CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2020:1054

FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

M. SZPUNAR

fremsat den 17. december 2020(1)

Sag C-439/19

procesdeltager:

Latvijas Republikas Saeima

(anmodning om præjudiciel afgørelse indgivet af Satversmes tiesa (forfatningsdomstolen, Letland))

»Præjudiciel forelæggelse – forordning (EU) 2016/679 – behandling af personoplysninger – oplysninger om strafpoint for færdselslovsovertrædelser – begrebet behandling af personoplysninger vedrørende straffedomme og lovovertrædelser – nationale regler om sådanne oplysningers videregivelse, og i henhold til hvilke de kan videreanvendes«

I. Indledning

1. I 1946 fremsatte George Orwell følgende kommentar til den kampagne »Keep Death off the Roads« [hold døden væk fra vejene], som en af Den Europæiske Unions tidligere medlemsstater førte på daværende tidspunkt: »If you really want to keep death off the roads, you would have to replan the whole road system in such a way as to make collisions impossible. Think out what this means (it would involve, for example, pulling down and rebuilding the whole of London), and you can see that it is quite beyond the power of any nation at this moment. Short of that you can only take palliative measures, which ultimately boil down to making people more careful« (2).

2. Kernen i den sag, der verserer for Satversmes tiesa (forfatningsdomstol, Letland), som har henvendt sig til Domstolen med denne anmodning om præjudiciel afgørelse, er de »afhjælpende foranstaltninger«, der er henvist til ovenfor: For at fremme trafiksikkerheden ved at gøre bilister mere opmærksomme og forsigtige pålægges de bilister, der begår færdselsforseelser, strafpoint. Denne oplysning formidles derefter og overføres med henblik på videreanvendelse. Den forelæggende ret, som skal behandle et forfatningsretligt søgsmål, der verserer for den, skal afgøre, om den pågældende nationale lovgivning er i overensstemmelse med forordning (EU) 2016/679 (3) (herefter »GDPR-forordningen«).

3. Dette gør den foreliggende sag til en næsten klassisk databeskyttelsessag i den forstand, at den hovedsagelig foregår i en offline-verden, og at den angår et vertikalt forhold mellem en stat og en borger, hvorved den uden problemer kan placeres blandt en række sager, som er tilgået Domstolen efter den skelsættende Stauder-dom (4), formentlig den første sag om databeskyttelse au sens large (5).

4. Ved bedømmelsen af, hvor langt en medlemsstat kan gribe ind i en borgers personlige rettigheder med henblik på at forfølge et formål om at fremme trafiksikkerheden, vil jeg foreslå Domstolen, at foranstaltninger, som den pågældende lettiske lovgivning, ikke står i rimeligt forhold til det formål, som de tilsigter at opfylde.

5. Inden jeg når til det forhold, rejser denne sag imidlertid en lang række grundlæggende og komplicerede spørgsmål, der tager os gennem GDPR-forordningen i en halsbrækkende fart. Spænd sikkerhedsbælterne. Det kan måske spare Dem for et strafpoint i ny og næ.

II. Relevante retsforskrifter

A. EU-ret

1. GDPR-forordningen

6. GDPR-forordningens kapitel I, der har overskriften »Generelle bestemmelser«, indeholder artikel 1-4, som opstiller bestemmelser om genstand og formål, materielt anvendelsesområde og territorielt anvendelsesområde samt definitioner.

7. GDPR-forordningens artikel 1, der har overskriften »Genstand og formål«, har følgende ordlyd:

»1. I denne forordning fastsættes regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger.

2. Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.

3. Den frie udveksling af personoplysninger i Unionen må hverken indskrænkes eller forbydes af grunde, der vedrører beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.«

8. GDPR-forordningens artikel 2, der har overskriften »Materielt anvendelsesområde«, bestemmer:

»1. Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

2. Denne forordning gælder ikke for behandling af personoplysninger:

a) under udøvelse af aktiviteter, der falder uden for EU-retten

b) som foretages af medlemsstaterne, når de udfører aktiviteter, der falder inden for rammerne af afsnit V, kapitel 2, i TEU

c) som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter

d) som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed.

[…]«

9. GDPR-forordningens kapitel II, som indeholder artikel 5-11, opstiller principperne for reguleringen: Principper vedrørende behandling af personoplysninger, lovlig behandling, betingelser for samtykke, herunder et barns samtykke i forbindelse med informationssamfundstjenester, behandling af særlige kategorier af personoplysninger og behandling af personoplysninger vedrørende straffedomme og lovovertrædelser samt behandling, som ikke kræver identifikation.

10. GDPR-forordningens artikel 5 med overskriften »Principper for behandling af personoplysninger« fastsætter:

»1. Personoplysninger skal:

a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)

b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)

c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)

d) være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)

e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«)

f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

2. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

11. GDPR-forordningens artikel 10 med overskriften »Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser« bestemmer:

»Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger på grundlag af artikel 6, stk. 1, må kun foretages under kontrol af en offentlig myndighed, eller hvis behandling har hjemmel i EU-retten eller medlemsstaternes nationale ret, som giver passende garantier for registreredes rettigheder og frihedsrettigheder. Ethvert omfattende register over straffedomme må kun føres under kontrol af en offentlig myndighed.«

2. Direktiv 2003/98/EF

12. Artikel 1 i direktiv 2003/98/EF (6), der har overskriften »Genstand og anvendelsesområde«, har følgende ordlyd:

»1. Dette direktiv fastlægger et minimum af regler for videreanvendelse og midler til i praksis at fremme videreanvendelse af eksisterende dokumenter, som medlemsstaternes offentlige myndigheder er i besiddelse af.

2. Direktivet gælder ikke for:

a) dokumenter, hvis tilvejebringelse ikke er omfattet af de pågældende offentlige myndigheders offentlige opgaver som fastsat ved lov eller andre retsforskrifter i medlemsstaten eller i mangel heraf, som fastlagt i overensstemmelse med almindelig administrativ praksis i den pågældende medlemsstat, forudsat at de offentlige opgavers rækkevidde er gennemsigtig og underlagt kontrol

b) dokumenter, hvortil tredjemand besidder den intellektuelle ejendomsret

c) dokumenter, som er udelukket fra aktindsigt i henhold til medlemsstaternes regler herom, bl.a. af følgende grunde:

– beskyttelse af den nationale sikkerhed (dvs. statens sikkerhed), forsvaret eller den offentlige sikkerhed

– statistisk fortrolighed

– kommerciel fortrolighed (f.eks. forretnings-, erhvervs- og virksomhedshemmeligheder)

ca) dokumenter, hvortil adgang er begrænset i henhold til medlemsstaternes aktindsigtsordninger, herunder tilfælde, hvor borgere eller virksomheder skal dokumentere en særlig interesse for at få aktindsigt i dokumenterne

cb) dele af dokumenter, der kun indeholder logoer, emblemer og insignier

cc) dokumenter, hvortil adgang er udelukket eller begrænset i henhold til aktindsigtordningerne, under henvisning til beskyttelse af personoplysninger, og dele af dokumenter, der i henhold til disse ordninger er adgang til, som indeholder personoplysninger, hvis videreanvendelse ifølge lovgivningen er uforenelig med lovgivningen om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger

d) dokumenter, som public service-radio- og ‑TV-selskaber, deres datterselskaber og andre organer eller deres underorganer er i besiddelse af i forbindelse med opfyldelse af public service-radio- og ‑TV-spredningsopgaver

e) dokumenter, som uddannelses- og forskningsinstitutioner er i besiddelse af, herunder organisationer, der som opgave har overførsel af forskningsresultater, skoler og universiteter undtagen universitetsbiblioteker, og

f) dokumenter, som kulturinstitutioner bortset fra biblioteker, museer og arkiver, er i besiddelse af.

3. Dette direktiv er baseret på og berører ikke de eksisterende aktindsigtsordninger i medlemsstaterne.

4. Dette direktiv opretholder og griber på ingen måde ind i beskyttelsesniveauet for fysiske personer med hensyn til behandling af personoplysninger i henhold til EU-lovgivningen og national lovgivning, og det ændrer navnlig ikke de forpligtelser og rettigheder, der er fastsat i direktiv 95/46/EF^[ (7)^].

5. Forpligtelserne i dette direktiv gælder kun i det omfang, disse er forenelige med bestemmelserne i de internationale aftaler om beskyttelse af intellektuel ejendomsret, især Bernerkonventionen^[ (8)^] og TRIPS-aftalen^[ (9)^]«.

13. Artikel 2 i direktiv 2003/98 med overskriften »Definitioner« har følgende ordlyd:

»I dette direktiv forstås ved:

1) »offentlig myndighed«: staten, regionale eller lokale myndigheder, offentligretlige organer og sammenslutninger af en eller flere af sådanne myndigheder eller offentligretlige organer

2) »offentligretligt organ«: ethvert organ:

a) der er oprettet specielt med henblik på at imødekomme almenhedens behov, dog ikke på det erhvervs- eller forretningsmæssige område

b) som er en juridisk person, og

c) hvis drift hovedsagelig er finansieret af staten, de regionale eller lokale myndigheder eller andre offentligretlige organer, eller hvis drift er underlagt disses kontrol, eller hvortil staten, de regionale eller lokale myndigheder eller andre offentligretlige organer kan udpege mere end halvdelen af medlemmerne i organets administrative ledelse, bestyrelse eller tilsynsorgan

3) »dokument«:

a) ethvert indhold uanset medium (skrevet på papir eller opbevaret elektronisk, lyd-, billed- eller audiovisuelle optagelser)

b) enhver del af et sådant indhold

4) »videreanvendelse«: fysiske eller juridiske personers brug af offentlige myndigheders dokumenter til andre kommercielle eller ikke-kommercielle formål end det oprindelige formål i forbindelse med den offentlige opgave, som dokumenterne blev udarbejdet til. Udveksling af dokumenter mellem offentlige myndigheder alene som led i varetagelse af deres offentlige opgaver betragtes ikke som videreanvendelse

5) »personoplysninger«: oplysninger som defineret i artikel 2, litra a), i direktiv 95/46/EF.

6) »maskinlæsbart format«: et filformat, som er struktureret på en sådan måde, at softwareapplikationer nemt kan identificere, genkende og uddrage specifikke data af interesse, herunder individuelle oplysninger og deres interne struktur

7) »åbent format«: et filformat, der er uafhængigt af platform, og som gøres tilgængeligt for offentligheden uden restriktioner, der hæmmer videreanvendelse af dokumenter

8) »formel åben standard«: en standard, der er blevet fastlagt i skriftlig form, og som indeholder detaljerede specifikationer for kravene til, hvordan der sikres interoperabel software

9) »universitet«: en offentlig myndighed, som tilbyder en videregående uddannelse, der fører til akademiske grader.«

14. Artikel 3 i direktiv 2003/98 med overskriften »Generelt princip« har følgende ordlyd:

»1. Medlemsstaterne sikrer, at dokumenter, som dette direktiv finder anvendelse på i henhold til artikel 1, kan videreanvendes til kommercielle eller ikke-kommercielle formål i henhold til betingelserne i kapitel III og IV, jf. dog stk. 2.

