilket uppgifterna behandlas. Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. För att säkerställa att uppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. …

(27)      Om behöriga myndigheter ska kunna förebygga, förhindra, utreda och lagföra brott är det nödvändigt att de behandlar personuppgifter som insamlats inom ramen för förebyggande, förhindrande, utredning och lagföring av specifika brott i ett bredare sammanhang för att utveckla förståelsen för kriminell verksamhet och göra kopplingar mellan olika upptäckta brott.

(37)      Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta ett särskilt skydd eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. …

(47)      … En fysisk person bör också ha rätt till begränsning av behandlingen när … när personuppgiften måste sparas som bevisning. Framför allt bör behandlingen av personuppgifter begränsas snarare än att uppgifterna raderas om det i ett visst fall finns rimliga skäl att anta att en radering skulle kunna påverka den registrerades legitima intressen. I ett sådant fall bör begränsade uppgifter endast behandlas för det ändamål som hindrade att de raderades. …

(104)      Detta direktiv respekterar de grundläggande rättigheterna och iakttar de principer som erkänns i [Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan)] som erkänns i EUF-fördraget, särskilt rätten till respekt för privatlivet och familjelivet, rätten till skydd av personuppgifter, rätt till ett effektivt rättsmedel och till en opartisk domstol. De inskränkningar som gjorts av dessa rättigheter överensstämmer med artikel 52.1 i stadgan eftersom de är nödvändiga för att uppnå av unionen erkända mål av allmänt intresse eller för att skydda andras rättigheter och friheter.”

4        Artikel 1 i direktivet har rubriken ”Syfte och mål”. I punkt 1 i denna artikel föreskrivs följande:

”I detta direktiv fastställs bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.”

5        I artikel 2 i direktivet, med rubriken ”Tillämpningsområde”, föreskrivs följande i punkterna 1 och 3:

”1.      Detta direktiv ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1.

3.      Detta direktiv tillämpas inte på behandling av personuppgifter

a)      som utgör ett led i en verksamhet som inte omfattas av unionsrätten,

…”

6        I artikel 3 i direktivet, som har rubriken ”Definitioner”, föreskrivs följande:

”I detta direktiv avses med

2.      behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av
personuppgifter … såsom … lagring …,

…”

7        I artikel 4 i direktiv 2016/680, med rubriken ”Principer för behandling av personuppgifter”, föreskrivs följande:

”Medlemsstaterna ska föreskriva att personuppgifter ska

c)      vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas,

e)      inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas,

…”

8        Artikel 5 i direktivet, med rubriken ”Tidsgränser för lagring och översyn”, har följande lydelse:

”Medlemsstaterna ska föreskriva att lämpliga tidsgränser fastställs för radering av personuppgifter eller för periodisk översyn av behovet av att lagra personuppgifter. Procedurrelaterade åtgärder ska säkerställa att tidsgränserna efterlevs.”

9        Artikel 10 i direktivet, med rubriken ”Behandling av särskilda kategorier av personuppgifter”, har följande lydelse:

”Behandling av … genetiska uppgifter [och av] biometriska uppgifter för att unikt identifiera en fysisk person … ska vara tillåten endast om det är absolut nödvändigt och under förutsättning att det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter …”

10      I artikel 13 i samma direktiv, med rubriken ”Information som ska göras tillgänglig för eller lämnas till den registrerade”, föreskrivs i punkt 2 att medlemsstaterna, utöver den information som avses i punkt 1, i lag ska föreskriva att den personuppgiftsansvarige i specifika fall ska lämna den information som avses i denna punkt 2, för att göra det möjligt för den registrerade att utöva sina rättigheter. Bland denna information återfinns, i punkt 2 b, den period under vilken personuppgifterna kommer att lagras eller, om det inte är möjligt, de kriterier som används för att fastställa denna period. I artikel 13.3 i direktiv 2016/680 anges dessutom på vilka grunder medlemsstaterna får anta lagstiftningsåtgärder som gör att informationen till den registrerade enligt punkt 2 senareläggs, begränsas eller utelämnas.

11      I artikel 14 i direktiv 2016/680, med rubriken ”Den registrerades rätt till tillgång till personuppgifter”, föreskrivs följande:

”Med förbehåll för artikel 15 ska medlemsstaterna föreskriva att den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse av huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:

d)      Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om det inte är möjligt, de kriterier som används för att fastställa denna period.

…”

12      I artikel 16 i direktivet, med rubriken ”Rätt till rättelse eller radering av personuppgifter och begränsning av behandling”, föreskrivs följande i punkterna 2 och 3:

”2.      Medlemsstaterna ska kräva att den personuppgiftsansvarige utan onödigt dröjsmål ska radera personuppgifter och ge den registrerade rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få till stånd radering av personuppgifter som rör honom eller henne om behandlingen står i strid med de bestämmelser som antas enligt artiklarna 4, 8 och 10 eller om personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

3.      I stället för radering ska den personuppgiftsansvarige begränsa behandling om

a)      den registrerade bestrider personuppgifternas riktighet och riktigheten inte kan fastställas, eller

b)      personuppgifterna måste sparas som bevisning.

…”

13      Enligt artikel 20 i direktivet, med rubriken ”Inbyggt dataskydd och dataskydd som standard”, ska medlemsstaterna föreskriva att den personuppgiftsansvarige genomför lämpliga tekniska och organisatoriska åtgärder för att uppfylla kraven i direktivet och skydda den registrerades rättigheter, och, för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas.

