Sag C-439/19
B
(anmodning om præjudiciel afgørelse indgivet af Latvijas Republikas Satversmes tiesa)
Domstolens dom (Store Afdeling) af 22. juni 2021
»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 5, 6 og 10 – national lovgivning om aktindsigt i personoplysninger vedrørende strafpoint for færdselsforseelser – lovlig – begrebet »personoplysninger vedrørende straffedomme og lovovertrædelser« – videregivelse med henblik på forbedring af trafiksikkerheden – ret til aktindsigt i officielle dokumenter – informationsfrihed – forenelighed med de grundlæggende rettigheder til respekt for privatlivet og til beskyttelse af personoplysninger – videreanvendelse af oplysninger – artikel 267 TEUF – tidsmæssige virkninger af en præjudiciel afgørelse – en medlemsstats forfatningsdomstols mulighed for at opretholde retsvirkningerne af en national lovgivning, der er uforenelig med EU-retten – princippet om EU-rettens forrang og retssikkerhedsprincippet«
1. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – anvendelsesområde – undtagelser – behandling af oplysninger i forbindelse med en aktivitet, der ikke henhører under EU-retten – aktivitet, som har til formål at beskytte den nationale sikkerhed, eller som kan henføres til denne kategori – begreb – aktivitet, der tilsigter at forbedre trafiksikkerheden – ikke omfattet
[Europa-Parlamentets og Rådets forordning 2016/679, 16. betragtning og art. 2, stk. 2, litra a)]
(jf. præmis 61-68)
2. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – anvendelsesområde – undtagelser – behandling af oplysninger, som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner – begrebet kompetent myndighed – krav om forbindelse med beskyttelsen af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde – offentlig national myndighed, der til offentligheden videregiver personoplysninger vedrørende strafpoint, der pålægges for færdselsforseelser – ikke omfattet
[Europa-Parlamentets og Rådets forordning 2016/679, 19. betragtning og art. 2, stk. 2, litra d); Europa-Parlamentets og Rådets direktiv 2016/680, 10. og 11. betragtning samt art. 3, stk. 7]
(jf. præmis 69-72)
3. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – behandling af personoplysninger vedrørende straffedomme og lovovertrædelser – begrebet oplysninger vedrørende lovovertrædelser – oplysninger vedrørende strafpoint – omfattet – begrebet overtrædelser – strafferetlig karakter – bedømmelseskriterier – færdselsforseelser, der giver anledning til at pålægge strafpoint – omfattet
(Europa-Parlamentets og Rådets forordning 2016/679, art. 10; Europa-Parlamentets og Rådets direktiv 2016/680, 13. betragtning)
(jf. præmis 77-93 og domskonkl. 1)
4. Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning 2016/679 – betingelser for lovligheden af en behandling af personoplysninger – behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse – national lovgivning, som gør retten til aktindsigt i personoplysninger vedrørende strafpoint obligatorisk og tillader videregivelse af disse oplysninger til erhvervsdrivende med henblik på videreanvendelse – mål af almen interesse om forbedring af trafiksikkerheden – behandlingen af personoplysninger ikke nødvendig – ikke tilladt – ret til aktindsigt i officielle dokumenter og til informationsfrihed – ingen betydning – forrang for de grundlæggende rettigheder til respekt for privatlivet og til beskyttelse af personoplysninger
[Europa-Parlamentets og Rådets forordning 2016/679, 39. og 154. betragtning og art. 5, stk. 1, art. 6, stk. 1, litra e), samt art. 10, 85 og 86]
(jf. præmis 99, 106, 108-113, 120-122, 126 og 129 samt domskonkl. 2 og 3)
5. Præjudicielle spørgsmål – fortolkning – tidsmæssige virkninger af fortolkningsdomme – virkning med tilbagevirkende kraft – Domstolens begrænsning heraf – princippet om EU-rettens forrang og retssikkerhedsprincippet – en medlemsstats forfatningsdomstols mulighed for at opretholde retsvirkningerne af en national lovgivning, der er fundet uforenelig med EU-retten, indtil afsigelsen af den endelige dom – foreligger ikke
(Art. 267 TEUF)
(jf. præmis 132-137 og domskonkl. 4)
Resumé
De EU-retlige regler om databeskyttelse var til hinder for en lettisk lovgivning, som pålagde færdselssikkerhedsmyndigheden at gøre oplysninger vedrørende strafpoint, som pålagdes førere for færdselsforseelser, tilgængelige for offentligheden
Det var ikke godtgjort, at denne ordning var nødvendig for at nå det tilsigtede mål, dvs. forbedring af trafiksikkerheden
B er en fysisk person, som var blevet pålagt strafpoint som følge af en eller flere færdselsforseelser. Ceļu satiksmes drošības direkcija (direktoratet for færdselssikkerhed, Letland) (herefter »CSDD«) indførte disse strafpoint i det nationale register over køretøjer og førere.