2. For dokumenter, som biblioteker, herunder universitetsbiblioteker, museer og arkiver har intellektuelle ejendomsrettigheder til, sikrer medlemsstaterne, når videreanvendelse af sådanne dokumenter er tilladt, at disse dokumenter videreanvendes til kommercielle eller ikke-kommercielle formål i henhold til betingelserne i kapitel III og IV.«

B. Lettisk ret

15. Artikel 14¹, stk. 2, i Ceļu satiksmes likums (færdselsloven, herefter »færdselsloven«) (10) har følgende ordlyd:

»Oplysninger om et motorkøretøj, der ejes af en juridisk person, […] en persons ret til at føre et motorkøretøj, bøder, der pålægges en person for færdselsforseelser, og ikke er betalt inden for de lovbestemte frister, og andre oplysninger i det nationale register over motorkøretøjer og førere samt i informationssystemet for trækmidler og førere, skal betragtes som oplysninger, der er tilgængelige for offentligheden.«

III. De faktiske omstændigheder, retsforhandlingerne og de præjudicielle spørgsmål

16. B, som er sagsøgeren i den for den forelæggende ret verserende sag, er en fysisk person, der blev pålagt strafpoint i henhold til færdselsloven og et tilknyttet dekret (11). Ceļu satiksmes drošības direkcija (direktoratet for færdselssikkerhed, Letland, herefter »CSDD«) er et offentligt organ, som indførte disse strafpoint i det nationale register over motorkøretøjer.

17. Eftersom oplysninger om strafpoint kan videregives efter anmodning og ifølge B blev videregivet med henblik på videreanvendelse til flere selskaber, anlagde B et forfatningsretligt søgsmål ved den forelæggende ret, hvor B gjorde gældende, at færdselslovens artikel 14¹, stk. 2, ikke er i overensstemmelse med privatlivets fred som fastsat i artikel 96 i Latvijas Republikas Satversme (den lettiske forfatning).

18. Eftersom færdselslovens artikel 14¹, stk. 2, er vedtaget af Latvijas Republikas Saeima (det lettiske parlament, herefter »Saeima«), deltog denne institution i sagen. CSDD, som behandler de omtvistede oplysninger, blev også hørt. Herudover blev Datu valsts inspekcija (databeskyttelsesmyndigheden, Letland) – som i Letland er tilsynsmyndigheden som omhandlet i GDPR-forordningens artikel 51 – og flere andre myndigheder og personer opfordret til at give deres mening til kende som amici curiae til den forelæggende ret.

19. Saeima har anerkendt, at i henhold til den omtvistede bestemmelse kan enhver person få adgang til oplysninger om en anden persons strafpoint, enten ved at anmode CSDD herom direkte eller ved at anvende tjenesteydelser fra kommercielle videreanvendelsesvirksomheder.

20. Når dette er sagt, er Saeima af den opfattelse, at bestemmelsen er lovlig, da den er begrundet i formålet om at forbedre trafiksikkerheden, hvilket kræver, at personer, der overtræder færdselsloven, åbent identificeres, og at bilister kraftigt afskrækkes fra at begå lovovertrædelser.

21. Herudover bør retten til aktindsigt i henhold til artikel 100 i den lettiske forfatning overholdes. Under alle omstændigheder sker behandlingen af oplysninger om strafpoint under den offentlige myndigheds kontrol og i overensstemmelse med passende garantier for de registrerede personers rettigheder og frihedsrettigheder.

22. Saeima har videre forklaret, at formidling af oplysningerne i det nationale register over motorkøretøjer i praksis er underlagt den betingelse, at den person, der anmoder om oplysninger, angiver det nationale identifikationsnummer på den bilist, hvorom vedkommende ønsker oplysninger. Denne betingelse for at få oplysninger forklares med, at et nationalt identifikationsnummer, i modsætning til en persons navn, er en entydig identifikator.

23. CSDD forklarede den forelæggende ret om strafpointsystemets funktion og bekræftede, at den nationale lovgivning ikke indeholder begrænsninger af aktindsigten i og videreanvendelsen af oplysninger om strafpoint.

24. CSDD gav også detaljer om de aftaler, der er indgået med kommercielle videreanvendelsesvirksomheder. Organet understregede, at disse aftaler ikke fastsætter nogen overdragelse af oplysninger, og at videreanvendelsesvirksomhederne sikrer, at de oplysninger, der overføres til kunderne, ikke går videre end det, der kan indhentes fra CSDD. Herudover foreskriver en af aftalebestemmelserne, at den, der erhverver oplysninger, skal anvende dem på den måde, der er fastsat i de gældende regler og i overensstemmelse med de i aftalen anførte formål.

25. Databeskyttelsesmyndigheden udtrykte tvivl om, hvorvidt den pågældende bestemmelse er i overensstemmelse med artikel 96 i den lettiske forfatning. Myndigheden udelukkede ikke, at behandlingen af de omtvistede oplysninger kan være upassende eller ikke-forholdsmæssig.

26. Denne myndighed giver ligeledes udtryk for, at selv om statistikkerne om færdselsuheld i Letland viser et fald i antallet af uheld, er der ingen beviser for, at strafpointsystemet og offentligt tilgængelige oplysninger herom har bidraget til denne gunstige udvikling.

27. Satversmes tiesa (forfatningsdomstol) har for det første anført, at de for retten verserende retsforhandlinger ikke vedrører færdselslovens artikel 14¹, stk. 2, i sin helhed, men kun for så vidt som denne bestemmelse gør oplysningerne om strafpoint, der er registreret i det nationale register over motorkøretøjer, offentligt tilgængelige.

28. Den forelæggende ret er videre af den opfattelse, at strafpoint er personoplysninger og derfor skal behandles i overensstemmelse med retten til respekt for privatlivet. Den har understreget, at der ved vurderingen af anvendelsesområdet for artikel 96 i den lettiske forfatning skal tages hensyn til GDPR-forordningen samt artikel 16 TEUF og artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«).

29. Hvad angår færdselslovens formål har den forelæggende ret anført, at det er med det formål at påvirke bilisters adfærd og dermed minimere risiciene for personers liv, helbred og ejendom, at bilisters lovovertrædelser, der klassificeres som administrative forseelser i Letland, indføres i det nationale register over straffedomme, og at strafpointene indføres i det nationale register over motorkøretøjer.

30. Det nationale register over straffedomme udgør et enkelt register over straffedomme for personer, der har begået lovovertrædelser (uanset om de er straffelovovertrædelser eller administrative forseelser) med det formål bl.a. at lette prøvelsen af de straffe, der pålægges. Det nationale register over motorkøretøjer gør det derimod muligt at have styr på færdselslovsovertrædelser og at gennemføre foranstaltninger afhængig af de begåede lovovertrædelsers antal. Strafpointsystemet har til formål at forbedre trafiksikkerheden ved at adskille de bilister, som systematisk og i ond tro ignorerer færdselsreglerne, fra de bilister, som en gang imellem begår lovovertrædelser, og ved at påvirke trafikanters adfærd præventivt.

31. Den forelæggende ret har anført, at færdselslovens artikel 14¹, stk. 2, giver enhver person ret til at anmode CSDD om og få oplysningerne i det nationale register over motorkøretøjer om strafpoint, som bilister er blevet pålagt. I praksis videregives oplysninger om strafpoint til den person, der har anmodet herom, så snart vedkommende angiver den pågældende bilists nationale identifikationsnummer.

32. Satversmes tiesa (forfatningsdomstol) har efterfølgende afklaret, at strafpoint på grund af deres klassifikation som offentligt tilgængelige oplysninger er omfattet af anvendelsesområdet for loven om videregivelse af oplysninger og derfor kan videreanvendes til andre kommercielle og ikke-kommercielle formål end det oprindelige formål, hvortil oplysningerne oprindeligt blev udarbejdet.

33. For at kunne fortolke og anvende artikel 96 i den lettiske forfatning i overensstemmelse med EU-retten ønsker den forelæggende ret for det første oplyst, om strafpoint som dem, der pålægges i henhold til den lettiske lovgivning, er omfattet af anvendelsesområdet for GDPR-forordningens artikel 10. Den forelæggende ret ønsker navnlig afklaret, om færdselslovens artikel 14¹, stk. 2, tilsidesætter kravene i GDPR-forordningens artikel 10, hvorefter behandling af de personoplysninger, der er henvist til i bestemmelsen, kun kan finde sted »under kontrol af en offentlig myndighed« eller i henhold til »passende garantier for registreredes rettigheder og frihedsrettigheder«.

34. Den forelæggende ret har anført, at artikel 8, stk. 5, i direktiv 95/46 overlod det til den enkelte medlemsstat at vurdere, om særreglerne om oplysninger vedrørende lovovertrædelser og straffedomme kunne udstrækkes til oplysninger om administrative forseelser og sanktioner. Bestemmelsen blev gennemført i Letland ved artikel 12 i Fizisko personu datu aizsardzības likums (lov om beskyttelse af personoplysninger), hvorefter personoplysninger om administrative forseelser ligesom oplysninger om straffelovsovertrædelser og straffedomme kun kan behandles af de ved lov fastsatte personer under de ved lov fastsatte omstændigheder.

35. Det følger heraf, at der i mere end et årti har været anvendt tilsvarende krav til behandling af personoplysninger vedrørende straffelovovertrædelser og straffedomme og af personoplysninger vedrørende administrative forseelser.

36. Den forelæggende ret har ligeledes anført, at anvendelsesområdet for GDPR-forordningens artikel 10 i overensstemmelse med fjerde betragtning hertil skal vurderes under hensyntagen til grundlæggende rettigheders funktion i samfundet. I denne henseende er den forelæggende ret af den opfattelse, at formålet med at sikre, at en persons privatliv og arbejdsliv ikke påvirkes unødigt af en tidligere dom, kan finde anvendelse på både straffedomme og på administrative forseelser.

37. Satversmes tiesa (forfatningsdomstol) ønsker for det andet anvendelsesområdet for GDPR-forordningens artikel 5 afklaret. Den forelæggende ret har navnlig overvejet, om den lettiske lovgiver i lyset af 39. betragtning til forordningen har overholdt forpligtelsen i GDPR-forordningens artikel 5, stk. 1, litra f), til at sikre, at personoplysninger behandles med »integritet og fortrolighed«. Den har anført, at færdselslovens artikel 14¹, stk. 2, som giver mulighed for aktindsigt i oplysninger om strafpoint, og som gør det muligt at fastslå, om en person er blevet dømt for en færdselslovovertrædelse, ikke er blevet ledsaget af særlige foranstaltninger til sikring af sådanne oplysningers sikkerhed.

38. Den forelæggende ret ønsker for det tredje oplyst, om direktiv 2003/98 er relevant for vurderingen af, om færdselslovens artikel 14¹, stk. 2, er forenelig med artikel 96 i den lettiske forfatning. Den har påpeget, at i henhold til direktivet kan videreanvendelse af personoplysninger kun tillades, hvis retten til privatliv respekteres.