14      I artikel 29 i direktiv 2016/680, med rubriken ”Säkerhet i samband med behandling”, föreskrivs följande i punkt 1:

”Medlemsstaterna ska föreskriva att den personuppgiftsansvarige och personuppgiftsbiträdet, med beaktande av den senaste utvecklingen och genomförandekostnader och med hänsyn till behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i synnerhet när det gäller de särskilda kategorier av personuppgifter som avses i artikel 10.”

 Bulgarisk rätt

 Strafflagen

15      I artikel 82.1 i Nakazatelen kodeks (strafflagen, DV nr 26 av den 2 april 1968), i den lydelse som är tillämplig i det nationella målet, föreskrivs följande:

”Den utdömda påföljden verkställs inte om följande perioder har förlöpt:

1.      Tjugo år, om straffet utgörs av livstids fängelse utan möjlighet till omvandling eller av livstids fängelse,

2.      Femton år, om straffet är fängelse i mer än tio år,

3.      Tio år, om straffet är fängelse i mellan tre och tio år,

4.      Fem år, om straffet är mindre än tre års fängelse, och

5.      Två år, för övriga fall.”

16      I artikel 85.1 i denna lag föreskrivs följande:

”Genom rehabiliteringen raderas straffet och upphäver för framtiden de effekter som enligt lagstiftningen knyts till själva domen, såvida inte annat föreskrivs i lag eller dekret.”

17      Artikel 88a i nämnda lag har följande lydelse:

”Om en period motsvarande den som avses i artikel 82.1 har förflutit efter det att straffet har avtjänats och den dömda personen inte har begått ett nytt uppsåtligt brott som faller under allmänt åtal och för vilket fängelse föreskrivs, ska påföljden och dess konsekvenser undanröjas utan hinder av bestämmelser i annan lag eller annan förordning.”

 Lagen om inrikesministeriet

18      I artikel 26 i zakon za Ministerstvo na vatreshnite raboti (lagen om inrikesministeriet) (DV nr 53 av den 27 juni 2014), i den lydelse som är tillämplig i det nationella målet (nedan kallad lagen om inrikesministeriet), föreskrivs följande:

”1)      När inrikesministeriets tjänstemän behandlar personuppgifter i samband med verksamhet som syftar till att skydda den nationella säkerheten, bekämpa brottslighet, upprätthålla allmän ordning och genomföra straffrättsliga förfaranden

3.      får de behandla alla nödvändiga kategorier av personuppgifter.

2)      Tidsgränserna för lagring av de uppgifter som avses i punkt 1 eller för periodisk översyn av behovet av att lagra uppgifterna ska fastställas av inrikesministeriet. Vidare ska uppgifterna raderas i enlighet med ett domstolsbeslut eller ett beslut av kommissionen för skydd av personuppgifter.”

19      I artikel 27 i lagen om inrikesministeriet föreskrivs följande:

”Uppgifter som härrör från att personer förts in i polisregistret i enlighet med artikel 68 ska endast användas i syfte att skydda den nationella säkerheten, bekämpa brottslighet och upprätthålla den allmänna ordningen.”

20      Artikel 68 i denna lag har följande lydelse:

”1)      Polismyndigheterna ska i polisregistret föra in uppgifter om personer som lagförs för ett uppsåtligt brott som faller under allmänt åtal. De myndigheter som ansvarar för utredningen är skyldiga att vidta nödvändiga åtgärder för att se till polismyndigheterna för in uppgifterna i registret.

2)      Införandet i polisregistret utgör en typ av behandling av personuppgifter för de personer som avses i punkt 1, vilken ska utföras i enlighet med denna lag.

3)      I syftet att föra in uppgifter i polisregistret ska polismyndigheterna

1.      samla in personuppgifter som avses i artikel 18 i lagen om bulgariska identitetshandlingar,

2.      ta digitala fingeravtryck av personerna och fotografera dem,

3.      ta prover för DNA-profilering.

6)      Uppgifterna i polisregistret ska raderas efter ett skriftligt beslut som den personuppgiftsansvarige, eller av denne bemyndigade tjänstemän, ex officio eller till följd av en skriftlig och motiverad begäran från den registrerade, när

1.      registreringen har skett i strid med lagen,

2.      det straffrättsliga förfarandet har lagts ned, utom i de fall som avses i artikel 24.3 i [Nakazatelno-protsesualen kodeks (straffprocesslagen)],

3.      det straffrättsliga förfarandet har lett till ett frikännande,

4.      personen har frikänts från straffrättsligt ansvar och har ålagts en administrativ påföljd,

5.      personen har avlidit, varvid begäran kan inges av hans eller hennes arvingar.

…”

 Målet vid den nationella domstolen och tolkningsfrågan

21      NG fördes in i polisregistret i enlighet med artikel 68 i lagen om inrikesministeriet inom ramen för en förundersökning avseende falskt vittnesmål, som är ett brott enligt artikel 290.1 i strafflagen. Efter förundersökningen väcktes åtal mot NG och genom dom av den 28 juni 2016, som efter överklagande fastställdes genom dom av den 2 december 2016, befanns han skyldig och dömdes till ett års villkorligt fängelse. Efter att ha fullgjort detta straff befanns NG, i enlighet med artikel 82.1 jämförd med artikel 88a i strafflagen, den 14 mars 2020, rehabiliterad.

22      Med stöd av denna rehabilitering ansökte NG den 15 juli 2020 hos den behöriga regionala myndigheten vid inrikesministeriet om att raderas ur polisregistret.

23      Genom beslut av den 2 september 2020 avslog DGPN begäran med motiveringen att en lagakraftvunnen fällande dom, även i fall av rehabilitering, inte finns med bland de skäl för radering av uppgifter i polisregistret som uttömmande räknas upp i artikel 68.6 lagen om inrikesministeriet.