I henhold til den lettiske færdselslov (1) var oplysningerne om de strafpoint, som blev pålagt bilister, og som var indeholdt i dette register, tilgængelige for offentligheden, og CSDD videregav disse oplysninger til enhver, der anmodede herom, uden at vedkommende skulle godtgøre en særlig interesse i at få de nævnte oplysninger, herunder erhvervsdrivende med henblik på videreanvendelse. Efterson B nærede tvivl om lovligheden af denne lovgivning, anlagde denne person et forfatningssøgsmål ved Latvijas Republikas Satversmes tiesa (forfatningsdomstol, Letland) med henblik på, at denne domstol skulle undersøge denne lovgivnings forenelighed med retten til respekt for privatlivet.
Forfatningsdomstolen fandt, at den som led i sin forfatningsretlige bedømmelse skulle tage hensyn til den generelle forordning om databeskyttelse (herefter »databeskyttelsesforordningen«) (2). Den anmodede således Domstolen om at afklare rækkevidden af flere af databeskyttelsesforordningens bestemmelser med henblik på at afgøre, om den lettiske færdselslov var forenelig med denne forordning.
Med dommen fastslog Domstolen (Store Afdeling), at databeskyttelsesforordningen var til hinder for den lettiske lovgivning. Domstolen fastslog, at det, navnlig med henblik på det formål om at forbedre trafiksikkerheden, som den lettiske regering havde anført, ikke var godtgjort, at det var nødvendigt at videregive personoplysninger vedrørende de strafpoint, der pålægges for færdselsforseelser. Ifølge Domstolen begrundede endvidere hverken retten til aktindsigt i officielle dokumenter eller retten til informationsfrihed en sådan lovgivning.
Domstolens bemærkninger
For det første fastslog Domstolen, at behandlingen af personoplysninger vedrørende strafpoint udgjorde »behandling af personoplysninger vedrørende straffedomme og lovovertrædelser« (3), for hvilken databeskyttelsesforordningen fastsatte en øget beskyttelse som følge af de pågældende oplysningers særlige følsomhed.
Domstolen bemærkede i denne forbindelse indledningsvis, at oplysninger vedrørende strafpoint udgjorde personoplysninger, og at CSDD’s videregivelse heraf til tredjemand udgjorde behandling, som henhørte under databeskyttelsesforordningens materielle anvendelsesområde. Dette anvendelsesområde er nemlig meget vidt, og behandlingen henhørte ikke under undtagelserne til forordningens anvendelighed.
Denne behandling var ikke omfattet af undtagelsen om, at databeskyttelsesforordningen ikke finder anvendelse på behandling foretaget som led i aktiviteter, der ikke er omfattet af EU-retten (4). Denne undtagelse skal anses for alene at have til formål at udelukke statslige myndigheders behandling af personoplysninger under udøvelse af en aktivitet, som tilsigter at beskytte den nationale sikkerhed, eller en aktivitet, som kan henføres til samme kategori, fra anvendelsesområdet for denne forordning. Disse aktiviteter omfatter navnlig de aktiviteter, hvis formål er at beskytte centrale statslige funktioner og samfundets grundlæggende interesser. Aktiviteter vedrørende trafiksikkerheden forfølger ikke dette formål og kan derfor ikke henføres under samme kategori som de aktiviteter, som har til formål at sikre den nationale sikkerhed.
Videregivelsen af personoplysninger vedrørende strafpoint udgjorde endvidere heller ikke en behandling, der var omfattet af den undtagelse, der fastsætter, at databeskyttelsesforordningen ikke finder anvendelse på de kompetente myndigheders behandling af personoplysninger på det strafferetlige område (5). Domstolen fastslog nemlig, at CSDD ved at foretage denne videregivelse ikke kunne anses for at være en sådan »kompetent myndighed« (6).