39. For det fjerde har den forelæggende ret i lyset af Domstolens praksis, hvorefter fortolkningen af EU-retten i præjudicielle afgørelser har virkning erga omnes og ex tunc, overvejet, om den, hvis færdselslovens artikel 14¹, stk. 2, måtte anses for uforenelig med artikel 96 i den lettiske forfatning, forstået i lyset af Domstolens fortolkning af EU-retten, ikke alligevel kan fastslå, at retsvirkningerne af artikel 14¹, stk. 2, opretholdes, indtil datoen for afsigelsen af den dom, hvor den fastslår, at artiklen er forfatningsstridig, med henvisning til, at denne dom vil indvirke på et stort antal retsforhold.

40. Den forelæggende ret har i denne henseende forklaret, at i henhold til lettisk ret skal en retsakt, der fastslås at være forfatningsstridig, anses for ugyldig fra dagen for offentliggørelse af Satversmes tiesas (forfatningsdomstol) dom, medmindre denne bestemmer andet. Den forelæggende ret har ligeledes forklaret sin praksis, der har til formål at sikre en ligevægt mellem retssikkerhedsprincippet og de forskellige berørte personers grundlæggende rettigheder ved fastsættelsen af den dato, hvor den bestemmelse, der er fastslået at være forfatningsstridig, ikke længere vil være i kraft.

41. Det er på denne baggrund, at Satversmes tiesa (forfatningsdomstol) ved afgørelse af 4. juni 2019, indgået til Domstolen den 11. juni 2019, har forelagt de følgende spørgsmål til præjudiciel afgørelse:

»1) Bør begrebet »behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger« i artikel 10 i forordning 2016/679 fortolkes således, at det omfatter behandling af oplysninger om de point, som førere pålægges for færdselsforseelser i henhold til den omtvistede bestemmelse?

2) Uanset svaret på det første spørgsmål kan bestemmelserne i forordning 2016/679, navnlig princippet om »integritet og fortrolighed«, jf. nævnte forordnings artikel 5, stk. 1, litra f), fortolkes som et forbud mod, at medlemsstaterne fastsætter, at oplysninger om de point, der pålægges førere for færdselsforseelser, er tilgængelige for offentligheden, og at de pågældende oplysninger kan behandles ved at videregives?

3) Bør 50. og 154. betragtning til, artikel 5, stk. 1, litra b), og artikel 10 i direktiv 2003/98/EF samt artikel 1, stk. 2, litra cc), i forordning 2016/679 fortolkes således, at de er til hinder for en ordning i en medlemsstat, der tillader videregivelse af oplysninger om de point, der pålægges førere for trafikforseelser, med henblik på videreanvendelse?

4) Såfremt nogen af de ovennævnte spørgsmål besvares bekræftende, skal princippet om EU-rettens forrang og retssikkerhedsprincippet da fortolkes således, at det kan være tilladt at anvende den omtvistede bestemmelse og opretholde dens retsvirkninger, indtil forfatningsdomstolens endelige afgørelse bliver retskraftig?«

42. Den lettiske, den nederlandske, den østrigske og den portugisiske regering samt Europa-Kommissionen har indgivet skriftlige indlæg.

43. På grund af spredningen af SARS-CoV-2-virussen besluttede Domstolen at undlade at afholde retsmødet i denne sag, som ellers var planlagt til den 11. maj 2020. Domstolen besluttede ved foranstaltninger med henblik på sagens tilrettelæggelse og som et ekstraordinært tiltag at erstatte retsmødet med spørgsmål, der skulle besvares skriftligt. Den lettiske og den svenske regering samt Kommissionen besvarede de af Domstolen stillede spørgsmål.

IV. Bedømmelse

44. Denne anmodning om præjudiciel afgørelse rejser en række grundlæggende spørgsmål om GDPR-forordningen. Alle disse spørgsmål forudsætter imidlertid, at GDPR-forordningen finder anvendelse på denne sag (12). Jeg gør opmærksom på dette forhold, da Den Europæiske Union ikke har lovgivet på området for pålæggelse af strafpoint for overtrædelser af færdselsloven.

A. Om det materielle anvendelsesområde for GDPR-forordningen – artikel 2, stk. 2, litra a)

45. I medfør af GDPR-forordningens artikel 2, stk. 2, litra a), gælder forordningen ikke for behandling af personoplysninger under udøvelse af aktiviteter, der falder uden for EU-retten. Det er åbenbart, at selv om GDPR-forordningens artikel 2, stk. 1, positivt formulerer det, der er omfattet af forordningen (13), udelukker forordningens artikel 2, stk. 2, fire former for aktiviteter fra dens anvendelsesområde. Som en undtagelse fra hovedreglen skal GDPR-forordningens artikel 2, stk. 2, fortolkes strengt (14).

46. EU-lovgiver har valgt at anvende en forordning som det retlige instrument for at øge ensartetheden af EU-retten på området for databeskyttelse, navnlig for at skabe lige vilkår for (økonomiske) aktørerne på det indre marked, uanset hvor de måtte have hjemsted (15).

47. Artikel 16 TEUF indeholder ikke kun hjemlen for vedtagelse af retsakter, såsom GDPR-forordningen, men udgør også mere generelt, idet den er en del af første del i afsnit II i EUF-traktaten (16), en horisontal bestemmelse af forfatningsretlig karakter, der skal tages i betragtning ved udøvelsen af enhver EU-kompetence.

48. GDPR-forordningen søger, ligesom forgængeren, direktiv 95/46, at sikre et højt beskyttelsesniveau af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger (17).

49. Ordlyden af GDPR-forordningens artikel 2, stk. 2, litra a), afspejler i det væsentlige ordlyden af artikel 16, stk. 2, TEUF (18), som udgør den primærretlige hjemmel for forordningen. I henhold til artikel 16, stk. 2, TEUF fastsætter EU-lovgiver regler for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger foretaget af medlemsstaterne »under udøvelse af aktiviteter, der er omfattet af EU-retten, og regler for den frie udveksling af personoplysninger« (19). Bestemmelsen er derfor deklaratorisk. Den bedømmelse, som følger, finder derfor både anvendelse på GDPR-forordningens artikel 2, stk. 2, litra a), og på artikel 16, stk. 2, TEUF.

50. Det første, der skal anføres, er, at ordlyden af GDPR-forordningens artikel 2, stk. 2, litra a) (»aktiviteter, der falder uden for EU-retten«) er en anden end ordlyden af chartrets artikel 51, stk. 1 (20), hvorefter »[b]estemmelserne i dette charter er rettet […] til medlemsstaterne, dog kun når de gennemfører EU-retten« (21).

51. Hvis dette ses som en antydning af, at ordlyden af GDPR-forordningens artikel 2, stk. 2, litra a), er bredere end ordlyden af chartrets artikel 51, stk. 1 (22), eftersom Domstolen har fortolket chartrets artikel 51, stk. 1, således, at chartret finder anvendelse, »når en national lovgivning falder ind under EU-rettens anvendelsesområde« (23), er der ingen væsentlig forskel mellem disse to bestemmelsers ordlyd som fortolket af Domstolen (24).

52. Når dette er sagt, er jeg ikke af den opfattelse, at der bør drages analogier til Domstolens praksis om chartrets anvendelsesområde (25). Dette vil være for begrænsende og være i strid med det formål, der forfølges med artikel 16 TEUF og GDPR-forordningen. Chartrets logik er helt anderledes end GDPR-forordningens: Chartret søger at disciplinere EU-institutionernes og medlemsstaternes udøvelse af beføjelser, når de virker inden for EU-rettens anvendelsesområde, og omvendt ydes borgerne et værn, hvorunder de kan gøre deres respektive rettigheder gældende. Beskyttelsen af personoplysninger er derimod mere end en grundlæggende rettighed. Som det fremgår af artikel 16 TEUF (26), udgør databeskyttelse en selvstændig EU-politik. Selve formålet med GDPR-forordningen er at finde anvendelse på enhver form for behandling af personoplysninger, uanset genstanden – og dette i øvrigt, uanset om den foretages af medlemsstater eller af fysiske personer. Hvis ordlyden af GDPR-forordningens artikel 2, stk. 2, litra a), fortolkes strengt, vil det fuldstændigt forpurre dette formål. GDPR-forordningen, som skal være en tiger inden for databeskyttelse, vil vise sig at være en huskat.

53. Den blotte eksistens af en bestemmelse som GDPR-forordningens artikel 10, som vil blive fortolket i detaljer nedenfor i min bedømmelse af den forelæggende rets første spørgsmål, er et eksempel herpå. Hvis GDPR-forordningen omhandler »[b]ehandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger på grundlag af [GDPR-forordningens] artikel 6, stk. 1« (27) på et tidspunkt, hvor straffedomme og lovovertrædelser næsten udelukkende afgøres i henhold til national ret og ikke EU-retten, kan GDPR-forordningen ikke – medmindre forordningens artikel 10 er ugyldig – have den subsidiære funktion, som chartret har.

54. Det samme gælder for eksistensen af GDPR-forordningens artikel 87, som giver medlemsstaterne mulighed for at fastsætte de nærmere specifikke betingelser for behandling af et nationalt identifikationsnummer (28).

55. Endvidere skal der tages hensyn til 16. betragtning til GDPR-forordningen (29), som i den ikke-regelfastsættende, men dog informative del af forordningen, afspejler GDPR-forordningens artikel 2. Her nævnes national sikkerhed som et eksempel på et område, der ikke er omfattet af EU-rettens anvendelsesområde. Det samme gælder for den ligeledes ikke-bindende erklæring om EUF-traktatens artikel 16, hvor det anføres, at »når der på grundlag af artikel 16 [TEUF] skal vedtages regler om beskyttelse af personoplysninger, der kan have direkte indvirkning på den nationale sikkerhed, skal der tages behørigt hensyn til spørgsmålets særlige karakteristika«, og hvor der erindres om, at »navnlig direktiv 95/46/EF […] indeholder specifikke undtagelser i denne henseende« (30).

56. Denne udtrykkelige fokus på national sikkerhed er en klar angivelse af det, som både ophavsmændene til EUF-traktaten (artikel 16 TEUF) og EU-lovgiver [GDPR-forordningens artikel 2, stk. 2, litra a)] havde til hensigt, da de udarbejdede de respektive afsnit.

57. EU-lovgiver har andetsteds præciseret – stadig i forbindelse med databeskyttelse – at den nationale sikkerhed i denne forbindelse skal forstås som »statens sikkerhed« (31).

58. I denne forbindelse bør GDPR-forordningens artikel 2, stk. 1, litra a), ses på baggrund af artikel 4, stk. 2, TEU, som bestemmer, at Den Europæiske Union respekterer »deres centrale statslige funktioner« (32), og specificerer i denne henseende, at »den nationale sikkerhed [forbliver] den enkelte medlemsstats eneansvar«. GDPR-forordningens artikel 2, stk. 2, litra a), gør ikke andet end at gentage dette forfatningsmæssige krav om, hvad der skal sikres, for at en stat kan fungere (33).