24      Genom beslut av den 2 februari 2021 ogillade Administrativen sad Sofia grad (Förvaltningsdomstolen i Sofia stad, Bulgarien) NG:s talan mot DGPN:s beslut, och anförde som stöd härför i huvudsak samma skäl som anförts av DGPN.

25      NG överklagade detta avgörande till den hänskjutande domstolen, Varhoven administrativen sad (Högsta förvaltningsdomstolen, Bulgarien). Den huvudsakliga grunden för detta överklagande avser ett åsidosättande av den princip som följer av artiklarna 5, 13 och 14 i direktiv 2016/680, närmare bestämt att behandling av personuppgifter genom att dessa lagras inte får ske under obegränsad tid. Enligt NG är detta emellertid de facto fallet när den berörda personen, i avsaknad av ett skäl för radering ur polisregistret som är tillämpligt vid rehabilitering, aldrig kan få de personuppgifter som samlats in i samband med det brott för vilket han eller hon dömts genom en lagakraftvunnen dom, raderade efter att ha avtjänat sitt straff och befunnits rehabiliterad.

26      För det första har den hänskjutande domstolen i detta avseende påpekat att registreringen i polisregistret utgör en behandling av personuppgifter som utförs i sådant syfte som anges i artikel 1.1 i direktiv 2016/680 och således omfattas av direktivets tillämpningsområde.

27      För det andra har den hänskjutande domstolen angett att rehabilitering inte ingår bland de skäl för att radera en registrering i polisregistret som uttömmande räknas upp i artikel 68.6 i lagen om inrikesministeriet, och att inget av dessa övriga skäl kan tillämpas i förevarande fall. Följaktligen är det omöjligt för den berörda personen att i ett sådant fall få sin inskrivning i detta register raderad.

28      För det tredje har den hänskjutande domstolen påpekat att det i skäl 26 i direktiv 2016/680 hänvisas till garantier för att de uppgifter som insamlats inte är orimligt omfattande och att de inte sparas längre än vad som är nödvändigt för det ändamål för vilket uppgifterna behandlas. I detta skäl anges också att den personuppgiftsansvarige bör införa tidsfrister för radering eller för regelbunden kontroll. Den hänskjutande domstolen har dessutom av skäl 34 i direktivet dragit slutsatsen att behandling för de ändamål som anges i artikel 1.1 i direktivet bör omfatta åtgärder för att begränsa, radera eller förstöra sådana uppgifter. Enligt den hänskjutande domstolen återspeglas dessa principer i artiklarna 5, 13.2 och 13.3 i direktivet.

29      Den hänskjutande domstolen hyser tvivel om huruvida de mål som anges i föregående punkt utgör hinder för en nationell lagstiftning som för de behöriga myndigheterna leder till en ”nästan obegränsad rätt” att behandla uppgifter för de ändamål som anges i artikel 1.1 i direktiv 2016/680, och för den berörda personen till en förlust av sin rätt att begränsa behandling eller att få sena uppgifter raderade.

30      Mot denna bakgrund beslutade Varhoven administrativen sad (Högsta förvaltningsdomstolen) att vilandeförklara målet och ställa följande fråga till EU-domstolen:

”Ska artikel 5 jämförd med artikel 13.2 b och 13.3 i [direktiv 2016/680] tolkas så, att den utgör hinder mot nationella lagstiftningsåtgärder som leder till en i praktiken obegränsad rätt för de behöriga myndigheterna att behandla personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott och/eller till att den registrerades rätt till begränsning av behandlingen och radering eller förstöring av dennes personuppgifter upphävs?”

 Prövning av tolkningsfrågan

31      Av fast rättspraxis följer att det enligt det förfarande för samarbete mellan nationella domstolar och EU-domstolen som införts genom artikel 267 FEUF, ankommer på EU-domstolen att ge den nationella domstolen ett användbart svar, som gör det möjligt för den domstolen att avgöra det mål som den ska pröva. I detta syfte kan EU-domstolen behöva omformulera de frågor som hänskjutits. EU-domstolen kan dessutom behöva ta hänsyn till unionsbestämmelser som den nationella domstolen inte har hänvisat till i sin fråga (dom av den 15 juli 2021, Ministrstvo za obrambo,C‑742/19, EU:C:2021:597, punkt 31 och där angiven rättspraxis).

32      I förevarande fall har den nationella domstolen ställt sin fråga mot bakgrund av att det av begäran om förhandsavgörande och av de uppgifter som den bulgariska regeringen har lämnat vid förhandlingen i domstolen framgår att inget av de skäl som motiverar radering av personuppgifter i polisregistret, vilka uttömmande räknas upp i lagen om inrikesministeriet, är tillämpligt i den situation som är aktuell i det nationella målet – i vilket fråga är om en person som har dömts genom en lagakraftvunnen dom –, och detta även efter det att vederbörande har rehabiliterats. Detta innebär att de nämnda uppgifterna lagras i detta register och kan behandlas av de myndigheter som har tillgång till uppgifterna utan någon annan begränsning i tiden än den berörda personens död.

33      Det framgår av beslutet om hänskjutande, bland annat av de överväganden som sammanfattats i punkt 27 ovan, och av själva lydelsen i tolkningsfrågan, att den hänskjutande domstolen särskilt vill få klarhet i huruvida den nationella lagstiftning som är aktuell i det nationella målet är förenlig med proportionalitetsprincipen. Såsom framgår av skäl 104 i direktiv 2016/680 ska de begränsningar som detta direktiv medför för rätten till skydd av personuppgifter, enligt artikel 8 i stadgan, och för rätten till respekt för privatlivet och familjelivet och rätten till ett effektivt rättsmedel och till en opartisk domstol, enligt artiklarna 7 och 47 i samma stadga, tolkas i enlighet med kraven i artikel 52.1 i samma direktiv, vilka innefattar respekten för denna princip.

