Language of document : ECLI:EU:C:2003:596

Arrêt de la Cour

DOMSTOLENS DOM
den 6 november 2003 (1)


"Direktiv 95/46/EG - Tillämpningsområde - Offentliggörande av personuppgifter på Internet - Platsen för offentliggörandet - Begreppet överföring av personuppgifter till tredje land - Yttrandefrihet - Huruvida ett större skydd för personuppgifter i nationell lagstiftning i en medlemsstat är förenligt med direktiv 95/46"

I mål C-101/01,

angående en begäran enligt artikel 234 EG, från Göta hovrätt (Sverige), att domstolen skall meddela ett ett förhandsavgörande i det vid den nationella domstolen anhängiga brottmålet mot

Bodil Lindqvist,

angående tolkningen av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, s. 31),

meddelar

DOMSTOLEN,



sammansatt av avdelningsordföranden vid tredje och sjätte avdelningen J.-P. Puissochet, tillförordnad ordförande, avdelningsordförandena M. Wathelet och C.W.A. Timmermans samt domarna C. Gulmann, D.A.O. Edward (referent), P. Jann, F. Macken, S. von Bahr, J.N. Cunha Rodrigues och A. Rosas,

generaladvokat: A. Tizzano,
justitiesekreterare: biträdande justitiesekreteraren H. von Holstein,

med beaktande av de skriftliga yttranden som har inkommit från:

--
Bodil Lindqvist, genom advokaten S. Larsson,

--
Sveriges regering, genom A. Kruse, i egenskap av ombud,

--
Nederländernas regering, genom H.G. Sevenster, i egenskap av ombud,

--
Förenade kungarikets regering, genom G. Amodeo, i egenskap av ombud, biträdd av J. Stratford, barrister,

--
Europeiska gemenskapernas kommission, genom L. Ström och X. Lewis, båda i egenskap av ombud,

med hänsyn till förhandlingsrapporten,

efter att muntliga yttranden har avgivits vid förhandlingen den 30 april 2003 av: Bodil Lindqvist, företrädd av S. Larsson, Sveriges regering, företrädd av A. Kruse och B. Hernqvist, i egenskap av ombud, Nederländernas regering, företrädd av J. van Bakel, i egenskap av ombud, Förenade kungarikets regering, företrädd av J. Stratford, kommissionen, företrädd av L. Ström och X. Lewis, och Eftas övervakningsmyndighet, företrädd av D. Sif Tynes, i egenskap av ombud,

och efter att den 19 september 2002 ha hört generaladvokatens förslag till avgörande,

följande



Dom



1
Göta hovrätt har, genom beslut av den 23 februari 2001 som inkom till domstolen den 1 mars samma år, i enlighet med artikel 234 EG ställt sju frågor om tolkningen av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, s. 31).

2
Frågorna har uppkommit i ett brottmål vid den nämnda domstolen mot Bodil Lindqvist, som är anklagad för att ha överträtt den svenska lagstiftningen om skydd av personuppgifter genom att på sin webbblats på Internet ha offentliggjort personuppgifter beträffande ett visst antal personer som, i likhet med henne själv, arbetar ideellt i en församling i svenska kyrkan.

Tillämpliga bestämmelser

De gemenskapsrättsliga bestämmelserna

3
Såsom följer av artikel 1.1 i direktiv 95/46 syftar direktivet i fråga till att skydda skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.

4
Artikel 3 i direktiv 95/46, som avser direktivets tillämpningsområde, har följande lydelse:

'1.
Detta direktiv gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.
Detta direktiv gäller inte för sådan behandling av personuppgifter

--
som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område,

--
av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans hushåll.'

5
I artikel 8 i direktiv 95/46, som har rubriken "Behandlingen av särskilda kategorier av uppgifter", föreskrivs följande:

'1.
Medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.