59. På grundlag af ovenstående bedømmelse har jeg ingen grund til at tro, at GDPR-forordningens artikel 2, stk. 2, litra a), indfører en test med en høj tærskel, der skal opfyldes for at udløse, at GDPR-forordningen finder anvendelse, eller at dette var EU-lovgivers hensigt.

60. Endelig bekræfter et hurtigt blik på de resterende tre undtagelser til GDPR-forordningens materielle anvendelsesområde, der findes i artikel 2, stk. 2, litra b)-d), denne bedømmelse. GDPR-forordningen finder således ikke anvendelse på behandling af personoplysninger, som foretages af medlemsstaterne, når de udfører aktiviteter, der falder inden for rammerne af Unionens fælles udenrigs- og sikkerhedspolitik (34), som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter (35), og som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed (36).

61. Det er kun logisk, at den fælles udenrigs- og sikkerhedspolitik, som fortsat hovedsagelig er mellemstatslig, er undtaget (37). Fysiske personers rent personlige og familiemæssige aktiviteter er under alle omstændigheder i princippet uden for EU-rettens anvendelsesområde, eftersom de ikke reguleres af den primære eller den afledte ret. Det samme gælder i princippet for forebyggelse, efterforskning, afsløring eller retsforfølgelse af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner. Begrundelsen for denne sidste undtagelse er ikke desto mindre, at Unionen har vedtaget et særdirektiv (38), i øvrigt på samme dato, som GDPR-forordningen blev vedtaget. Herudover fremgår det af GDPR-forordningens artikel 23, stk. 1, litra d), at behandling af personoplysninger, der af privatpersoner foretages med henblik på de samme formål, er omfattet af GDPR-forordningens anvendelsesområde (39).

62. Hvis de sidste to undtagelser skal have nogen regelfastsættende retlig betydning, kan de følgelig ikke anses for at falde uden for EU-retten i den forstand, hvori dette udtryk er anvendt i GDPR-forordningens artikel 2, stk. 2, litra a).

63. Det skal endelig påpeges, at der ikke er nogen mærkbare beviser for, at Domstolen som et princip vil anvende en streng test af anvendelsesområdet for GDPR-forordningen eller direktiv 95/46 i henhold til henholdsvis GDPR-forordningens artikel 2 eller artikel 3 i direktiv 95/46 (40). Domstolen har derimod en tendens til at fremhæve, at »[a]nvendelsen af direktiv 95/46 [ikke afhænger] af, om de konkrete situationer, der er omhandlet i hovedsagerne, har en tilstrækkelig tilknytning til udøvelsen af de grundlæggende friheder, der er garanteret i traktaten« (41).

64. For at konkludere på denne indledende del af bedømmelsen finder GDPR-forordningen i henhold til en korrekt fortolkning af GDPR-forordningens artikel 2, stk. 2, litra a), anvendelse på behandling af personoplysninger i eller af en medlemsstat, medmindre behandlingen gennemføres på et område, hvor Den Europæiske Union ikke har kompetence.

65. GDPR-forordningen finder som følge heraf anvendelse i det omtvistede tilfælde, og den forelæggende ret skal tage forordningen i betragtning ved undersøgelsen af den nationale lovgivnings gyldighed.

B. Om GDPR-forordningens artikel 86

66. For fuldstændighedens skyld vil jeg kort tage stilling til bestemmelserne i GDPR-forordningens artikel 86 i forhold til den foreliggende sag.

67. I medfør af denne artikel må personoplysninger i officielle dokumenter, som en offentlig myndighed eller et offentligt eller privat organ er i besiddelse af med henblik på udførelse af en opgave i samfundets interesse, videregives af myndigheden eller organet i overensstemmelse med EU-retten eller medlemsstaternes nationale ret, som den offentlige myndighed eller organet er underlagt, for at forene aktindsigt i officielle dokumenter med retten til beskyttelse af personoplysninger i henhold til GDPR-forordningen.

68. Denne bestemmelse anerkender blot vigtigheden af retten til aktindsigt i officielle dokumenter. Endvidere, og som Kommissionen med rette har henvist til, giver denne bestemmelse ingen yderligere vejledning om, hvordan aktindsigten i officielle dokumenter bør forenes med reglerne om databeskyttelse (42). Bestemmelsen er ganske deklaratorisk efter sin art, hvilket er nærmere beslægtet med en betragtning end en regelfastsættende bestemmelse i en retsakt (43). Som følge heraf vil jeg gøre gældende, at den »fortællende karakter« af GDPR-forordningens artikel 86 ikke har nogen indvirkning på nedenstående bedømmelse.

C. Det første spørgsmål: strafpoint i henhold til GDPR-forordningens artikel 10

69. Den forelæggende ret ønsker med det første spørgsmål afklaret, om GDPR-forordningens artikel 10 skal fortolkes således, at den omfatter situationer med behandling af oplysninger om strafpoint, som pålægges bilister for færdselsforseelser som fastsat i national ret.

70. I medfør af denne bestemmelse må behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger på grundlag af GDPR-forordningens artikel 6, stk. 1 (44), kun foretages under kontrol af en offentlig myndighed (45). Ethvert omfattende register over straffedomme må kun føres under kontrol af en offentlig myndighed.

71. På baggrund af det forhold, at CSDD forekommer at være officiel i betydningen »offentlig« myndighed, kan man stille spørgsmålstegn ved det første spørgsmåls relevans og undre sig over, om det er hypotetisk i den forstand, som udtrykket anvendes i Domstolens praksis om antagelse til realitetsbehandling. Jeg vil ikke desto mindre fordrive enhver tvivl ved at fremhæve, at denne sag både omhandler (CSDD’s) formidling af strafpoint og andre organers videreanvendelse af disse oplysninger. For så vidt som det første spørgsmål henviser til disse andre organer skal det efter min opfattelse antages til realitetsbehandling.

1. Personoplysninger

72. GDPR-forordningens artikel 4, nr. 1), bestemmer, at »personoplysninger« betyder enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

73. Der er ingen grund til at tvivle på, at oplysninger om strafpoint, der er pålagt bilister for færdselsforseelser, udgør personoplysninger som omhandlet i GDPR-forordningens artikel 4, nr. 1).

2. […] [V]edrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger

74. Hvad angår de i GDPR-forordningens artikel 10 nævnte »lovovertrædelser« bør det anføres, at det ikke er helt klart i alle sprogversioner af bestemmelsen, om den kun henviser til overtrædelser af straffelovgivningen, eller om den også omfatter administrative forseelser. Den mest naturlige og intuitive fortolkning af den engelske sprogversion er, at ordet »criminal« [straffe-] er blevet placeret, så at sige, før parentesen og henviser til både »convictions« [domme] og »offences« [lovovertrædelser]. I denne forbindelse er der for nogle sprogversioner (46) ingen grund til tvivl: »lovovertrædelser« i den forstand, hvori dette udtryk er anvendt i GDPR-forordningens artikel 10, skal forstås som »straffe-«. Andre sprogversioner (47) er tvetydige, idet de kan fortolkes på mere end én måde. Den lettiske sprogversion (saistītiem drošības pasākumiem), som – må det formodes – er den sprogversion, den forelæggende ret er mest bekendt med, er også tvetydig. Her er det ikke kun ikke specificeret, om »lovovertrædelser« (pārkāpumi) efter deres art skal vedrøre straffelovgivningen, men også ubestemt, om »domme« (sodāmība) efter deres art skal vedrøre straffelovgivningen (48).

75. Selv hvis de forskellige sprogversioner kan forekomme spraglede, kan der ikke desto mindre drages nogle konklusioner på dette tidspunkt.

76. Alle Den Europæiske Unions officielle sprog er autentiske sprog for de retsakter, hvorpå disse er affattet, og derfor må samtlige sproglige versioner af en EU-retsakt principielt tillægges den samme værdi (49). Fortolkningen af en EU-retlig bestemmelse kan derfor først ske efter en sammenligning af de sproglige versioner (50). Endvidere skal de forskellige sprogversioner af en EU-retlig bestemmelse fortolkes ensartet (51).

77. Under disse omstændigheder er det betydningen i de mere »præcise« sprogversioner, der skal anses for at være den korrekte, navnlig da denne mere præcise betydning også er en af de mulige fortolkninger i henhold til de mindre præcise sprogversioner, hvor en mulighed er, at »lovovertrædelser« efter deres art kun er »straffe-«, er en mulighed. Jeg kan derfor foreløbigt på dette tidspunkt på grundlag af en sammenligning mellem de forskellige sprogversioner af GDPR-forordningens artikel 10 konkludere, at ordet »straffe-« henviser til både »domme« og »lovovertrædelser« (52).

78. Endvidere bibeholder denne foreslåede fortolkning af GDPR-forordningens artikel 10 forgængerens – artikel 8, stk. 5, i direktiv 95/46 – sondring. I henhold til denne tidligere bestemmelse var der et krav om kontrol af en offentlig myndighed ved behandling af personoplysninger vedrørende straffedomme og lovovertrædelser (53), mens der for administrative sanktioner var mulighed for at undergive behandling af oplysninger en offentlig myndigheds kontrol (54). Hvis ordet »lovovertrædelser« i henhold til artikel 8, stk. 5, i direktiv 95/46 skulle forstås som omfattende »administrative forseelser«, så havde bestemmelsens andet led, været overflødig.

79. Denne konklusion lader stadig spørgsmålet om, hvad der nøjagtigt skal forstås ved udtrykket »strafbare handlinger«, stå ubesvaret.

80. Den første problemstilling er her, om dette udtryk udgør et selvstændigt EU-retligt udtryk, eller om fortolkningen af udtrykket er overladt til medlemsstaterne.

81. I henhold til Domstolens faste praksis følger det af såvel kravene om en ensartet anvendelse af EU-retten som af lighedsprincippet, at en bestemmelse i EU-retten, som ikke indeholder nogen udtrykkelig henvisning til medlemsstaternes ret med henblik på at fastlægge dens betydning og rækkevidde, normalt skal undergives en selvstændig og ensartet fortolkning i hele Unionen (55). Der skal ved fortolkningen ikke blot skal tages hensyn til den pågældende bestemmelses ordlyd og de mål, den forfølger, men også til den sammenhæng, hvori den indgår, og til EU-rettens bestemmelser som helhed. En EU-retlig bestemmelses tilblivelse kan ligeledes give relevante elementer med henblik på dens fortolkning (56).

82. Her er det klart, at straffelovgivningen og reglerne om behandlingen af straffesager principielt henhører under medlemsstaternes kompetence (57). Som følge heraf vil medlemsstaterne være i stand til at afgøre hvad, der udgør en lovovertrædelse (58).

