FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
JEAN RICHARD DE LA TOUR
föredraget den 8 september 2022(1)
Mål C‑132/21
BE
mot
Nemzeti Adatvédelmi és Információszabadság Hatóság,
ytterligare deltagare i rättegången:
Budapesti Elektromos Művek Zrt.
(begäran om förhandsavgörande från Fővárosi Törvényszék (Överdomstolen för Budapests stad, Ungern))
”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artiklarna 77–79 – Klagomål till en tillsynsmyndighet – Rättsmedel – Förhållandet mellan rättsmedel – Medlemsstaternas processuella autonomi”
I. Inledning
1. Förevarande begäran om förhandsavgörande avser tolkningen av artiklarna 51.1, 52.1, 77.1 och 79.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).(2)
2. Denna begäran har framställts i ett mål mellan BE och Nemzeti Adatvédelmi és Információszabadság Hatóság (Nationella tillsynstillsynsmyndigheten för dataskydd och informationsfrihet, Ungern, nedan kallad tillsynstillsynsmyndigheten) angående ett beslut om avslag på BE:s begäran om att få tillgång till avsnitt av ljudinspelningen från en bolagsstämma i vilken BE deltagit.
3. Dataskyddsförordningen syftar till att säkerställa en effektiv tillämpning av bestämmelserna om skydd av personuppgifter, genom att föreskriva ett system med rättsmedel som gör det möjligt för en registrerad person att lämna in ett klagomål till en tillsynsmyndighet, och att väcka talan mot tillsynsmyndighetens beslut och mot en personuppgiftsansvarig, alternativt dennes personuppgiftsbiträde, om den registrerade anser att dennes rättigheter enligt förordningen har åsidosatts genom att vederbörandes personuppgifter har behandlats i strid med förordningen.
4. Fővárosi Törvényszék (Överdomstolen för Budapests stad, Ungern) vill att EU-domstolen ska klargöra hur dessa rättsmedel förhåller sig till varandra och närmare bestämt hur det kan undvikas att motstridiga avgöranden om huruvida de rättigheter som skyddas av dataskyddsförordningen har åsidosatts meddelas i en och samma medlemsstat.
5. Den aktuella frågan är viktig, eftersom unionslagstiftarens avsikt att säkerställa ett effektivt domstolsskydd för de rättigheter som följer av dataskyddsförordningen och att säkerställa en hög och enhetlig skyddsnivå för dessa rättigheter inte tycks vara förenlig med motstridiga avgöranden inom en och samma medlemsstat, då detta ger upphov till rättsosäkerhet.
6. I detta förslag till avgörande kommer jag att föreslå att domstolen ska slå fast att artikel 78.1 dataskyddsförordningen, jämförd med artikel 47 i Europeiska unionens stadga om de grundläggande rättigheterna,(3) ska tolkas så, att när en registrerad person utnyttjar de rättsmedel som föreskrivs i artiklarna 77.1 och 79.1 i förordningen är en domstol som ska pröva ett överklagande av en tillsynsmyndighets beslut inte bunden av ett avgörande som meddelats av en domstol där talan har väckts med stöd av sistnämnda bestämmelse, i fråga om huruvida de rättigheter som denna person har enligt förordningen har åsidosatts eller ej.
7. Mot denna bakgrund kommer jag att redogöra för skälen till att artiklarna 77.1 och 79.1 dataskyddsförordningen enligt min mening ska tolkas så, att de rättsmedel som föreskrivs i dessa bestämmelser kan användas parallellt, utan att det ena, med stöd av denna förordning, ges företräde framför det andra.
8. Jag kommer att komplettera detta svar med att precisera att det, i avsaknad av unionsbestämmelser om förhållandet mellan de rättsmedel som föreskrivs i artiklarna 77–79 i dataskyddsförordningen, ankommer på medlemsstaterna, i enlighet med principen om processuell autonomi och med beaktande av såväl målet att säkerställa en hög och enhetlig skyddsnivå för de rättigheter som ges genom denna förordning som rätten till ett effektivt rättsmedel enligt artikel 47 i stadgan, att på nationell nivå införa de mekanismer som krävs för att klargöra förhållandet mellan dessa rättsmedel, för att undvika att motstridiga beslut avseende samma behandling av personuppgifter fattas i en och samma medlemsstat.
II. Tillämpliga bestämmelser
A. Dataskyddsförordningen
9. I artikel 51.1 i dataskyddsförordningen föreskrivs följande:
”Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen (nedan kallad tillsynsmyndighet).”
10. I artikel 52.1 dataskyddsförordningen anges följande:
”Varje tillsynsmyndighet ska vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med denna förordning.”