34      Vidare hänvisar den hänskjutande domstolen i sin fråga rätteligen till artikel 5 i direktivet, som rör lämpliga tidsgränser för radering av personuppgifter eller för periodisk översyn av behovet av att lagra dessa uppgifter. Eftersom nämnda artikel 5 är nära knuten såväl till artikel 4.1 c och 4.1 e som till artikel 16.2 och 16.3 i samma direktiv, ska tolkningsfrågan förstås så, att den även avser dessa båda bestämmelser.

35      Eftersom den nationella lagstiftning som är aktuell i det nationella målet föreskriver lagring av bland annat biometriska och genetiska uppgifter, vilka ingår bland de särskilda kategorier av personuppgifter vars behandling regleras särskilt i artikel 10 i direktiv 2016/680, ska den fråga som ställts även anses avse tolkningen av denna bestämmelse.

36      Slutligen framgår behovet av en tolkning av artikel 13 i direktiv 2016/680 av begäran om förhandsavgörande tydligt endast vad gäller punkt 2 b i denna bestämmelse. Såsom den hänskjutande domstolen har påpekat återspeglar visserligen artikel 13.3 också de principer som anges i bland annat skäl 26 i direktivet. Men av handlingarna i målet framgår emellertid inte att det i det nationella målet även är fråga om en lagstiftningsåtgärd som syftar till att fördröja eller begränsa tillhandahållandet av information till den registrerade, i den mening som avses i denna punkt 3.

37      Mot bakgrund av det ovan anförda ska den hänskjutande domstolen anses ha ställt sin fråga för att få klarhet i huruvida artikel 4.1 c och 4.1 e i direktiv 2016/680, jämförd med artiklarna 5, 10, 13.2 b, 16.2 och 16.3 i samma direktiv, och mot bakgrund av artiklarna 7 och 8 i stadgan, ska tolkas så, att den utgör hinder för en nationell lagstiftning som föreskriver att personuppgifter, inklusive biometriska och genetiska uppgifter, vad gäller personer som genom en lagakraftvunnen brottmålsdom har dömts för ett uppsåtligt brott som faller under allmänt åtal, ska lagras, genom polismyndigheternas försorg, för att förebygga, upptäcka, utreda och lagföra brott, eller att verkställa straffrättsliga påföljder, fram till dess att den registrerade avlider, även i fall då den registrerade har rehabiliterats, utan att vederbörande erkänns rätten att få dessa uppgifter raderade eller, i förekommande fall, att få behandlingen av dessa uppgifter begränsade.

38      Det ska inledningsvis påpekas att den fråga som ställts avser en behandling av personuppgifter som sker för ändamål som enligt artikel 1.1 i direktiv 2016/680 omfattas av detta direktivs tillämpningsområde. Det framgår emellertid av artikel 27 i lagen om inrikesministeriet, som åberopas i beslutet om hänskjutande att de uppgifter som lagras i polisregistret även får behandlas i syfte att skydda den nationella säkerheten, ett syfte som enligt artikel 2.3 a i detta direktiv, jämförd med skäl 14 i samma direktiv, inte omfattas av direktivets tillämpningsområde. Det ankommer således på den hänskjutande domstolen att försäkra sig om att lagringen av klagandens uppgifter inte sker i ett syfte som hänför sig till att skydda den nationella säkerheten, med hänsyn till att artikel 2.3 a avser ett undantag från tillämpningen av unionsrätten, som ska tolkas restriktivt (se, analogt, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 62 och där angiven rättspraxis).

39      För det första ska det erinras om att de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter, vilka garanteras i artiklarna 7 och 8 i stadgan, inte utgör några absoluta rättigheter, utan ska förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter. Varje begränsning av dessa grundläggande rättigheter måste således, i enlighet med vad som anges i artikel 52.1 i stadgan, vara föreskrivna i lag och vara förenliga med det väsentliga innehållet i de grundläggande rättigheterna och proportionalitetsprincipen. Enligt den sistnämnda principen får begränsningar endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller av behovet av skydd för andra människors rättigheter och friheter. Begränsningarna får inte gå utöver vad som är strikt nödvändigt, och den lagstiftning som föreskriver de berörda begränsningarna måste innehålla tydliga och precisa bestämmelser som reglerar räckvidden och tillämpningen av dessa begränsningar (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 105 och där angiven rättspraxis).

40      Såsom betonas i skäl 26 i direktiv 2016/680 är dessa krav inte uppfyllda när det eftersträvade målet av allmänintresse rimligen kan uppnås på ett lika effektivt sätt genom andra medel som i mindre utsträckning inskränker de registrerades grundläggande rättigheter (se, analogt, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 110 och där angiven rättspraxis).

41      För det andra ska medlemsstaterna enligt artikel 4.1 c i direktivet föreskriva att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas. Denna bestämmelse kräver således att medlemsstaterna iakttar principen om ”uppgiftsminimering”, vilken ger uttryck för proportionalitetsprincipen (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 98 och där angiven rättspraxis).

42      Härav följer bland annat att insamling av personuppgifter inom ramen för ett straffrättsligt förfarande och polismyndighetens lagring av dessa uppgifter, för de ändamål som anges i artikel 1.1 i direktivet, måste uppfylla dessa krav, precis som varje behandling som omfattas av direktivets tillämpningsområde. En sådan lagring utgör för övrigt ett ingrepp i den grundläggande rätten till respekt för privatlivet och skydd för personuppgifter, oberoende av om de lagrade uppgifterna är av känslig art eller ej eller om de berörda har fått utstå eventuella olägenheter på grund av ingreppet samt om de lagrade uppgifterna senare kommer eller inte kommer att användas (se, analogt, dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 44 och där angiven rättspraxis).