83. Så snart EU-lovgiver har valgt en forordning som retlig form i modsætning til et direktiv, vil jeg imidlertid gøre gældende, at en ensartet fortolkning af forordningen i hele Den Europæiske Union bør være normen, således at det sikres, at den anvendes generelt og umiddelbart i alle medlemsstaterne i tråd med artikel 288, stk. 2, TEUF.

84. Der er i samme retning antydninger af, at EU-lovgiver ikke ønskede at henvise til national lovgivning for så vidt angår fortolkningen af udtrykket »lovovertrædelser«. 13. betragtning til direktiv 2016/680 anfører således, at en strafbar handling som omhandlet i dette direktiv bør være et selvstændigt EU-retligt begreb som fortolket af Den Europæiske Unions Domstol. I ånden af a maiore ad minus vil jeg gøre gældende, at en sådan angivelse også finder anvendelse på GDPR-forordningen (59), der – som ovenfor anført – som en forordning udgør en retsakt, der automatisk har en højere grad af integration og centralisering.

85. Den anden problemstilling, som består i at fastslå, om de pågældende personoplysninger vedrører straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger i den i GDPR-forordningens artikel 10 omhandlede forstand, er vanskeligere.

86. Domstolen har tidligere haft anledning til at træffe afgørelse vedrørende definitionen af en »lovovertrædelse« i forbindelse princippet om ne bis in idem (60) i henhold til chartrets artikel 50 (61).

87. Her trækker Domstolen på Den Europæiske Menneskerettighedsdomstols praksis (62), hvorefter tre kriterier er relevante ved definitionen af ordet »strafferetspleje«: den retlige kvalifikation af overtrædelsen i national ret, selve overtrædelsens art og karakteren og graden af hårdhed af den sanktion, som den pågældende risikerer at blive pålagt (63).

88. Point, såsom i de national ret pålagte, kan efter min opfattelse kvalificeres som en strafferetlig overtrædelse i henhold til denne retspraksis, da de ikke opfylder disse kriterier. De er især ikke af særlig hård art (64).

89. Endelig vil jeg gerne påpege, at det som følge af denne bedømmelse er ufornødent at undersøge afgrænsningen mellem GDPR-forordningens artikel 10 og bestemmelserne i direktiv 2016/680, eftersom dette direktiv ikke finder anvendelse i denne sag.

3. Foreslået svar

90. Jeg foreslår derfor at besvare det første spørgsmål med, at GDPR-forordningens artikel 10 skal fortolkes således, at den ikke omfatter situationer med behandling af oplysninger om strafpoint, som bilister er pålagt for færdselsforseelser, som fastsat i en national lovgivning, såsom færdselslovens artikel 14¹, stk. 2.

D. Det andet spørgsmål: Formidling af strafpoint

91. Den forelæggende ret ønsker med det andet spørgsmål nærmere bestemt oplyst, om GDPR-forordningens bestemmelser er til hinder for, at en medlemsstat behandler og formidler oplysninger om strafpoint, som bilister er pålagt for færdselsforseelser.

92. Selv om den forelæggende ret f.eks. har peget på princippet om integritet og fortrolighed i GDPR-forordningens artikel 5, stk. 1, litra f) (65), er spørgsmålet formuleret bredt, eftersom det henviser til forordningens bestemmelser som helhed (66). Bedømmelsen nedenfor vil derfor udstrækkes til andre af GDPR-forordningens bestemmelser end dem, der er nævnt af den forelæggende ret i spørgsmålet.

93. Enhver behandling af personoplysninger skal foregå i overensstemmelse med for det første principperne vedrørende oplysningernes pålidelighed og for det andet et af de principper vedrørende grundlaget for behandling af oplysninger, der er opregnet i forordningens artikel 6 (67). Det kan udledes af ordlyden af disse to bestemmelser, at de førstnævnte er kumulative (68), og de sidstnævnte er alternative (69).

94. Det andet spørgsmål vedrører principperne for oplysningernes pålidelighed. Den forelæggende ret forekommer – med rette – at antage, at CSDD behandler oplysninger og har ikke stillet spørgsmålstegn ved registreringen af strafpoint som sådan, men formidlingen af strafpointene efter anmodning.

95. CSDD er utvivlsomt en »dataansvarlig« i den forstand, hvori dette udtryk er anvendt i GDPR-forordningens artikel 4, nr. 7), som behandler personoplysninger som omhandlet i forordningens artikel 4, nr. 2), ved at registrere strafpointene i det nationale register over motorkøretøjer.

96. Det er tilstrækkeligt at henvise til, at Domstolen for så vidt angår offentligt ejede »selskabsregistre« har fundet, at den myndighed, der har ansvaret for at føre registret, ved at indføre og opbevare de nævnte oplysninger i registret og ved i givet fald efter anmodning at videregive disse til tredjemand, foretager en »behandling af personoplysninger«, som den er den »registeransvarlige« for som omhandlet i definitionerne i direktiv 95/46 (70), hvilke er forgængerne for de definitioner, der er fastsat i GDPR-forordningens artikel 4, nr. 2), og artikel 7 (71).

1. Om GDPR-forordningens artikel 5, stk. 1, litra f): Integritet og fortrolighed

97. Dette rejser spørgsmålet, om principperne om integritet og fortrolighed i GDPR-forordningens artikel 5, stk. 1, litra f), hvilken bestemmelse den forelæggende ret selv henviser til i spørgsmålet, er blevet overholdt.

98. I medfør af GDPR-forordningens artikel 5, stk. 1, litra f), skal personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.

99. Som det klart fremgår af ordlyden, omhandler bestemmelsen sikkerhed, tekniske og organisatoriske foranstaltninger ved behandling af personoplysninger (72). Der er tale om generelle, formelle krav vedrørende datasikkerhed (73).

100. Den forelæggende ret har derimod ønsket mere grundlæggende oplysninger om den retlige mulighed for sådan behandling. Med andre og mere figurative ord har den forelæggende ret ønsket oplysninger om hvis’et i forbindelse med behandlingen af personoplysninger, mens GDPR-forordningens artikel 5, stk. 1, litra f), omhandler hvordan’et i forbindelse med sådan behandling. Dermed er GDPR-forordningens artikel 5, stk. 1, litra f), ikke relevant i den foreliggende sag.

2. Om GDPR-forordningens artikel 5, stk. 1, litra a): Lovlighed, rimelighed og gennemsigtighed

101. I medfør af GDPR-forordningens artikel 5, stk. 1, litra a), skal personoplysninger behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.

102. Det bør anføres, at ordet »lovlig« forekommer i både GDPR-forordningens artikel 5, stk. 1, litra a), og artikel 6. Det giver ikke megen mening at læse de detaljerede krav i forordningens artikel 6 ind i artikel 5 ud fra et lovteknisk synspunkt, hvis artikel 5 også skulle indeholde kriterierne i GDPR-forordningens artikel 6.

103. Lovlighed som omhandlet i GDPR-forordningens artikel 5, stk. 1, litra a), bør i stedet læses i lyset af 40. betragtning til forordningen (74), som kræver, at behandlingen foretages på grundlag af samtykke eller et andet retsgrundlag, der er fastsat ved lov (75).

104. Da det forholder sig således (der findes et retsgrundlag i national ret), ser jeg derfor ingen grund til at stille spørgsmålstegn ved lovligheden af den i denne sag omhandlede behandling (76).

105. Jeg er derfor enig i den østrigske regerings indlæg (77), hvorefter dette princip ikke er relevant for de faktiske omstændigheder i denne sag.

3. Om GDPR-forordningens artikel 5, stk. 1, litra b): formålsbegrænsning

106. GDPR-forordningens artikel 5, stk. 1, litra b), opstiller princippet om »formålsbegrænsning« ved at bestemme, at personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål (78).

107. Den forelæggende ret har forklaret, at den omhandlede bestemmelse, færdselslovens artikel 14¹, stk. 2, forfølger et formål om færdselssikkerhed ved at afsløre bilister, som overtræder reglerne. Formidling af strafpoint forekommer som sådan at være et udtrykkeligt angivet og lovligt formål. Endvidere forekommer behandling af personoplysninger ikke uforenelig med dette formål.

4. Om GDPR-forordningens artikel 5, stk. 1, litra c): dataminimering

108. I medfør af GDPR-forordningens artikel 5, stk. 1, litra c), kræver princippet om dataminimering, at personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles. Tilsvarende fremgår det af 39. betragtning til GDPR-forordningen, at personoplysninger kun bør behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde.

109. Som de andre principper, der er fastsat i GDPR-forordningens artikel 5, stk. 1, forstår jeg dette princip som en afspejling af proportionalitetsprincippet (79), hvilket er grunden til, at jeg anser det for hensigtsmæssigt på dette tidspunkt at undersøge, om den pågældende nationale lovgivning står i rimeligt forhold til det formål, som den søger at opfylde.

110. Det fremgår af fast retspraksis, at proportionalitetsprincippet som et generelt EU-retligt princip kræver, at de foranstaltninger, som iværksættes ved en EU-retsakt, skal være egnede til at nå det tilsigtede mål og ikke må gå ud over, hvad der er nødvendigt for at nå det (80).

111. Færdselslovens artikel 14¹, stk. 2, skal være egnet og nødvendig for at nå det hævdede formål, nemlig at fremme færdselssikkerheden.

a) Egnethed

112. Det første formål, der hævdes tilsigtet med den omhandlede nationale lovgivning, er at være i stand til at identificere bilister, som systematisk tilsidesætter færdselsreglerne. Det er klart, at identifikationen af personer, som overtræder færdselsreglerne, ikke på nogen måde afhænger af, at de strafpoint, som lovovertræderen pålægges, er offentlige (til rådighed for almenheden). Det er udelukkende en offentlig myndigheds ansvar nøjagtigt at identificere sådanne lovovertrædere og at registrere de strafpoint, som de pålægges, således at passende retsvirkninger udløses og relevante sanktioner kan anvendes på dem.

113. Det andet formål med bestemmelsen i national ret, som giver mulighed for offentliggørelse af de pågældende personoplysninger, som Saeima har påberåbt sig, er at påvirke trafikanters adfærd for at afskrække dem fra at begå yderligere lovovertrædelser. Det kan her accepteres, at det sandsynligvis kan have en vis afskrækkende virkning at give alle mulighed for at få at vide, hvem der overtræder færdselsreglerne: Mange bilister vil være imod, at sådanne oplysninger om dem offentliggøres, således at de ikke stemples som lovbrydere.

114. Dette formål fremgår også klart af færdselslovens artikel 43¹ som det formål, der forfølges med indførelsen af ordningen med strafpoint. Det er ganske åbenlyst, at offentliggørelsen af pålagte strafpoint i et vist omfang udgør en yderligere afskrækkende faktor. Den omhandlede bestemmelse kan dermed i princippet være i overensstemmelse med den forfulgte almene interesse, nemlig at fremme trafiksikkerheden og undgå trafikuheld.