11. I artikel 58.4 i dataskyddsförordningen föreskrivs följande:
”Utövandet av de befogenheter som tillsynstillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas nationella rätt i enlighet med stadgan.”
12. Artikel 77 dataskyddsförordningen, med rubriken ”Rätt att lämna in klagomål till en tillsynsmyndighet”, har följande lydelse:
”1. Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks.
2. Den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta den enskilde om hur arbetet med klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 78.”
13. I artikel 78 i dataskyddsförordningen, med rubriken ”Rätt till ett effektivt rättsmedel mot tillsynstillsynsmyndighetens beslut”, föreskrivs följande i punkt 1:
”Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet.”
14. I artikel 79 i dataskyddsförordningen, med rubriken ”Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde”, anges följande i punkt 1:
”Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.”
B. Ungersk rätt
15. I 22 § információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (2011 års lag nr CXII om självbestämmande på informationsområdet och om informationsfrihet) (nedan kallad informationslagen)(4) av den 26 juli 2011 föreskrivs följande:
”Vid utövandet av sina rättigheter får den registrerade enligt bestämmelserna i kapitel VI
a) begära att [tillsynstillsynsmyndigheten] inleder en utredning om huruvida en åtgärd som den personuppgiftsansvarige har vidtagit är laglig, om denne har begränsat utövandet av den registrerades rättigheter enligt artikel 14 eller har avslagit en begäran från den registrerade om att få utöva sina rättigheter, samt
b) begära att [tillsynstillsynsmyndigheten] genomför ett administrativt förfarande rörande personuppgiftsskydd, om den registrerade anser att den personuppgiftsansvarige, eller i förekommande fall det personuppgiftsbiträde som agerar för den personuppgiftsansvariges räkning eller under dennes ledning, vid behandlingen av den registrerades personuppgifter har överträtt bestämmelser rörande behandling av personuppgifter som föreskrivs i lag eller i en bindande unionsrättsakt …”
16. I 23 § i informationslagen föreskrivs följande:
”1. Den registrerade får väcka talan vid domstol mot den personuppgiftsansvarige, eller mot personuppgiftsbiträdet i fråga om behandling av uppgifter som omfattas av personuppgiftsbiträdets verksamhetsområde, om den registrerade anser att den personuppgiftsansvarige, eller i förekommande fall det personuppgiftsbiträde som agerar för den personuppgiftsansvariges räkning eller under dennes ledning, vid behandlingen av den registrerades personuppgifter har överträtt bestämmelser rörande behandling av personuppgifter som föreskrivs i lag eller i en bindande unionsrättsakt …
…
4. Även den som i övrigt saknar partsbehörighet får vara part i domstolsförfarandet. [Tillsynstillsynsmyndigheten] får delta i förfarandet till stöd för den registrerades yrkanden.
5. Om domstolen bifaller talan, ska den fastställa att det föreligger en överträdelse och ålägga den personuppgiftsansvarige, eller i förekommande fall personuppgiftsbiträdet, att
a) upphöra med den rättsstridiga behandlingen av uppgifter,
b) återställa personuppgiftsbehandlingens laglighet och/eller
c) förfara på ett noga angivet sätt för att säkerställa att den registrerade kan utöva sina rättigheter,
samt, i förekommande fall, samtidigt fatta beslut om den registrerades yrkanden om ersättning för ekonomisk och ideell skada.”
III. Bakgrunden till det nationella målet och tolkningsfrågorna
17. Efter det att BE, den 26 april 2019, deltagit i stämman för det aktiebolag i vilket han var aktieägare, begärde han att bolaget skulle tillhandahålla honom den ljudinspelning som hade gjorts under denna stämma.
18. I egenskap av personuppgiftsansvarig tillhandahöll aktiebolaget BE endast de avsnitt av inspelningen där han hade talat, och inte de delar där andra deltagare hade talat.
19. BE, som önskade få tillgång till de avsnitt som innehöll deltagarnas svar på de frågor han ställt under bolagsstämman den 26 april 2019, ingav ett klagomål till tillsynstillsynsmyndigheten och yrkade dels att den skulle slå fast att aktiebolaget hade handlat rättsstridigt, dels att bolaget skulle åläggas att lämna ut dessa avsnitt till honom. Tillsynstillsynsmyndigheten avslog detta klagomål genom beslut av den 29 november 2019.
20. Till följd av avslaget väckte BE talan mot tillsynstillsynsmyndighetens beslut vid den hänskjutande domstolen med stöd av artikel 78.1 i dataskyddsförordningen, och yrkade i första hand att beslutet skulle ändras och i andra hand att det skulle upphävas.