2.
Punkt 1 gäller inte om

a)
den registrerade har lämnat sitt uttryckliga samtycke till en sådan behandling, utom när det enligt medlemsstatens lagstiftning anges att förbudet i punkt 1 inte kan upphävas genom den registrerades samtycke,

eller

b)
behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda rättigheter som åligger den registeransvarige inom arbetsrätten, i den omfattning detta är tillåtet enligt en nationell lagstiftning som föreskriver lämpliga skyddsåtgärder,

eller

c)
behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller

d)
behandlingen utförs inom ramen för berättigad verksamhet hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut till tredje man utan den registrerades samtycke, eller

e)
behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av den registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.

3.
Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt.

4.
Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse får medlemsstaterna antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i punkt 2.

5.
Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller - om lämpliga skyddsåtgärder finns i nationell lag - med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet.

Medlemsstaterna får föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också skall behandlas under kontroll av en myndighet.

6.
De undantag från punkt 1 som anges i punkterna 4 och 5 skall anmälas till kommissionen.

7.
Medlemsstaterna skall bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas.'

6
I artikel 9 i direktiv 95/46, som har rubriken "Behandling av personuppgifter och yttrandefriheten", stadgas följande:

"Medlemsstaterna skall med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från bestämmelserna i detta kapitel, kapitel IV och kapitel VI endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten."

7
I artikel 13 i direktiv 95/46, vilken har rubriken "Undantag och begränsningar", föreskrivs att medlemsstaterna får begränsa vissa skyldigheter som den registeransvarige har enligt direktivet, bland annat vad gäller information till de berörda personerna, i den mån en sådan begränsning är nödvändiga med hänsyn till exempelvis statens säkerhet, försvaret, allmän säkerhet, ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos Europeiska unionen samt undersökning av eller åtal för brott eller överträdelser av etiska regler som gäller för lagreglerade yrken.

8
Artikel 25 i direktiv 95/46, som ingår i kapitel IV med rubriken "Överföring av personuppgifter till tredje land", har följande lydelse:

'1.
Medlemsstaterna skall föreskriva att överföringen av personuppgifter som är under behandling eller som är avsedda att behandlas efter överföring till tredje land endast får ske om ifrågavarande tredje land -- utan att detta påverkar tillämpningen av de nationella bestämmelser som antagits till följd av de andra bestämmelserna i detta direktiv -- säkerställer en adekvat skyddsnivå.

2.
Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land liksom de regler för yrkesverksamhet och säkerhet som gäller där.

3.
Medlemsstaterna och kommissionen skall informera varandra när de anser att ett tredje land inte erbjuder en adekvat skyddsnivå enligt punkt 2.

4.
Om kommissionen i enlighet med ett sådant förfarande som beskrivs i artikel 31.2 finner att ett tredje land inte erbjuder en sådan adekvat skyddsnivå som beskrivs i punkt 2 i denna artikel, skall medlemsstaterna vidta de åtgärder som är nödvändiga för att hindra överföring av uppgifter av samma slag till ifrågavarande tredje land.

5.
Vid lämpligt tillfälle skall kommissionen inleda förhandlingar för att avhjälpa den situation som uppstått när kommissionen kommit till den slutsats som anges i punkt 4.

6.
Kommissionen kan, i enlighet med det i artikel 31.2 angivna förfarandet, konstatera att ett tredje land genom sin interna lagstiftning eller på grund av de internationella förpliktelser som - särskilt till följd av sådana förhandlingar som anges i punkt 5 och som gäller skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter - åligger landet har en skyddsnivå som är adekvat i den mening som avses i punkt 2 i denna artikel.

Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut.

9
När direktiv 95/46 antogs gjorde Konungariket Sverige i fråga om artikel 9 i denna följande förklaring, som är inskriven i rådets protokoll (rådets dokument nr 4649/95 av den 2 februari 1995):

"Sverige anser att begreppet konstnärliga och litterära uttryck mer syftar på uttrycksmedlen än kommunikationens innehåll eller dess kvalitet."

10
I artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, som ratificerades i Rom den 4 november 1950 (nedan kallad EKMR) föreskrivs rätten till skydd för privat- och familjeliv. I artikel 10 i samma konvention återfinns bestämmelser om yttrandefriheten.