115. Når dette er sagt, hvis de pågældende personoplysninger kun gøres tilgængelige efter anmodning, og hvis anmoderen giver den pågældende persons personlige identifikationsnummer, rejser dette spørgsmålet om, hvor vanskeligt det er at få dette nummer. Jo vanskeligere det er at få sådanne oplysninger, jo mindre afskrækkende vil offentliggørelsesordningen være, eftersom spørgsmålet, om oplysningerne er offentligt tilgængelige, vil afhænge af andre faktorer, som er vanskelige at forudsige.

116. Det er af denne årsag, at jeg er i alvorlig tvivl om, hvorvidt den pågældende nationale lovgivning er egnet.

117. Det tilkommer den nationale ret at afgøre, om færdselslovens artikel 14¹, stk. 2, i lyset af omstændighederne i denne sag reelt er egnet til at opnå det lovlige formål om at forbedre trafiksikkerheden.

b) Nødvendighed

118. Hvad angår spørgsmålet om nødvendighed, dvs. kravet om, at den pågældende foranstaltning ikke må gå ud over, hvad der er nødvendigt for at opfylde forfulgte formål, forekommer situationen mere oplagt.

119. Igen tilkommer det den forelæggende ret at afgøre, om den omhandlede bestemmelse i lyset af alle omstændighederne i sagen reelt er nødvendig. På grundlag af de oplysninger, der er til rådighed, kan jeg imidlertid ikke se, hvordan bestemmelsen på nogen måde kan anses for nødvendig.

120. Selv om formålet med at fremme trafiksikkerhed er vigtigt, skal der foretages en rimelig afvejning mellem de forskellige interesser, der er til stede, og det tilkommer følgelig den nationale lovgiver at afgøre, om offentliggørelsen af de pågældende personoplysninger ikke går ud over, hvad der er nødvendigt for at opfylde de lovlige forfulgte formål, navnlig henset til den krænkelse af grundlæggende rettigheder, som en sådan videregivelse indebærer.

121. Forelæggelsesafgørelsen angiver ikke, om Saeima inden vedtagelsen af den omtvistede bestemmelse overvejede andre midler til opfyldelse af formålet med at fremme trafiksikkerheden på en måde, der gør mindst muligt indgreb i borgernes ret til databeskyttelse. Endvidere skal lovgiver være i stand til at godtgøre, at fravigelserne af og begrænsningerne for databeskyttelsen er i streng overensstemmelse med de pålagte grænser. Der bør foretages en omhyggelig vurdering af indvirkningen på databeskyttelsen, inden et datasæt offentliggøres (eller inden en lov, der medfører offentliggørelse heraf, vedtages), herunder en vurdering af mulighederne for videreanvendelse og videreanvendelsens potentielle indvirkning.

122. Sådanne oplysningers eksistens og nøjagtighed er væsentlige for afgørelsen af, om formålene med at fremme trafiksikkerheden og nedbringe antallet af trafikuheld kan opnås ved foranstaltninger, som er mindre skadelige for de pågældende personers rettigheder, og dermed undgå eller afhjælpe en tilsidesættelse af den beskyttelse, der ydes ved chartrets artikel 8.

123. Den krænkelse af retten til privatliv, som offentliggørelsen af oplysninger om lovovertrædelser og pålagte sanktioner forårsager, er i sig selv yderst alvorlig: Den videregiver til almenheden oplysninger om lovovertrædelser begået af en borger. Endvidere kan det ikke udelukkes, at en sådan databehandling, som er en del af offentliggørelsen af de pågældende oplysninger, kan føre til stigmatisering af gerningsmanden og have andre negative følger. Sådanne »sorte lister« skal derfor være strengt reguleret.

124. Som databeskyttelsesmyndigheden har anført, viser den omtvistede bestemmelses forebyggende art og de statistikker, som antyder en gunstig tendens, nemlig et fald i antallet af trafikulykker, ikke, at dette fald er forbundet med indførelsen af ordningen med strafpoint i sig selv, eller det forhold, at oplysninger om registrerede strafpoint er offentligt tilgængelige.

5. Foreslået svar

125. Mit forslag til Domstolens svar på det andet spørgsmål er følgelig, at GDPR-forordningens artikel 5, stk. 1, litra c), er til hinder for en national lovgivning, såsom færdselslovens artikel 14¹, stk. 2, som giver mulighed for behandling og formidling af oplysninger om strafpoint, som bilister er pålagt for færdselsforseelser.

E. Det tredje spørgsmål: videreanvendelse af personoplysninger

1. Om direktiv 2003/98

126. Som bestemt i artikel 1, stk. 1, i direktiv 2003/98 fastlægger direktivet et minimum af regler for videreanvendelse og midler til i praksis at fremme videreanvendelse af eksisterende dokumenter, som medlemsstaternes offentlige myndigheder er i besiddelse af.

127. Vi kan i denne sammenhæng antage, at strafpoint i Letland registreres i dokumenter, som CSDD er i besiddelse af som en offentlig myndighed i denne bestemmelses forstand.

128. Vi befinder sig imidlertid ikke inden for anvendelsesområdet for direktiv 2003/98, henset til at artikel 1, stk. 2, litra c), heri bestemmer, at direktivet ikke gælder for dokumenter, som er udelukket fra aktindsigt i medfør af beskyttelse af personoplysninger (81). Endvidere opretholder direktiv 2003/98 i medfør af direktivets artikel 1, stk. 4, og griber på ingen måde ind i beskyttelsesniveauet for fysiske personer med hensyn til behandling af personoplysninger i henhold til EU-lovgivningen og national lovgivning, og det ændrer navnlig ikke de forpligtelser og rettigheder, der er fastsat i GDPR-forordningen (82).

129. Det følger af disse bestemmelser, at behandlingen af de pågældende personoplysninger skal vurderes i lyset af EU-reglerne om databeskyttelse, nemlig GDPR-forordningen og ikke direktiv 2003/98 (83).

2. Om videreanvendelse

130. Som den forelæggende ret har anført, vil det ikke være muligt at identificere formålet med den videre behandling af oplysningerne eller vurdere, om personoplysninger behandles på en måde, der er uforenelig med disse formål, hvis oplysninger om strafpoint, der er pålagt bilister for færdselsforseelser, kan formidles til alle, herunder virksomheder, der videreanvender oplysningerne.

131. Den bedømmelse, som jeg har foretaget af det andet forelagte spørgsmål, finder på denne baggrund ikke kun anvendelse mutatis mutandis, men også a fortiori: Privat virksomheder kan være fristet til at udnytte personoplysninger til kommercielle formål, dvs. til formål, der er uforenelige med formålet med behandlingen, som er at forbedre trafiksikkerheden.

132. Endvidere går muligheden for, at tredjemand kan behandle personoplysningerne, klart ud over formålet med formålsbegrænsningen i GDPR-forordningens artikel 5, stk. 1, litra b).

3. Foreslået svar

133. Jeg foreslår følgelig at besvare det tredje spørgsmål således, at en national lovgivning, såsom færdselslovens artikel 14¹, stk. 2, som giver mulighed for behandling og formidling, herunder med henblik på videreanvendelse, af oplysninger om strafpoint, der er pålagt bilister for færdselsforseelser, ikke reguleres af bestemmelserne i direktiv 2003/98. GDPR-forordningens artikel 5, stk. 1, litra c), er endvidere til hinder herfor.

F. Det fjerde spørgsmål

134. Den forelæggende ret ønsker med det fjerde spørgsmål nærmere bestemt oplyst, om – hvis det fastslås, at den pågældende nationale lovgivning er i strid med EU-retten – det er muligt at anvende den omtvistede bestemmelse og opretholde dens retsvirkninger, indtil Satversmes tiesas (forfatningsdomstol) endelige afgørelse bliver retskraftig.

135. Den forelæggende ret har derfor ønsket oplyst, om den omhandlede bestemmelses retsvirkninger kan opretholdes, indtil den har truffet en endelig afgørelse.

136. I henhold til fast praksis skal den fortolkning, som Domstolen foretager af en EU-retlig regel under udøvelse af sin kompetence i henhold til artikel 267 TEUF, belyse og præcisere betydningen og rækkevidden af den pågældende regel, således som den skal forstås og anvendes, henholdsvis burde have været forstået og anvendt fra sin ikrafttræden (84). Heraf følger, at den således fortolkede regel kan og skal anvendes af retten i forbindelse med retsforhold, der er stiftet og består, før der afsiges dom vedrørende fortolkningsanmodningen, såfremt betingelserne for at forelægge de kompetente domstole en tvist om anvendelsen af den nævnte regel i øvrigt er opfyldt (85). Domstolen vil kun undtagelsesvis i henhold til et almindeligt retssikkerhedsprincip, der er sikret i Den Europæiske Unions retsorden, finde anledning til at begrænse borgernes mulighed for at påberåbe sig den således fortolkede bestemmelse med henblik på anfægtelse af tidligere i god tro stiftede retsforhold (86).

137. Under alle omstændigheder er det udelukkende Domstolen, der kan fastsætte betingelserne for en mulig suspension (87), og kun med en god begrundelse: Ellers kan en national ret udsætte denne afgørelses virkninger, hvorved dens virkninger erga omnes, hvis primære formål er at sikre EU-rettens ensartede anvendelse og retssikkerheden i alle medlemsstater og at skabe lige vilkår for medlemsstaterne, borgerne og de erhvervsdrivende, påvirkes. Nationale bestemmelser, selv hvis der er tale om forfatningsbestemmelser, må således ikke være til skade for EU-rettens enhed og effektivitet (88).

138. To hovedkriterier skal være opfyldt, inden en sådan begrænsning kan pålægges, nemlig at de berørte parter skal være i god tro, og at der skal være fare for alvorlige forstyrrelser (89).

139. Det bør tilføjes, at det kun er undtagelsesvist (90), at Domstolen har valgt en sådan løsning, og kun under ganske særlige omstændigheder: når der var risiko for alvorlige økonomiske eftervirkninger, navnlig på grund af det store antal retsforhold, der var indgået i god tro, på grundlag af regler, der blev anset for at være gyldigt i kraft, og når det forekom, at borgere og nationale myndigheder var blevet ledt til at vedtage praksis, som ikke var i overensstemmelse med EU-retten, på grund af objektiv, betydelig usikkerhed om EU-bestemmelsernes konsekvenser, hvortil andre medlemsstaters eller Unionens adfærd kan have bidraget (91).

140. I denne sag gør de oplysninger, der er henvist til i forelæggelsesafgørelsen, det ikke muligt at konkludere, at et stort antal bona fide retsforhold, som bygger på den omtvistede bestemmelse, er blevet påvirket, og at det derfor vil være særligt vanskeligt at sikre en overholdelse ex tunc af Domstolens præjudicielle afgørelse, hvorved bestemmelsen fastslås at være uforenelig med EU-retten.

141. Det er følgelig ufornødent at begrænse de tidsmæssige virkninger af Domstolens dom i denne sag.

142. Jeg foreslår derfor at besvare det fjerde spørgsmål med, at det ikke er muligt at anvende den omtvistede bestemmelse og opretholde dens retsvirkninger, indtil Satversmes tiesas (forfatningsdomstol) endelige afgørelse bliver retskraftig.