21. Parallellt med klagomålet till tillsynsmyndigheten väckte BE talan vid allmän domstol mot den personuppgiftsansvarige med stöd av artikel 79.1 dataskyddsförordningen.
22. Trots att målet fortfarande var anhängigt vid den hänskjutande domstolen biföll Fövárosi Ítélötábla (Regionala appellationsdomstolen för Budapests stad, Ungern) BE:s överklagande med stöd av denna bestämmelse, och slog fast att den personuppgiftsansvarige hade åsidosatt BE:s rätt att få tillgång till sina personuppgifter, genom att inte ha lämnat ut de delar av ljudinspelningen som innehöll svaren på hans frågor, trots att han hade begärt det.(5) Denna dom, som meddelades av en allmän domstol i andra instans, har vunnit laga kraft.
23. Inom ramen för sin talan vid den hänskjutande domstolen har BE yrkat att hänsyn ska tas till den slutsats som denna allmänna domstol kommit till i sin dom.
24. Den hänskjutande domstolen vill få klarhet i huruvida det går att utläsa av unionsrätten hur behörigheten för den tillsynsmyndighet som mottagit ett klagomål enligt artikel 77.1 i dataskyddsförordningen, och för den förvaltningsdomstol som enligt artikel 78.1 i förordningen är behörig att pröva lagenligheten av beslut som fattats av denna myndighet, förhåller sig till behörigheten för den allmänna domstol som enligt artikel 79.1 i förordningen är behörig att pröva en talan som väckts av en person, som anser att sina rättigheter enligt denna förordning har åsidosatts.
25. Den hänskjutande domstolen har nämligen påpekat att en parallell användning av de rättsmedel som föreskrivs i dessa bestämmelser kan leda till motstridiga beslut avseende samma omständigheter.
26. En sådan situation skulle, enligt den hänskjutande domstolen, kunna medföra en risk för rättsosäkerhet. Den hänskjutande domstolen har i detta avseende påpekat att enligt nationell processrättslig lagstiftning är tillsynstillsynsmyndighetens beslut inte bindande för de allmänna domstolarna. Det kan därför inte uteslutas att en allmän domstol meddelar ett avgörande som strider mot tillsynstillsynsmyndighetens beslut rörande samma faktiska omständigheter.
27. Den hänskjutande domstolen har angett att enligt nationella processrättsliga bestämmelser var villkoren för att tillsynsmyndigheten skulle kunna intervenera vid de allmänna domstolarna inte uppfyllda i förevarande fall. Enligt dessa bestämmelser är en allmän domstols dom inte heller bindande för en förvaltningsdomstol inom ramen för den laglighetsprövning av tillsynstillsynsmyndighetens beslut som sistnämnda domstol ska företa i enlighet med artikel 78.1 i dataskyddsförordningen.
28. Eftersom tillsynsmyndigheten och den allmänna domstol som slutligt avgjorde målet har intagit motsatta ståndpunkter vad gäller frågan om huruvida det föreligger en överträdelse av bestämmelserna om skydd av personuppgifter, vill den hänskjutande domstolen få klarhet i huruvida unionsrätten kan ge vägledning beträffande förhållandet mellan rättsmedel som används parallellt. Den hänskjutande domstolen har som jämförelse hänvisat till det regelverk som utvecklats inom konkurrensrätten.(6)
29. Den hänskjutande domstolen har även påpekat att till skillnad från vad som var fallet i det mål som resulterade i domen av den 27 september 2017, Puškár,(7) kräver inte ungersk lagstiftning att tillgängliga administrativa rättsmedel först ska ha uttömts innan en talan får väckas vid domstol.
30. Rätten till ett effektivt rättsmedel och målet att säkerställa en hög skyddsnivå för de rättigheter som följer av dataskyddsförordningen förutsätter emellertid att det säkerställs att förordningen tillämpas på ett enhetligt sätt. För att uppnå detta resultat är det nödvändigt att fastställa vilket av flera parallella rättsmedel som bör ges företräde.
31. Den hänskjutande domstolen anser, liksom tillsynsmyndigheten, att den befogenhet som föreskrivs i artikel 51.1 i dataskyddsförordningen och de uppgifter och befogenheter som föreskrivs i artikel 57.1 a och f och i artikel 58.2 b och c i förordningen innebär att tillsynsmyndigheten i första hand är behörig att utreda och utöva tillsyn över att skyldigheter som föreskrivs i förordningen fullgörs. Följaktligen föreslår den hänskjutande domstolen att EU-domstolen ska bekräfta den tolkning som innebär att om tillsynstillsynsmyndigheten genomför eller har genomfört ett förfarande rörande en och samma överträdelse, ska tillsynsmyndighetens beslut i det ärendet – och avgörandet av den förvaltningsdomstol som kontrollerar lagenligheten av det beslutet – ges företräde när det gäller att avgöra frågan huruvida det föreligger en överträdelse av bestämmelserna i dataskyddsförordningen. Följaktligen ska de slutsatser som de allmänna domstolarna har kommit till med stöd av artikel 79 i dataskyddsförordningen sakna bindande verkan i sådana förfaranden som genomförts i enlighet med artiklarna 77 och 78 i förordningen.