43      Vad mer specifikt gäller frågan huruvida lagringstiden för uppgifterna är proportionerlig, ska medlemsstaterna enligt artikel 4.1 e i direktiv 2016/680 föreskriva att uppgifterna inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas.

44      I detta sammanhang ålägger artikel 5 i direktivet medlemsstaterna att föreskriva att lämpliga tidsgränser fastställs för radering av personuppgifter eller för periodisk översyn av behovet av att lagra sådana uppgifter, och att procedurrelaterade åtgärder ska säkerställa att tidsgränserna efterlevs.

45      Såsom anges i skäl 26 i direktiv 2016/680 syftar denna bestämmelse till att säkerställa att personuppgifter, i enlighet med kraven i artikel 4.1 e i direktivet, inte lagras längre än vad som är nödvändigt. Det ankommer visserligen på medlemsstaterna att fastställa lämpliga tidsfrister för den period under vilken personuppgifterna kommer att lagras, och att besluta huruvida dessa tidsfrister avser radering av dessa uppgifter eller för periodisk översyn av behovet av att lagra dem, under förutsättning att iakttagandet av dessa frister säkerställs genom lämpliga procedurrelaterade åtgärder. För att dessa tidsfrister ska vara ”lämpliga” krävs emellertid under alla omständigheter, i enlighet med artikel 4.1 c och 4.1 e i direktivet, jämförd med artikel 52.1 i stadgan, att de i förekommande fall gör det möjligt att radera de berörda uppgifterna om det inte längre är nödvändigt att lagra dem med hänsyn till de ändamål som motiverade behandlingen.

46      Det är särskilt i syfte att göra det möjligt för de registrerade att kontrollera huruvida uppgifterna är ”lämpliga” och, i förekommande fall, att begära radering, som det i artikel 13.2 b och artikel 14 d i direktiv 2016/680 föreskrivs att dessa personer i princip kan informeras, om möjligt, om den period under vilken personuppgifterna kommer att lagras eller, om det inte är möjligt, om de kriterier som används för att fastställa denna period.

47      Vidare utgör artikel 10 i direktiv 2016/680 en särskild bestämmelse som reglerar behandlingen av särskilda kategorier av personuppgifter, bland annat biometriska och genetiska uppgifter. Denna bestämmelse syftar till att säkerställa ett ökat skydd för den registrerade, eftersom de aktuella uppgifterna, på grund av deras särskilda känslighet och det sammanhang i vilket de behandlas, kan, såsom anges i skäl 37 i direktivet, utgöra ett synnerligen allvarligt hot mot grundläggande rättigheter, som rätten till respekt för privatlivet och skyddet för personuppgifter, vilka garanteras genom artiklarna 7 och 8 i stadgan (dom av den 26 januari 2023, Ministerstvo na vatreshnite raboti (Polisregistrering av biometriska och genetiska uppgifter), C‑205/21, EU:C:2023:49, punkt 116 och där angiven rättspraxis).

48      I artikel 10 anges närmare bestämt kravet att behandling av känsliga uppgifter ska vara tillåten ”endast om det är absolut nödvändigt”. Detta krav utgör ett förstärkt villkor för att behandlingen av sådana uppgifter ska vara tillåten och innebär bland annat en särskilt strikt kontroll av efterlevnaden av principen om uppgiftsminimering, som följer av artikel 4.1 c i direktiv 2016/680, varvid detta krav utgör en specifik tillämpning på sådana känsliga uppgifter (se, för ett liknande resonemang, dom av den 26 januari 2023, Ministerstvo na vatreshnite raboti (Polisregistrering av biometriska och genetiska uppgifter), C‑205/21, EU:C:2023:49, punkterna 117, 122 och 125).

49      Slutligen föreskrivs i artikel 16.2 i direktiv 2016/680 en rätt till radering av personuppgifter om behandlingen står i strid med de bestämmelser som antas enligt artiklarna 4, 8 och 10 eller om personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

50      Det följer av artikel 16.2 att denna rätt till radering bland annat kan utövas när lagringen av de aktuella uppgifterna inte är eller inte längre är nödvändig för ändamålen med behandlingen av dem, i strid med de bestämmelser i nationell rätt som genomför artikel 4.1 c och 4.1 e i direktivet och, i förekommande fall, artikel 10 i direktivet, eller när radering krävs för att iaktta den tidsfrist som för detta ändamål föreskrivs i nationell rätt enligt artikel 5 i samma direktiv.

51      Enligt artikel 16.3 i direktiv 2016/680 ska det emellertid i nationell rätt föreskrivas att den registeransvarige ska begränsa behandlingen av uppgifterna i stället för att radera dem om a) den registrerade bestrider personuppgifternas korrekthet och korrektheten inte kan fastställas, eller om b) personuppgifterna måste sparas som bevisning.

52      Av det ovan anförda följer att de bestämmelser i direktiv 2016/680 som prövas i punkterna 41–51 ovan fastställer en allmän ram som gör det möjligt att säkerställa bland annat att lagringen av personuppgifter, och närmare bestämt lagringens varaktighet, begränsas till vad som är nödvändigt med hänsyn till de ändamål för vilka de lagras. Samtidigt överlåts åt medlemsstaterna att med iakttagande av denna ram fastställa dels de konkreta situationer där skyddet av den registrerades grundläggande rättigheter kräver att uppgifterna raderas, dels den tidpunkt då uppgifterna ska raderas. Såsom generaladvokaten har påpekat i punkt 28 i sitt förslag till avgörande kräver dessa bestämmelser däremot inte att medlemsstaterna fastställer absoluta tidsgränser för lagringen av personuppgifter, utöver vilka uppgifterna automatiskt ska raderas.