V. Forslag til afgørelse

143. På baggrund af det ovenstående foreslår jeg, at Domstolen besvarer de af Satversmes tiesa (forfatningsdomstol, Letland) forelagte spørgsmål som følger:

»1) Artikel 10 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den ikke omfatter situationer med behandling af personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser, som fastsat i en national lovgivning, såsom artikel 14¹, stk. 2, i Ceļu satiksmes likums (færdselsloven).

2) Artikel 5, stk. 1, litra c), i forordning 2016/679 er til hinder for, at en medlemsstat behandler og formidler personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser.

3) Artikel 5, stk. 1, litra b) og c), i forordning 2016/679 er til hinder for, at en medlemsstat behandler og formidler personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser, når denne formidling sker med henblik på videreanvendelse.

4) Europa-Parlamentets og Rådets direktiv 2003/98/EF af 17. november 2003 om videreanvendelse af den offentlige sektors informationer regulerer ikke behandlingen og formidlingen, herunder med henblik på videreanvendelse, af personoplysninger vedrørende strafpoint, som bilister er pålagt for færdselsforseelser.

5) Det er ikke muligt at anvende den omtvistede bestemmelse og opretholde dens retsvirkninger, indtil Satversmes tiesas (forfatningsdomstolen) endelige afgørelse bliver retskraftig.«

1 – Originalsprog: Engelsk.

2 – Jf. Tribune af 8.11.1946.

3 – Europa-Parlamentets og Rådets forordning af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1).

4 – Jf. dom af 12.11.1969 (29/69, EU:C:1969:57, præmis 7).

5 – Og bestemt den første sag om grundlæggende rettigheder i Unionens retsorden.

6 – Europa-Parlamentets og Rådets direktiv af 17.11.2003 om videreanvendelse af den offentlige sektors informationer (EUT 2003, L 345, s. 90), som ændret ved Europa-Parlamentets og Rådets direktiv 2013/37/EU af 26.6.2013 (EUT 2013, L 175, s. 1).

7 – Europa-Parlamentets og Rådets direktiv af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31).

8 – Bernerkonventionen til værn for litterære og kunstneriske værker, Parisakten af 24.7.1971, som ændret den 28.9.1979.

9 – TRIPS-aftalen (aftalen om handelsrelaterede intellektuelle ejendomsrettigheder) udgør bilag IC til overenskomsten om oprettelse af Verdenshandelsorganisationen (WTO-aftalen), godkendt på Fællesskabets vegne for så vidt angår de områder, der henhører under dettes kompetence, ved Rådets afgørelse 94/800/EF af 22.12.1994 (EFT 1994, L 336, s. 1).

10 – I den ændrede affattelse, der trådte i kraft den 10.5.2018.

11 – Ministru kabineta 2004. gada 21. jūnija noteikumi Nr.551 »Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi« (ministerrådets dekret nr. 551 af 21.6.2004 »Regler for anvendelsen af strafpointsystemet«).

12 – Selv om det kan forekomme paradoksalt, er formuleringen »falder uden for EU-retten« i GDPR-forordningens artikel 2, stk. 2, litra a), alt andet end klar i forhold til GDPR-forordningen, jf. H.A. Wolff i M. Pechstein, C. Nowak og U. Häde (red.), Frankfurter Kommentar zu EUV, GRC und AEUV, bind II, Mohr Siebeck, Tübingen, 2017, Art. 16 AEUV, punkt 19.

13 – Nemlig behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

14 – Hvad angår artikel 3, stk. 2, i direktiv 95/46 har Domstolen stedse indtaget dette standpunkt, jf. dom af 10.7.2018, Jehovan todistajat (C-25/17, EU:C:2018:551, præmis 37 og den deri nævnte retspraksis). Jf. også Chr. Sobotta i E. Grabitz, M. Hilf og M. Nettesheim, Das Recht der Europäischen Union, 71. EL., ajourført august 2020, C.H. Beck, München, art. 16 AEUV, punkt 22, som peger på EU-databeskyttelsesordningens vide materielle anvendelsesområde.

15 – Jf. ligeledes i denne retning A. Hatje i J. Schwarze, U. Becker, A. Hatje og J. Schoo (red.), EU-Kommentar, 4. udg., Nomos, Baden-Baden, 2019, art. 16, punkt 10, og U. Brühann i H. von der Groeben, H., J. Schwarze og A. Hatje (red.), Europäisches Unionsrecht (Kommentar), bind 1, 7. udg., Nomos, Baden-Baden, 2015, art. 16 AEUV, punkt 130.

16 – Om »almindelige bestemmelser«.

17 – Jf. hvad angår direktiv 95/46 f.eks. dom af 13.5.2014, Google Spain og Google (C-131/12, EU:C:2014:317, præmis 66), og af 10.7.2018, Jehovan todistajat (C-25/17, EU:C:2018:551, præmis 35).

18 – Det oprindelige rationale relateret til det indre marked, som ligger bag de EU-retlige forskrifter om databeskyttelse, findes fortsat selvstændigt ved siden af databeskyttelsen som sådan. Som det allerede er afspejlet i GDPR-forordningens titel og defineret i artikel 1, er GDPR-forordningens genstand og formål dobbelt: at indføre regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger. Endvidere præciserer 13. betragtning til GDPR-forordningen, at forskelle hæmmer den frie udveksling af personoplysninger på det indre marked, og at et velfungerende indre marked kræver, at den frie udveksling af personoplysninger i Unionen hverken indskrænkes eller forbydes af grunde, der vedrører beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.

19 – Min fremhævelse.

20 – Bestemmelsen definerer chartrets anvendelsesområde.

21 – Min fremhævelse.

22 – Jf. f.eks. Th. Zerdick i E. Ehmann og M. Selmayr (red.), Datenschutz-Grundverordnung, Kommentar, C.H. Beck, München, 2. udg., 2018, art. 2, punkt 5.

23 – Dette har været fast retspraksis siden dom af 26.2.2013, Åkerberg Fransson (C-617/10, EU:C:2013:105, præmis 21). Jf. også dom af 21.12.2016, AGET Iraklis (C-201/15, EU:C:2016:972, præmis 62), af 21.5.2019, Kommission mod Ungarn (Brugsrettigheder over landbrugsarealer) (C-235/17, EU:C:2019:432, præmis 63), og af 24.9.2020, NK (Arbejdsmarkedspension for ledende personale) (C-223/19, EU:C:2020:753, præmis 78).

24 – Ordlyden af GDPR-forordningens artikel 2, stk. 2, litra a), er efter min opfattelse ikke fyldestgørende. I overensstemmelse med Domstolens faste praksis skal der ved fortolkningen af en EU-retlig bestemmelse ikke blot tages hensyn til dennes ordlyd, men også til den sammenhæng, hvori den indgår, og til de mål, der forfølges med den lovgivning, som den er en del af, og bl.a. til denne lovgivnings tilblivelse, jf. f.eks. dom af 17.4.2018, Egenberger (C-414/16, EU:C:2018:257, præmis 44 og den deri nævnte retspraksis).

25 – Jf. i denne retning ligeledes D. Lubasz i D. Lubasz (red.), Ochrona danych osobowych, Wolters Kluwer, Warszawa 2020, punkt 92.

26 – Hvilket tidligere også gjaldt for artikel 114 TEUF.

27 – Jf. GDPR-forordningens artikel 10.

28 – Navnlig hvis man antager, at et nationalt identifikationsnummer sædvanligvis tildeles ved en officiel registrering i forbindelse med en fødsel, forbindes forholdet typisk ikke med en EU-kompetence.

29 – Jf. erklæring nr. 20, der er knyttet som bilag til slutakten fra regeringskonferencen, der vedtog Lissabontraktaten, undertegnet den 13.12.2007.

30 – Som følge af GDPR-forordningens artikel 94, stk. 2, skal henvisninger til direktiv 95/46 forstås som henvisninger til GDPR-forordningen.

31 – Jf. artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37). Jf. om denne bestemmelse dom af 29.1.2008, Promusicae (C-275/06, EU:C:2008:54, præmis 49).

32 – Herunder at sikre statens territorielle integritet, opretholde lov og orden samt beskytte den nationale sikkerhed.

33 – Jf. vedrørende dette begreb C. Franzius i M. Pechstein, C. Nowak og U. Häde (red.), Frankfurter Kommentar zu EUV, GRC und AEUV, bind I, Mohr Siebeck, Tübingen, 2017, art. 4 EUV, punkt 50: »Staatsfunktionengarantie«.

34 – Jf. GDPR-forordningens artikel 2, stk. 2, litra b).

35 – Jf. GDPR-forordningens artikel 2, stk. 2, litra c).

36 – Jf. GDPR-forordningens artikel 2, stk. 2, litra d).

37 – Endvidere indeholder artikel 39 TEU en specifik hjemmel for medlemsstaternes behandling af persondataoplysninger, når de udfører aktiviteter, der er omfattet af den fælles udenrigs- og sikkerhedspolitik. Dermed opretholdes »søjle«-adskillelsen i denne henseende i forhold til Lissabontraktaten, jf. O. Lynskey, The Foundations of EU Data Protection Law, OUP, Oxford, 2015, s. 18.

38 – Jf. Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT 2016, L 119, s. 89).

39 – Jf. endvidere dom af 6.10.2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 102).

40 – For at give et enkelt eksempel foretog Domstolen ikke en aktiv granskning af, om velgørende og religiøse aktiviteter var omfattet af EU-rettens anvendelsesområde (jf. dom af 6.11.2003, Lindqvist, C-101/01, EU:C:2003:596, præmis 48).

41 – Jf. dom af 20.5.2003, Österreichischer Rundfunk m.fl. (C-465/00, C-138/01 og C-139/01, EU:C:2003:294, præmis 42).

42 – I retslitteraturen, jf. endvidere H. Kranenborg i Chr. Kuner, L.A. Bygrave og Chr. Docksey (red.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, art. 86, A., på s. 1214. Jf. også D.A. Pauly i B.P. Paal og D.A. Pauly, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, C.H. Beck, München 2018, Art. 86 DS-GVO, punkt 9.

43 – Jf. også i denne retning H. Kranenborg, op. cit., art.86, C.1., på s. 1217, herunder fodnote 14. Den samme forfatter har med rette peget på, at der i Kommissionens oprindelige forslag kun var medtaget en betragtning og ikke en bestemmelse herom.

44 – I henhold til denne bestemmelse er behandling lovlig, hvis den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål, i det omfang samtykket er givet.

45 – Eller hvis behandling har hjemmel i EU-retten eller medlemsstaternes nationale ret, som giver passende garantier for registreredes rettigheder og frihedsrettigheder.

46 – Såsom den spanske (condenas e infracciones penales), den tyske (strafrechtliche Verurteilungen und Straftaten), den italienske (condanne penali e […] reati), den litauiske (apkaltinamuosius nuosprendžius ir nusikalstamas veikas), den maltesiske (kundanni kriminali u reati) og den nederlandske (strafrechtelijke veroordelingen en strafbare feiten) sprogversion.