32. Om det däremot slås fast att tillsynsmyndigheten inte är primärt behörig att fastställa huruvida rättigheter som följer av dataskyddsförordningen har åsidosatts, måste den hänskjutande domstolen med hänsyn till rättssäkerhetsprincipen anse sig vara bunden av slutsatserna i den allmänna domstolens lagakraftvunna dom, och den får då inte själv bedöma huruvida innehållet i tillsynsmyndighetens beslut är lagligt när det gäller frågan om det föreligger en överträdelse. Den hänskjutande domstolen anser att detta skulle innebära att den behörighet som föreskrivs i artikel 78 i förordningen berövas sitt innehåll.
33. Mot denna bakgrund beslutade Fővárosi Törvényszék (Överdomstolen för Budapests stad) att vilandeförklara målet och ställa följande frågor till EU-domstolen:
”1. Ska artiklarna 77.1 och 79.1 i [dataskyddsförordningen] tolkas så, att det administrativa förfarande som avses i artikel 77 utgör ett instrument för utövande av offentligrättsliga rättigheter, medan det rättsmedel som avses i artikel 79 utgör ett instrument för utövande av privaträttsliga rättigheter? För det fall att den frågan ska besvaras jakande; betyder det att den tillsynsmyndighet som ska handlägga det administrativa förfarandet är primärt behörig att pröva huruvida en överträdelse är för handen?
2. För det fall att den registrerade – som anser att den personuppgiftsbehandling som berör vederbörande strider mot [dataskyddsförordningen] – samtidigt utövar sin rätt att lämna in ett klagomål enligt artikel 77.1 i förordningen och sin rätt att väcka talan vid domstol enligt artikel 79.1 i samma förordning, vilken av följande två tolkningar ska då anses vara förenlig med artikel 47 i [stadgan]
a) tillsynstillsynsmyndigheten och domstolen är skyldiga att självständigt pröva om det föreligger en överträdelse och kan följaktligen komma fram till olika slutsatser i detta avseende,
b) tillsynstillsynsmyndighetens beslut av huruvida fråga är om en överträdelse ska ges företräde, med hänsyn till den behörighet som föreskrivs i artikel 51.1 i [dataskyddsförordningen] och de befogenheter som föreskrivs i artikel 58.2 b och d i samma förordning?
3. Ska tillsynstillsynsmyndighetens oberoende ställning enligt artiklarna 51.1 och 52.1 i [dataskyddsförordningen] tolkas så, att när denna myndighet handlägger och fattar beslut inom ramen för det administrativa förfarande som avses i artikel 77, är den inte bunden av vad som slagits fast i en lagakraftvunnen dom av den domstol som är behörig enligt artikel 79, vilket innebär att den kan anta ett annat beslut med avseende på en och samma överträdelse?”
34. Skriftliga yttranden har inkommit från BE, tillsynsmyndigheten, den ungerska, den tjeckiska, den italienska och den polska regeringen, samt från Europeiska kommissionen. Muntlig förhandling hölls den 11 maj 2022 i närvaro av tillsynsmyndigheten, den ungerska och den polska regeringen samt kommissionen.
IV. Bedömning
35. Det bör inledningsvis erinras om att det följer av fast rättspraxis att enligt det förfarande för samarbete mellan nationella domstolar och EU-domstolen som införts genom artikel 267 FEUF, ankommer det på EU-domstolen att ge den nationella domstolen ett användbart svar, som gör det möjligt för den domstolen att avgöra det mål som den ska pröva. I detta syfte kan EU-domstolen behöva omformulera de frågor som hänskjutits.(8)
36. Det framgår även av fast rättspraxis att den omständigheten att den hänskjutande domstolen har formulerat en fråga med hänvisning endast till vissa unionsrättsliga bestämmelser inte utgör hinder mot att EU-domstolen tillhandahåller den domstolen alla uppgifter om unionsrättens tolkning som kan vara användbara vid avgörandet av det nationella målet, oberoende av om det har hänvisats därtill i frågorna eller inte. Det ankommer därvid på EU-domstolen att utifrån samtliga uppgifter som den nationella domstolen har lämnat, och i synnerhet utifrån skälen i beslutet om hänskjutande, avgöra vilka delar av unionsrätten som behöver tolkas med hänsyn till saken i målet.(9)
37. Det ska påpekas att den hänskjutande domstolen i förevarande fall har att pröva en talan avseende ett myndighetsbeslut varigenom BE:s klagomål avslagits, vilket motsvarar det rättsmedel som avses i artikel 78.1 i dataskyddsförordningen.