53      I förevarande fall framgår det av handlingarna i målet att personuppgifter som förs in i polisregistret enligt artikel 68 i lagen om inrikesministeriet endast lagras för operativa utredningar och närmare bestämt för att jämföras med andra uppgifter som samlats in i samband med utredningar av andra brott.

54      För det första konstaterar domstolen i detta hänseende att lagring, i ett polisregister, av uppgifter om personer som har dömts genom en lagakraftvunnen brottmålsdom, kan vara nödvändig för de ändamål som anges i föregående punkt, även efter det att den fällande domen har raderats från belastningsregistret och efter det att de verkningar som är knutna till denna fällande dom enligt den nationella lagstiftningen följaktligen har upphävts. Dessa personer skulle nämligen kunna vara inblandade i andra brott än dem för vilka de har dömts eller, tvärtom, frikännas med hjälp av en jämförelse mellan de uppgifter som dessa myndigheter har lagrat och de uppgifter som samlats in under förfarandena avseende dessa andra brott.

55      En sådan lagring skulle kunna bidra till det mål av allmänt intresse som anges i skäl 27 i direktiv 2016/680, nämligen att behöriga myndigheter, för att kunna förebygga, förhindra, utreda och lagföra brott, måste kunna behandla personuppgifter som insamlats inom ramen för förebyggande, förhindrande, utredning och lagföring av specifika brott i ett bredare sammanhang för att utveckla förståelsen för kriminell verksamhet och göra kopplingar mellan olika upptäckta brott (se, för ett liknande resonemang, dom av den 26 januari 2023, Ministerstvo na vatreshnite raboti (Polisregistrering av biometriska och genetiska uppgifter), C‑205/21, EU:C:2023:49, punkt 98).

56      För det andra framgår det av de handlingar som ingetts till EU-domstolen att de uppgifter om den berörda personen, vilka avses i den bulgariska lagstiftningen om identitetshandlingar och som lagras i polisregistret, utgörs av fingeravtryck, fotografi och prov för DNA-profilering, till vilka kan läggas, såsom den bulgariska regeringen bekräftade vid förhandlingen, uppgifter om brott som begåtts av den berörda personen samt fällande domar i detta avseende. Dessa olika kategorier av uppgifter kan visa sig vara oumbärliga för att kontrollera huruvida den berörda personen är inblandad i andra brott än dem för vilka han eller hon har dömts genom en lagakraftvunnen dom. Dessa uppgifter kan följaktligen i princip anses vara adekvata och relevanta i förhållande till de syften för vilka de behandlas, i den mening som avses i artikel 4.1 c i direktiv 2016/680.

57      För det tredje ska frågan huruvida en sådan lagring är proportionerlig i förhållande till dess ändamål bedömas även med beaktande av de lämpliga tekniska och organisatoriska åtgärder som föreskrivs i nationell rätt, vilka syftar till att säkerställa sekretess och säkerhet för de lagrade uppgifterna med avseende på behandling som strider mot kraven i direktiv 2016/680, i enlighet med artiklarna 20 och 29 i direktivet, och särskilt åtgärder som avses i artikel 20.2 i direktivet, vilka säkerställer att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas.

58      För det fjärde, vad gäller den period under vilken de i det nationella målet aktuella personuppgifterna kommer att lagras, framgår det i förevarande fall av begäran om förhandsavgörande att det endast är för det fall att den berörda personen genom en lagakraftvunnen dom har dömts för ett uppsåtligt brott som faller under allmänt åtal som lagringen av dessa uppgifter sparas fram till denna persons död, medan det i den nationella lagstiftningen föreskrivs att registreringar av personer som lagförs för ett sådant brott ska raderas i övriga fall.

59      Det kan emellertid konstateras att begreppet ”uppsåtligt brott som faller under allmänt åtal” är av särskilt allmän karaktär och kan tillämpas på ett stort antal brott, oberoende av deras art och allvar (se, för ett liknande resonemang, dom av den 26 januari 2023, Ministerstvo na vatreshnite raboti (Polisregistrering av biometriska och genetiska uppgifter), C‑205/21, EU:C:2023:49, punkt 129).

60      Såsom generaladvokaten har påpekat, i punkterna 73 och 74 i sitt förslag till avgörande, föreligger emellertid inte samma risk för alla personer som genom lagakraftägande dom har dömts för ett brott som omfattas av detta begrepp, att bli inblandade i andra brott och som skulle motivera en enhetlig period under vilken uppgifter rörande dem ska lagras. Med hänsyn till sådana faktorer som brottets art och svårhetsgrad eller avsaknaden av återfall, motiverar den risk som den dömda personen utgör i vissa fall inte nödvändigtvis att de uppgifter som rör honom eller henne fortsätter att lagras i det för detta ändamål föreskrivna nationella polisregistret fram till personens död. I sådana fall finns det inte längre något nödvändigt samband mellan de lagrade uppgifterna och det eftersträvade syftet (se, analogt, yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 205). Lagringen av uppgifterna är således inte förenlig med principen om uppgiftsminimering, som anges i artikel 4.1 c i direktiv 2016/680, och kommer att överstiga den period som är nödvändig för de ändamål för vilka de behandlas, vilket strider mot artikel 4.1 e i detta direktiv.