47 – Såsom den franske (condamnations pénales et […] infractions), den polske (wyroków skazujących oraz naruszeń prawa), den portugisiske (condenações penais e infrações) og den rumænske (condamnări penale și infracțiuni) sprogversion.

48 – Hvis man blot ser på ordlyden, kan selv »convictions« faktisk efter deres art være administrative.

49 – Jf. som eksempel dom af 25.6.2020, A m.fl. (Vindmøller i Aalter og Nevele) (C-24/19, EU:C:2020:503, præmis 39 og den deri nævnte retspraksis).

50 – Jf. dom af 6.10.1982, Cilfit m.fl. (283/81, EU:C:1982:335, præmis 18).

51 – Jf. som eksempel dom af 30.5.2013, Genil 48 og Comercial Hostelera de Grandes Vinos (C-604/11, EU:C:2013:344, præmis 38 og den deri nævnte retspraksis), og af 6.9.2012, Parlamentet mod Rådet (C-490/10, EU:C:2012:525, præmis 68).

52 – Jf. i denne retning ligeledes M. Kawecki og P. Barta i P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, Warszawa 2018, artikel 10, punkt 3.

53 – »Behandling af oplysninger om lovovertrædelser, straffedomme eller sikkerhedsforanstaltninger må kun foretages under kontrol af en offentlig myndighed […]« Min fremhævelse.

54 – »Medlemsstaterne kan fastsætte bestemmelser om, at behandling af oplysninger vedrørende administrative sanktioner eller civile retssager ligeledes skal foretages under en offentlig myndigheds kontrol.« Min fremhævelse.

55 – Jf. som eksempel dom af 1.10.2019, Planet49 (C-673/17, EU:C:2019:801, præmis 47 og den deri nævnte retspraksis).

56 – Ibidem.

57 – Jf. dom af 17.9.2020, JZ (Fængselsstraf i tilfælde af indrejseforbud) (C-806/18, EU:C:2020:724, præmis 26 og den deri nævnte retspraksis).

58 – Jf. også i denne retning L. Georgieva, The EU General Data Protection Regulation (GDPR), op. cit., art. 10, C.1., på s. 388, og A. Schiff, Datenschutz-Grundverordnung, Kommentar, op. cit., art. 10, punkt 4.

59 – Direktivet blev i øvrigt vedtaget på samme dag som GDPR-forordningen.

60 – Retten til ikke at blive stillet for en domstol eller dømt for den samme lovovertrædelse to gange.

61 – Jf. også det lærerige forslag til afgørelse fra generaladvokat Kokott, Bonda (C-489/10, EU:C:2011:845, præmis 32 ff.).

62 – Jf. Menneskerettighedsdomstolens dom af 8.6.1976, Engel m.fl. mod Nederlandene (CE:ECHR:1976:0608JUD000510071, §§ 80-82), og af 10.2.2009, Sergey Zolotukhin mod Rusland (CE:ECHR:2009:0210JUD001493903, §§ 52-53).

63 – Jf. dom af 5.6.2012, Bonda (C-489/10, EU:C:2012:319, præmis 37).

64 – Henset til, at vi her har at gøre med strafpoint, der, som det er fremgået, ikke er af særlig alvorlig karakter, rejses der ikke tvivl om denne konklusion ved Domstolens dom af 14.11.2013, Baláž, C-60/12, EU:C:2013:733, som vedrørte den videre og mere generelle problemstilling med »kompetence i navnlig straffesager« for så vidt angår færdselslovsovertrædelser generelt og ikke kun for så vidt angår strafpoint i forbindelse med Rådets rammeafgørelse 2005/214/RIA af 24.2.2005 om anvendelse af princippet om gensidig anerkendelse på bødestraffe (EUT 2005, L 76, s. 16).

65 – Der under alle omstændigheder ikke finder anvendelse, som det vil fremgå nedenfor.

66 – Man kan på denne baggrund med rette spørge, om kravene i artikel 94, litra c), i Domstolens procesreglement er opfyldt, og hvis ikke, om spørgsmål skal afvises.

67 – Jf. dom af 16.1.2019, Deutsche Post (C-496/17, EU:C:2019:26, præmis 57 og den deri nævnte retspraksis).

68 – GDPR-forordningens artikel 5 er formuleret på regelfastsættende vis (»skal«), og de forskellige principper er [i den engelske sprogversion] forbundet med semikoloner, hvilket antyder et »og« og ikke et »eller«.

69 – GDPR-forordningens artikel 6 henviser til »mindst ét af […] forhold«.

70 – Jf. dom af 9.3.2017, Manni (C-398/15, EU:C:2017:197, præmis 35).

71 – Artikel 2, litra b) og d), i direktiv 95/46.

72 – Princippet er udviklet videre i GDPR-forordningens kapitel IV, afdeling 2 (artikel 32-34).

73 – Jf. ligeledes i denne retning St. Pötters i P. Gola (red.), Datenschutz-Grundverordnung VO (EU) 2016/679, Kommentar, C.H. Beck, München, 2. udg., 2018, Art. 5, punkt 29.

74 – Hvorefter personoplysninger, for at behandling kan anses som lovlig, bør behandles på grundlag af den registreredes samtykke eller et andet lovligt grundlag, der er fastlagt ved lov enten i GDPR-forordningen eller i anden EU-ret eller i medlemsstaternes nationale ret, som omhandlet i forordningen, herunder når det er nødvendigt for overholdelse af de retlige forpligtelser, som påhviler den dataansvarlige, eller behovet for opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til foranstaltninger, der træffes på dennes anmodning forud for indgåelse af en sådan kontrakt.

75 – Jf. også i denne retning T. Herbst i J. Buchner og B. Kühling (red.), Datenschutz-Grundverordnung/BDSG, Kommentar, 2. udg., C.H. Beck, München, 2018, art. 5 DS-GVO, punkt 11, og St. Pötters, op. cit., art. 5, punkt 6. For en bredere forståelse af lovlighed som et krav om overholdelse af alle forordningens bestemmelser, jf. D. Lubasz, i D. Lubasz (red.), Ochrona danych osobowych, Wolters Kluwer, Warszawa 2020, punkt 186.

76 – Selv hvis det anses for nødvendigt at kontrollere kravene i GDPR-forordningens artikel 6 inden for forordningens artikel 5, er jeg ligeledes af den opfattelse, at behandling er lovlig i den forstand, hvori dette udtryk er anvendt i GDPR-forordningens artikel 6, stk. 1, litra c), idet behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, henset til at CSDD opfylder sin retlige forpligtelse i henhold til national ret ved at formidle strafpointene til offentligheden.

77 – Hvad angår den østrigske regerings henvisning i denne forbindelse til Bundesverfassungsgerichts (forbundsdomstol i forfatningsretlige sager) dom af 27.2.2008 (1 BvR 370/07 og 1 BvR 595/07 (ECLI:DE:BVerfG:2008:rs20080227.1bvr037007), BVerfGE 120, 274 ff., på s. 314, der er til rådighed på: http://www.bverfg.de/e/rs20080227_1bvr037007en.html), er jeg mindre sikker på, at den er relevant, idet denne dom vedrører et spørgsmål om en materiel grundlæggende rettighed, mens GDPR-forordningens artikel 5, stk. 1, litra f), som det er fastslået i ovenstående afsnit i dette forslag til afgørelse, vedrører formelle krav.

78 – Denne bestemmelse bestemmer videre, at viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med GDPR-forordningens artikel 89, stk. 1, ikke skal anses for at være uforenelig med de oprindelige formål.

79 – Jf. i denne retning D. Lubasz i D. Lubasz (red.), Ochrona danych osobowych, Wolters Kluwer, Warszawa 2020, punkt 202.

80 – Jf. f.eks. kendelse af 13.1.2010, Volker und Markus Schecke og Eifert (C-92/09 og C-93/09, EU:C:2010:8, præmis 74 og den deri nævnte retspraksis).

81 – Denne bestemmelse blev tilføjet direktiv 2003/98 i 2013, jf. artikel 1, stk. 1, litra a), nr. i), i Europa-Parlamentets og Rådets direktiv 2013/37/EU af 26.6.2013 om ændring af direktiv 2003/98/EF om videreanvendelse af den offentlige sektors informationer (EUT 2013, L 175, s. 1-8).

82 – Artikel 1, stk. 4, i direktiv 2003/98 henviser i denne henseende til direktiv 95/46.

83 – Hvad angår Europa-Parlamentets og Rådets direktiv (EU) 2019/1024 af 20.6.2019 om åbne data og videreanvendelse af den offentlige sektors informationer (EUT 2019, L 172, p. 56), som i medfør af artikel 19 ophæver direktiv 2003/98 med virkning fra den 17.7.2021, jf. artikel 1, stk. 2, litra f), i direktiv 2019/1024.

84 – Dette kaldes almindeligvis virkningen ex tunc af præjudicielle afgørelser i henhold til artikel 267 TEUF.

85 – Jf. f.eks. dom af 29.9.2015, Gmina Wrocław (C-276/14, EU:C:2015:635, præmis 44), og af 28.10.2020, Bundesrepublik Deutschland (Fastsættelse af vejafgifter for benyttelse af forbundsmotorveje) (C-321/19, EU:C:2020:866, præmis 54).

86 – Jf. f.eks. dom af 29.9.2015, Gmina Wrocław (C-276/14, EU:C:2015:635, præmis 45), og af 28.10.2020, Bundesrepublik Deutschland (Fastsættelse af vejafgifter for benyttelse af forbundsmotorveje) (C-321/19, EU:C:2020:866, præmis 55).

87 – Jf. dom af 8.9.2010, Winner Wetten (C-409/06, EU:C:2010:503, præmis 67), og af 19.11.2009, Filipiak (C-314/08, EU:C:2009:719, præmis 84). Jf. også dom af 6.3.2007, Meilicke m.fl. (C-292/04, EU:C:2007:132, præmis 36 og den deri nævnte retspraksis).

88 – Jf. dom af 17.12.1970, Internationale Handelsgesellschaft (11/70, EU:C:1970:114, præmis 3), og af 8.9.2010, Winner Wetten (C-409/06, EU:C:2010:503, præmis 61).

89 – Jf. f.eks. dom af 29.9.2015, Gmina Wrocław (C-276/14, EU:C:2015:635, præmis 45), og af 28.10.2020, Bundesrepublik Deutschland (Fastsættelse af vejafgifter for benyttelse af forbundsmotorveje) (C-321/19, EU:C:2020:866, præmis 55).

90 – Jf. også K. Lenaerts, I., Maselis og K. Gutman, EU Procedural Law, Oxford University Press, Oxford, 2014, punkt 6.34, s. 247.

91 – Jf. f.eks. dom af 16.9.2020, Romenergo og Aris Capital (C-339/19, EU:C:2020:709, præmis 49 og den deri nævnte retspraksis).