38. För att kunna avgöra målet vill den hänskjutande domstolen att EU-domstolen ska klargöra förhållandet mellan, å ena sidan, klagomål som lämnas in till en tillsynsmyndighet enligt artikel 77.1 i denna förordning och, å andra sidan, de rättsmedel som föreskrivs i artiklarna 78.1 och 79.1 i förordningen.
39. Närmare bestämt vill den hänskjutande domstolen, i det skede de nationella förfarandena befinner sig i, få klarhet i vilket handlingsutrymme den förfogar över för att, med tillämpning av artikel 78.1 i dataskyddsförordningen, pröva lagenligheten av tillsynsmyndighetens beslut, med hänsyn till att en allmän domstol vid vilken talan väckts med stöd av artikel 79.1 i förordningen har kommit fram till ett motsatt resultat jämfört med det som tillsynsmyndigheten kom fram till efter att ha mottagit ett klagomål enligt artikel 77.1 i förordningen.
40. Under dessa omständigheter anser jag att den hänskjutande domstolen ska anses ha ställt sina frågor för att i huvudsak få klarhet i huruvida artikel 78.1 dataskyddsförordningen ska tolkas så, att när en registrerad person använder sig av de rättsmedel som föreskrivs i artiklarna 77.1 och 79.1 i förordningen, är en domstol som ska pröva ett överklagande av en tillsynsmyndighets beslut bunden av det avgörande som meddelats av en domstol vid vilken talan väckts med stöd av sistnämnda bestämmelse, i fråga om huruvida de rättigheter som denna person har enligt förordningen har åsidosatts eller ej.
41. Det framgår av beslutet om hänskjutande att den hänskjutande domstolen anser att svaret på denna fråga förutsätter att det fastställs huruvida denna domstol, när den ska pröva huruvida tillsynstillsynsmyndighetens beslut är lagligt, i de fall där rättsmedel som föreskrivs i artiklarna 77.1 och 79.1 i dataskyddsförordningen har använts parallellt, ska beakta det första rättsmedlets eventuella företräde framför det andra, när det gäller att slå fast huruvida de rättigheter som skyddas av denna förordning har åsidosatts.
42. För att besvara den hänskjutande domstolens frågor bör det erinras om att det följer av fast rättspraxis att vid tolkningen av en unionsbestämmelse ska hänsyn tas till bestämmelsens lydelse samt till systematiken i och syftena med den lagstiftning i vilken den ingår.(10)
43. Vad gäller lydelsen i artiklarna 77–79 i dataskyddsförordningen, ska det påpekas att det framgår av punkt 1 i dessa bestämmelser dels att ett klagomål får lämnas in ”[u]tan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel”, dels att talan mot en tillsynsmyndighets beslut eller mot en personuppgiftsansvarig får väckas ”[u]tan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol”.
44. Det framgår således av dessa bestämmelsers lydelse att de rättsmedel som föreskrivs i dem kan användas parallellt. Unionslagstiftaren har inte heller infört någon regel om hur dessa rättsmedel förhåller sig till varandra i dessa bestämmelser. Enligt min mening går det således inte att av dataskyddsförordningen dra slutsatsen att ett rättsmedel har företräde framför de andra för att slå fast att de rättigheter som skyddas av denna förordning har åsidosatts.
45. Även om det är riktigt att tillsynsmyndigheter, såsom närmare framgår av artikel 51.1 i dataskyddsförordningen, har till uppgift att övervaka tillämpningen av förordningen, bland annat för att skydda fysiska personers grundläggande rättigheter med avseende på behandling av deras personuppgifter, finns det ingen bestämmelse i denna förordning som tyder på att dessa myndigheter ges företräde framför domstolarna för att fastställa att dessa rättigheter har åsidosatts.