Med henblik på at fastslå, om aktindsigt i personoplysninger vedrørende færdselsforseelser, såsom strafpoint, udgjorde behandling af personoplysninger vedrørende »lovovertrædelser« (7), som nyder øget beskyttelse, fastslog Domstolen med støtte i bl.a. databeskyttelsesforordningens tilblivelseshistorie, at dette begreb alene henviser til strafbare handlinger. Den omstændighed, at færdselsforseelser i den lettiske retsorden kvalificeres som administrative forseelser, var ikke afgørende for at vurdere, om disse forseelser henhørte under begrebet »strafbar handling«, eftersom der er tale om et selvstændigt EU-retligt begreb, som skal undergives en selvstændig og ensartet fortolkning i hele Unionen. Efter at have anført de tre kriterier, der er relevante for at vurdere, om en lovovertrædelse har karakter af en strafbar handling, dvs. den retlige kvalificering af lovovertrædelsen i national ret, lovovertrædelsens art samt karakteren og strengheden af den sanktion, som kan pålægges, fastslog Domstolen, at de pågældende færdselsforseelser henhørte under begrebet »lovovertrædelse« som omhandlet i databeskyttelsesforordningen. Hvad angår de to første kriterier fastslog Domstolen, at selv om overtrædelser ikke kvalificeres som »strafferetlige« i national ret, kan en sådan karakter følge af selve overtrædelsens art og navnlig det repressive formål, der forfølges med den sanktion, som overtrædelsen kan medføre. I det foreliggende tilfælde havde tildelingen af strafpoint for færdselsforseelser ligesom andre sanktioner, som begåelsen heraf kunne medføre, bl.a. et sådant repressivt formål. Hvad angår det tredje kriterium bemærkede Domstolen, at alene færdselsforseelser af en vis grovhed førte til tildeling af strafpoint, og at sådanne overtrædelser derfor kunne medføre sanktioner af en vis strenghed. Pålæggelsen af sådanne point var endvidere generelt et supplement til den sanktion, der blev pålagt, og kumulationen af disse point havde i sig selv retsvirkninger, som endog kunne omfatte et kørselsforbud.
For det andet fastslog Domstolen, at databeskyttelsesforordningen var til hinder for den lettiske lovgivning, der pålagde CSDD at gøre oplysninger om strafpoint, som blev pålagt bilister for færdselsforseelser, tilgængelige for offentligheden, uden at den person, der anmodede om aktindsigt, skulle godtgøre en særlig interesse i at få disse oplysninger.
I denne sammenhæng bemærkede Domstolen, at den forbedring af trafiksikkerheden, som tilsigtedes med den lettiske lovgivning, var et mål af almen interesse, der er anerkendt af Unionen, og at medlemsstaterne derfor kunne kvalificere trafiksikkerheden som en »opgave i samfundets interesse« (8). Det var således ikke godtgjort, at den lettiske ordning for videregivelse af personoplysninger vedrørende strafpoint var nødvendig for at sikre det tilsigtede mål. Dels rådede den lettiske lovgiver nemlig over en bred vifte af handlemuligheder, som havde givet den mulighed for nå dette mål, og som var mindre indgribende i de berørte personers grundlæggende rettigheder. Dels skulle der tages hensyn til, at oplysningerne om strafpoint var følsomme, og til, at videregivelsen af disse oplysninger til offentligheden kunne udgøre et særligt alvorligt indgreb i retten til respekt for privatlivet og til beskyttelse af personoplysninger, eftersom videregivelsen kunne medføre samfundets misbilligelse og føre til stigmatisering af den pågældende person.
Domstolen fastslog endvidere, at henset til følsomheden af disse oplysninger og alvoren af dette indgreb i disse to grundlæggende rettigheder, gik disse rettigheder forud for såvel offentlighedens interesse i at få aktindsigt i officielle dokumenter, såsom det nationale register over køretøjer og førere, som retten til informationsfrihed.
For det tredje fastslog Domstolen af tilsvarende grunde, at databeskyttelsesforordningen ligeledes var til hinder for den lettiske lovgivning, for så vidt som den tillod CSDD at videregive oplysninger om strafpoint, som pålægges førere af motorkøretøjer for færdselsforseelser, til erhvervsdrivende med henblik på, at de sidstnævnte kunne videreanvende oplysningerne og videregive dem til offentligheden.
For det fjerde fastslog Domstolen endelig, at princippet om EU-rettens forrang var til hinder for, at den forelæggende ret, som var forelagt et søgsmål til prøvelse af den lettiske lovgivning, som Domstolen havde erklæret uforenelig med EU-retten, besluttede at opretholde retsvirkningerne af denne lovgivning indtil afsigelsen af den endelige dom.