61      Såsom generaladvokaten har påpekat, i punkt 70 i sitt förslag till avgörande, innebär visserligen inte den omständigheten i sig att en sådan person rehabiliteras, vilket medför att den fällande domen mot honom eller henne i belastningsregistret raderas, såsom den dom som är aktuell i det nationella målet, att det inte längre är nödvändigt att lagra uppgifterna i polisregistret. Detta register tjänar nämligen andra syften än att registrera personens brottshistorik i nämnda register. När en sådan rehabilitering, såsom i förevarande fall, enligt de tillämpliga nationella straffrättsliga bestämmelserna förutsätter att den berörda personen inte har begått något nytt uppsåtligt brott som faller under allmänt åtal under en viss tid efter det att straffet har avtjänats, kan den emellertid utgöra en indikation på att den berörda personen utgör en mindre risk med hänsyn till målen att bekämpa brottslighet eller upprätthålla allmän ordning. En rehabilitering skulle i så fall utgöra en omständighet som kunde reducera den period under vilken en sådan lagring måste ske.

62      För det femte innebär proportionalitetsprincipen i artikel 52.1 i stadgan bland annat att det ska göras en avvägning mellan hur viktigt det eftersträvade målet är och hur allvarligt inskränkningen i utövandet av de grundläggande rättigheterna i fråga är (se, för ett liknande resonemang, dom av den 22 november 2022, Luxembourg Business Registers, C‑37/20 och C‑601/20, EU:C:2022:912, punkt 66).

63      I förevarande fall omfattar lagringen av personuppgifter i det aktuella polisregistret, såsom det har erinrats om i punkt 35 ovan, biometriska och genetiska uppgifter. Det ska således understrykas att kravet på att behandlingen ska vara ”absolut nödvändig”, med hänsyn till de betydande risker som behandlingen av känsliga uppgifter innebär för de registrerades fri- och rättigheter, särskilt i samband med de uppdrag hos behöriga myndigheter som svarar mot de ändamål som anges i artikel 1.1 i direktiv 2016/680, innebär att den särskilda betydelsen av det mål som en sådan behandling är avsedd att uppnå ska beaktas mot bakgrund av samtliga relevanta omständigheter. Till sådana omständigheter hör den att behandlingen tjänar ett konkret mål som har samband med förebyggande av brott eller sådana hot mot den allmänna säkerheten som är särskilt allvarliga, bekämpandet av sådana brott eller skydd mot sådana hot samt de särskilda omständigheter under vilka behandlingen utförs (dom av den 26 januari 2023, Ministerstvo na vatreshnite raboti (Polisregistrering av biometriska och genetiska uppgifter), C‑205/21, EU:C:2023:49, punkt 127).

64      Domstolen har i detta sammanhang slagit fast att en nationell lagstiftning som föreskriver en systematisk insamling av biometriska och genetiska uppgifter för varje person som misstänks för ett uppsåtligt brott som faller under allmänt åtal i princip strider mot kravet om absolut nödvändighet, som anges i artikel 10 i direktiv 2016/680 och som det erinrats om i punkt 48 ovan. En sådan lagstiftning kan nämligen leda till en generell insamling av biometriska och genetiska uppgifter från de flesta misstänkta personer (se, för ett liknande resonemang, dom av den 26 januari 2023, Ministerstvo na vatreshnite raboti (Polisregistrering av biometriska och genetiska uppgifter), C‑205/21, EU:C:2023:49, punkterna 128 och 129).

65      Europeiska domstolen för de mänskliga rättigheterna slog för sin del fast att den allmänt hållna och odifferentierade karaktären av befogenheten att lagra fingeravtryck, biologiska prover och DNA-profiler från personer som misstänks för lagöverträdelse men som inte har dömts, såsom föreskrevs i den nationella lagstiftning som var aktuell i det mål som anhängiggjorts vid den domstolen, inte utgjorde en skälig avvägning mellan de allmänna och enskilda intressen som stod på spel, och att lagringen av dessa uppgifter därför utgjorde ett oproportionerligt ingrepp i klagandenas rätt till respekt för privatlivet och inte kunde anses nödvändig i ett demokratiskt samhälle. Europadomstolen fann följaktligen att det förelåg ett åsidosättande av artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, undertecknad i Rom den 4 november 1950 (Europadomstolen, 4 december 2008, S. och Marper mot Förenade kungariket, CE:ECHR:2008:1204JUD 003056204, §§ 125 och 126).

66      Lagring av biometriska och genetiska uppgifter om personer som redan har varit föremål för en lagakraftvunnen brottmålsdom, inbegripet fram till att dessa personer avlidit, kan visserligen anses vara absolut nödvändig i den mening som avses i artikel 10 i direktiv 2016/680, bland annat för att göra det möjligt att kontrollera dessa personers eventuella inblandning i andra brott, och således att lagföra och döma gärningsmännen till dessa brott. Man bör nämligen beakta den betydelse som denna typ av uppgifter har för brottsutredningar, även många år efter det att gärningarna begicks, särskilt när dessa lagöverträdelser utgör allvarliga brott (se, för ett liknande resonemang, Europadomstolen, 13 februari 2020, Gaughran mot Förenade kungariket, CE:ECHR:2020:0213JUD004524515, § 93).

67      Lagring av biometriska och genetiska uppgifter kan emellertid enbart anses uppfylla kravet att lagringen ska vara tillåten ”endast om det är absolut nödvändigt”, i den mening som avses i artikel 10 i direktiv 2016/680, om den beaktar arten och allvaret av det brott som lett till den slutliga fällande domen, eller andra omständigheter, såsom de särskilda omständigheter under vilka brottet begicks, lagringens eventuella koppling till andra pågående förfaranden eller den dömda personens tidigare bakgrund eller profil. För det fall att en nationell lagstiftning, såsom den som är aktuell i det nationella målet, föreskriver att de berörda personernas biometriska och genetiska uppgifter som införts i polisregistret ska lagras fram till dessa personers död om de har dömts genom en lagakraftvunnen brottmålsdom, är tillämpningsområdet för denna lagring, såsom konstaterats i punkterna 59 och 60 ovan, alltför omfattande i förhållande till de ändamål för vilka uppgifterna behandlas.