46. Således har unionslagstiftaren haft för avsikt att ge de registrerade tillgång till ett omfattande system med rättsmedel, där rätten till domstolsprövning och möjligheten att inleda administrativa prövningsförfaranden utanför domstol existerar parallellt, utan att den ena är subsidiär i förhållande till den andra. Dessa personer kan således söka rättsligt skydd bland annat genom att lämna in ett klagomål till en tillsynsmyndighet och därefter, i förekommande fall, angripa tillsynsmyndighetens beslut vid domstol och/eller genom att direkt väcka talan vid domstol mot en personuppgiftsansvarig eller dennes personuppgiftsbiträde. Även om tillsynstillsynsmyndigheten och den eller de domstolar vid vilken eller vilka talan har väckts kan göra olika rättsliga bedömningar av huruvida de regler som föreskrivs i dataskyddsförordningen har åsidosatts, måste det konstateras att unionslagstiftaren inte har infört några mekanismer för att minska denna risk, eftersom nämnda lagstiftare inte har fastställt hur de rättsmedel som föreskrivs i artiklarna 77–79 i förordningen förhåller sig till varandra.
47. Det framgår av systematiken i förordningen att även om unionslagstiftaren har avsett att föreskriva bestämmelser om förhållandet mellan klagomål som lämnas in till tillsynsmyndigheter i olika medlemsstater och talan som väcks vid domstolar i olika medlemsstater, har unionslagstiftaren inte önskat föreskriva sådana regler för hur rättsmedel ska användas i en och samma medlemsstat.
48. Jag vill i det avseendet påpeka att i kapitel VII i dataskyddsförordningen, med rubriken ”Samarbete och enhetlighet”, fastställs mekanismer för ömsesidigt bistånd mellan tillsynsmyndigheterna i de olika medlemsstaterna, vilka syftar till att säkerställa konsekvensen i de beslut som fattas av dessa myndigheter. I artikel 81 i förordningen, med rubriken ”Vilandeförklaring av förfaranden”, föreskrivs dessutom i punkt 2 att ”[o]m förfaranden som rör samma sakfråga vad gäller behandling av samma personuppgiftsansvarige eller personuppgiftsbiträde pågår i en domstol i en annan medlemsstat får alla andra behöriga domstolar än den där förfarandena först inleddes vilandeförklara förfarandena”. I artikel 81.3 i förordningen föreskrivs dessutom att ”[o]m dessa förfaranden prövas i första instans får varje domstol, utom den vid vilken förfarandena först inleddes, också förklara sig obehörig på begäran av en av parterna, om den domstol vid vilken förfarandena först inleddes är behörig att pröva de berörda förfarandena och dess lagstiftning tillåter förening av dessa”.
49. Jag noterar att en sådan möjlighet att vilandeförklara eller förklara sig obehörig inte ges när ett klagomål lämnas in till en tillsynsmyndighet och talan väcks i en och samma medlemsstat avseende samma behandling av personuppgifter.
50. Av det ovan anförda följer att en nationell domstol, när den med tillämpning av artikel 78.1 i dataskyddsförordningen ska pröva huruvida en tillsynsmyndighets beslut är lagligt, enligt förordningen inte är skyldig att ge företräde åt denna myndighet eller den domstol vid vilken talan väckts med stöd av artikel 79.1 i förordningen, eller att ge företräde åt tillsynsmyndighetens eller domstolens bedömning av huruvida de rättigheter som följer av förordningen har åsidosatts.
51. En omvänd lösning skulle enligt min mening strida mot den rätt till ett effektivt rättsmedel som en person som överklagar ett beslut som antagits av en tillsynsmyndighet ska åtnjuta.
52. Det framgår nämligen av lydelsen i artikel 78.1 i dataskyddsförordningen att denna bestämmelse ger varje fysisk eller juridisk person ”rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet”. Denna bestämmelse återspeglar artikel 58.4 i förordningen, av vilken det följer att utövandet av de befogenheter som tillsynstillsynsmyndigheten tilldelats ska omfattas av skyddsåtgärder, inbegripet effektiva rättsmedel.(11) Såsom EU-domstolen redan har slagit fast, kommer artikel 47 i stadgan, bland annat på området för skydd av personuppgifter, till uttryck i rätten enligt artikel 78.1 i dataskyddsförordningen för varje fysisk eller juridisk person till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet.(12)
53. Såsom anges i skäl 143 i förordningen innebär rätten till ett effektivt rättsmedel att de domstolar vid vilka talan har väckts mot en tillsynsmyndighets beslut med stöd av artikel 78.1 i dataskyddsförordningen ”bör ha fullständig behörighet, vilket bör omfatta behörighet att pröva alla fakta och rättsliga frågor som rör den tvist som anhängiggjorts vid dem”. Detta innebär, enligt min mening, att den nationella domstolen fritt måste kunna bedöma lagligheten av det beslut som är föremål för dess prövning och, för att göra detta, inte får vara bunden av den bedömning som tidigare gjorts av en domstol vid vilken talan har väckts på grundval av artikel 79.1 i dataskyddsförordningen beträffande huruvida det föreligger en överträdelse av bestämmelserna i denna förordning.
54. Den domstol vid vilken talan har väckts på grundval av artikel 78.1 i dataskyddsförordningen, för att kontrollera lagenligheten av tillsynsmyndighetens beslut, måste visserligen ha ett obegränsat utrymme för skönsmässig bedömning vid fastställandet av huruvida det föreligger en överträdelse av bestämmelserna i förordningen, men detta följer enligt min mening inte av att tillsynstillsynsmyndigheten och därefter, i förekommande fall, denna domstol påstås vara primärt behöriga att göra ett sådant fastställande, utan snarare av rätten till ett effektivt rättsmedel som stadfästs i artikel 47 i stadgan, som innebär att denna domstol fritt och självständigt måste kunna göra en laglighetsprövning av tillsynstillsynsmyndighetens beslut.
55. Vad gäller de mål som eftersträvas med dataskyddsförordningen vill jag påpeka att unionslagstiftarens val att ge de registrerade personerna en möjlighet att parallellt utnyttja de rättsmedel som föreskrivs i artiklarna 77–79 i förordningen ligger i linje med förordningens syfte att säkerställa en hög skyddsnivå för de rättigheter som följer av denna förordning.
56. Såsom följer av artikel 1.2 i dataskyddsförordningen, jämförd med dess skäl 10, 11 och 13, ger denna förordning unionens institutioner, organ och byråer samt medlemsstaternas behöriga myndigheter i uppgift att säkerställa en hög skyddsnivå för de rättigheter som garanteras i artikel 16 FEUF och artikel 8 i stadgan.(13)
57. Såsom förevarande mål illustrerar ska det emellertid preciseras att den möjlighet som dataskyddsförordningen ger att inleda parallella förfaranden avseende en och samma personuppgiftsbehandling kan ha en nackdel, nämligen den rättsosäkerhet som uppkomsten av motstridiga beslut inom en och samma medlemsstat kan ge upphov till. Såsom jag har påpekat ovan har unionslagstiftaren i denna förordning förvisso beaktat risken för motstridiga beslut mellan tillsynsmyndigheter eller domstolar i olika medlemsstater, men så är inte fallet vad gäller sådana beslut som antas i en och samma medlemsstat.
58. Under dessa omständigheter ankommer det på varje medlemsstat att införa processuella verktyg för att i möjligaste mån undvika att motstridiga beslut antas avseende samma personuppgiftsbehandling.
59. Härvidlag erinrar jag om att i avsaknad av unionsrättsliga bestämmelser på området ankommer det, i enlighet principen om processuell autonomi, på varje medlemsstat att i sin nationella rättsordning fastställa processuella regler för de rättsmedel som föreskrivs i artiklarna 77–79 i dataskyddsförordningen, förutsatt att dessa regler, i situationer som omfattas av unionsrätten, inte är mindre förmånliga än i liknande situationer som regleras av nationell rätt (likvärdighetsprincipen) och att de inte medför att det i praktiken blir omöjligt eller orimligt svårt att utöva rättigheter som följer av unionsrätten (effektivitetsprincipen).(14)
60. I detta sammanhang och enligt fast rättspraxis ankommer det på medlemsstaternas domstolar att, enligt principen om lojalt samarbete i artikel 4.3 FEU, säkerställa domstolsskyddet för de rättigheter som enskilda har enligt unionsrätten. Enligt artikel 19.1 FEU ska medlemsstaterna dessutom tillhandahålla sådana möjligheter till överklagande som behövs för att säkerställa ett effektivt domstolsskydd inom de områden som omfattas av unionsrätten.(15)
61. Härav följer att när medlemsstaterna antar processuella regler som ska gälla för de rättsmedel som syftar till att säkerställa skyddet av de rättigheter som följer av dataskyddsförordningen, måste de säkerställa att rätten till ett effektivt rättsmedel och till en opartisk domstol iakttas i enlighet med artikel 47 i stadgan, i vilken principen om ett effektivt domstolsskydd bekräftas.(16)
62. Särdragen hos de rättsmedel som föreskrivs i denna förordning ska således fastställas i enlighet med artikel 47 i stadgan.
63. Ett effektivt domstolsskydd består emellertid, enligt min mening, inte enbart i att de registrerade ges tillgång till de rättsmedel som behövs för att skydda de rättigheter som de har enligt dataskyddsförordningen. Om flera rättsmedel kan användas parallellt är det även nödvändigt att garantera rättssäkerheten för det domstolsskydd som erhålls. Eftersom motstridiga avgöranden om huruvida bestämmelserna i förordningen har åsidosatts inte kan säkerställa ett effektivt domstolsskydd för de registrerade, bör medlemsstaterna vidta de åtgärder som krävs för att undvika sådana motstridiga avgöranden.