68      För det sjätte, vad gäller medlemsstaternas skyldighet enligt artikel 5 i direktiv 2016/680, att fastställa lämpliga tidsgränser, påpekar domstolen att en tidsgräns, av de skäl som anges i punkterna 59, 60 och 67 i förevarande dom och med hänsyn till kraven i artikel 4.1 c och 4.1 e samt artikel 10 i direktivet, enbart kan anses vara ”lämplig”, i den mening som avses i samma artikel 5, bland annat vad gäller lagring av biometriska och genetiska uppgifter om en person som genom en lagakraftvunnen dom har dömts för ett uppsåtligt brott som faller under allmänt åtal, om tidsgränsen tar hänsyn till relevanta omständigheter som gör en sådan lagringstid nödvändig, till exempel de omständigheter som avses i punkt 67 ovan.

69      Även om hänvisningen i den nationella lagstiftningen till att den registrerades död kan utgöra en ”tidsgräns” för radering av lagrade uppgifter, i den mening som avses i nämnda artikel 5, så kan en sådan tidsgräns följaktligen endast anses vara ”lämplig” under särskilda och vederbörligen motiverade omständigheter. Det är uppenbart att så inte är fallet när tidsgränsen är allmänt tillämplig och inte gör någon åtskillnad mellan dem som dömts genom lagakraftägande dom.

70      Såsom har påpekats i punkt 45 ovan föreskriver artikel 5 i direktiv 2016/680 att det åligger medlemsstaterna att besluta om huruvida lämpliga tidsgränser ska fastställs för radering av dessa personuppgifter eller för periodisk översyn av behovet av att lagra dessa. Det framgår emellertid också av samma punkt att det för att tidsgränserna för en sådan periodisk översyn ska vara ”lämpliga” krävs att de, i enlighet med artikel 4.1 c och 4.1 e i detta direktiv, jämförd med artikel 52.1 i stadgan, gör det möjligt att radera de berörda uppgifterna för det fall att det inte längre är nödvändigt att lagra dem. Av de i föregående punkt redovisade skälen är ett sådant krav emellertid inte uppfyllt när den nationella lagstiftningen, såsom i förevarande fall, enbart föreskriver en sådan radering, med avseende på en person som genom lagakraftägande dom har dömts för ett uppsåtligt brott som faller under allmänt åtal, för det fall att personen i fråga har avlidit.

71      Vad vidare gäller de garantier som föreskrivs i artikel 16.2 och 16.3 i direktivet, avseende villkoren för rätten till radering och begränsning av behandling, framgår det av punkterna 50 och 51 ovan att dessa bestämmelser även utgör hinder för en nationell lagstiftning som inte tillåter en person som genom lagakraftägande dom har dömts för ett uppsåtligt brott som faller under allmänt åtal, att utöva dessa rättigheter.

72      Mot bakgrund av det ovan anförda ska de den ställda frågan besvaras enligt följande. Artikel 4.1 c och 4.1 e i direktiv 2016/680, jämförd med artiklarna 5, 10, 13.2 b, 16.2 och 16.3 i samma direktiv, och mot bakgrund av artiklarna 7 och 8 i stadgan, ska tolkas så, att den utgör hinder för en nationell lagstiftning som föreskriver att personuppgifter, inklusive biometriska och genetiska uppgifter, vad gäller personer som genom en lagakraftvunnen brottmålsdom har dömts för ett uppsåtligt brott som faller under allmänt åtal, ska lagras, genom polismyndigheternas försorg, för att förebygga, upptäcka, utreda och lagföra brott, eller att verkställa straffrättsliga påföljder, fram till dess att den registrerade avlider, även i fall då den registrerade har rehabiliterats, utan att därvid ålägga den personuppgiftsansvarige skyldigheten att regelbundet kontrollera om sådan lagring fortfarande är nödvändig, och utan att tillerkänna den berörda personen rätten att få uppgifterna raderade på grund av att lagringen av dem inte längre är nödvändig för de ändamål för vilka de har behandlats eller, i förekommande fall, rätten att få behandlingen av dessa uppgifter begränsade.

 Rättegångskostnader

73      Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (stora avdelningen) följande:

Artikel 4.1 c och 4.1 e i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, jämförd med artiklarna 5, 10, 13.2 b, 16.2 och 16.3 däri, och mot bakgrund av artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna,

ska tolkas så,

att den utgör hinder för en nationell lagstiftning som föreskriver att personuppgifter, inklusive biometriska och genetiska uppgifter, vad gäller personer som genom en lagakraftvunnen brottmålsdom har dömts för ett uppsåtligt brott som faller under allmänt åtal, ska lagras, genom polismyndigheternas försorg, för att förebygga, upptäcka, utreda och lagföra brott, eller att verkställa straffrättsliga påföljder, fram till dess att den registrerade avlider, även i fall då den registrerade har rehabiliterats, utan att därvid ålägga den personuppgiftsansvarige skyldigheten att regelbundet kontrollera om sådan lagring fortfarande är nödvändig, och utan att tillerkänna den berörda personen rätten att få uppgifterna raderade på grund av att lagringen av dem inte längre är nödvändig för de ändamål för vilka de har behandlats eller, i förekommande fall, rätten att få behandlingen av dessa uppgifter begränsade.

Underskrifter

*      Rättegångsspråk: bulgariska.