64. Om medlemsstaterna inte inför några processuella mekanismer för att bestämma förhållandena mellan de olika rättsmedlen, kan de mål som eftersträvas med dataskyddsförordningen, bestående i att säkerställa ett effektivt domstolsskydd för de registrerade och en hög och enhetlig skyddsnivå för de rättigheter som följer av denna förordning, inte uppnås fullt ut.
65. Härvidlag framgår det av skäl 10 i dataskyddsförordningen att den bland annat syftar till att säkerställa en konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter i hela unionen och att undanröja hindren för flödena av personuppgifter inom unionen.(17)
66. Kravet på en konsekvent och enhetlig tillämpning av bestämmelserna i dataskyddsförordningen skulle kunna äventyras om skillnaderna i skyddsnivåer mellan medlemsstaterna, som förordningen syftar till att undanröja, kunde kvarstå inom en och samma medlemsstat. Kravet ska således bedömas inte bara på mellanstatlig nivå, utan även med avseende på de beslut som fattas i varje medlemsstat.
67. Varje medlemsstat ska följaktligen se till att förekomsten av rättsmedel som de registrerade kan använda parallellt inte äventyrar effektiviteten i skyddet av de rättigheter som de tillerkänns genom dataskyddsförordningen. Det ankommer på medlemsstaterna att välja de processuella mekanismer som de anser bäst lämpade för att bestämma förhållandena mellan de rättsmedel som föreskrivs i artiklarna 77–79 i förordningen.
68. Som exempel kan nämnas att medlemsstaterna kan föreskriva att de registrerade är skyldiga att uttömma de administrativa prövningsförfarandena innan de inleder ett domstolsförfarande.(18)
69. Medlemsstaterna kan även föreskriva att när ett klagomålsförfarande enligt artikel 77.1 i förordningen eller en domstolsprövning enligt artikel 78.1 i förordningen fortfarande pågår har den domstol där talan har väckts enligt artikel 79.1 i dataskyddsförordningen en möjlighet eller skyldighet att vilandeförklara målet den fram till dess att ett beslut har fattats i det ena eller det andra av dessa förfaranden.
70. Jag noterar att EU-domstolen tidigare har slagit fast att tillgång till domstolsprövning inte är en absolut rättighet och att denna rättighet kan bli föremål för proportionerliga inskränkningar som eftersträvar ett legitimt syfte och inte undergräver rättigheten i sig.(19) Att vilandeförklara ett mål kan därvid utgöra en lösning för att förhindra att motstridiga beslut antas i strid med rättssäkerhetsprincipen.(20)
V. Förslag till avgörande
71. Mot bakgrund av det ovan anförda föreslår jag att EU-domstolen besvarar de tolkningsfrågor som ställts av Fővárosi Törvényszék (Överdomstolen för Budapests stad, Ungern) på följande sätt:
1. Artikel 78.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), jämförd med artikel 47 i Europeiska unionens stadga om de grundläggande rättigheterna,
ska tolkas så,
att när en registrerad person utnyttjar de rättsmedel som föreskrivs i artiklarna 77.1 och 79.1 i förordningen är en domstol som ska pröva ett överklagande av en tillsynsmyndighets beslut inte bunden av ett avgörande som meddelats av en domstol där talan har väckts med stöd av sistnämnda bestämmelse, i fråga om huruvida de rättigheter som denna person har enligt förordningen har åsidosatts eller ej.
2. Artiklarna 77.1 och 79.1 i förordning 2016/679
ska tolkas så,
att de rättsmedel som föreskrivs i dessa bestämmelser kan användas parallellt, utan att det ena ska ges företräde framför det andra enligt denna förordning.
3. I avsaknad av unionsbestämmelser om förhållandet mellan de rättsmedel som föreskrivs i artiklarna 77–79 i förordning 2016/679, ankommer det på medlemsstaterna, i enlighet med principen om processuell autonomi och med beaktande av såväl målet att säkerställa en hög och enhetlig skyddsnivå för de rättigheter som följer av denna förordning som rätten till ett effektivt rättsmedel enligt artikel 47 i stadgan om de grundläggande rättigheterna, att på nationell nivå införa de mekanismer som krävs för att klargöra förhållandet mellan dessa rättsmedel, för att undvika att motstridiga beslut avseende samma behandling av personuppgifter fattas i en och samma medlemsstat.