Den nationella lagstiftningen

11
Direktiv 95/46 införlivades med svensk rätt genom personuppgiftslagen (SFS 1998:204, nedan kallad PUL).

Målet vid den nationella domstolen och tolkningsfrågorna

12
Vid sidan av sin anställning som lokalvårdare arbetade Bodil Lindqvist som ledare för konfirmander inom Alseda pastorat (Sverige). Hon deltog i en datakurs. Inom ramen för denna kurs skulle hon bland annat skapa en hemsida på Internet. Mot slutet av år 1998 skapade Bodil Lindqvist hemma hos sig och på sin egen dator hemsidor på Internet i syfta att göra det möjligt för församlingsmedlemmar som förberedde sig för konfirmationen att lätt få den information de behövde. På hennes begäran lade den webbansvarige för Svenska kyrkans webbplats på Internet ut en länk mellan dessa sidor och den nämnda webbplatsen.

13
Hemsidan innehöll vissa uppgifter om Bodil Lindqvist och arton av hennes arbetskamrater inom pastoratet, inklusive deras fullständiga namn och i vissa fall bara förnamn. Därutöver beskrevs, i lätt skämtsamma ordalag, arbetskamratens arbetsuppgifter och fritidsvanor. I flera fall nämndes även familjeförhållanden, telefonnummer och andra uppgifter. Därutöver angav hon att en kvinnlig arbetskamrat hade skadat foten och var halvt sjukskriven.

14
Bodil Lindqvist hade varken informerat sina arbetskamrater om att dessa sidor existerade, inhämtat deras samtycke eller redovisat sitt handlingssätt för Datainspektionen. Hon tog bort de aktuella sidorna så fort hon fick reda på att vissa av hennes kollegor inte uppskattade dem.

15
Åklagaren yrkade ansvar enligt personuppgiftslagen mot Bodil Lindqvist under påstående att hon hade

--
behandlat personuppgifter, vilken behandling varit automatiserad, utan att dessförinnan göra skriftlig anmälan till Datainspektionen (36 § PUL),

--
behandlat känsliga personuppgifter, nämligen dem om en skadad fot och en halv sjukskrivning, utan att detta varit tillåtet (13 § PUL), och

--
till tredje land fört över personuppgifter som varit under behandling utan att detta varit tillåtet (33 § PUL).

16
Bodil Lindqvist vitsordade de faktiska förhållandena men bestridde ansvar. Hon dömdes av Eksjö tingsrätt (Sverige) till böter, men överklagade domen till den hänskjutande domstolen.

17
Böterna uppgick till 4 000 SEK, då beloppet 100 SEK, beräknat utifrån Bodil Lindqvists ekonomiska situation, multiplicerades med 40, vilket motsvarade brottets svårighetsgrad. Bodil Lindqvist förpliktades dessutom att betala 300 SEK till den svenska brottsofferfonden.

18
Göta hovrätt, som inte var säker på hur den på området tillämpliga gemenskapsrätten, bland annat direktiv 95/46, skulle tolkas, beslutade att vilandeförklara målet ställa följande tolkningsfrågor till domstolen:

'1)
Innebär omnämnandet av en person -- med namn eller med namn och telefonnummer -- på en så kallad hemsida på Internet ett förfarande som faller under tillämpningsområdet för direktiv [95/46]? Utgör det en 'behandling av personuppgifter som helt eller delvis företas på automatisk väg', att på en egenhändigt konstruerad hemsida på Internet ange ett antal personer jämte utsagor och påståenden om dessa personers arbetsförhållanden och fritidsintressen med mera?

2)
Om svaret på föregående fråga är nej; kan förfarandet att på en hemsida på Internet upprätta särskilda sidor för ett drygt femtontal personer, med länkar mellan sidorna som möjliggör sökning på förnamn, anses utgöra en sådan 'annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register' som avses i artikel 3 punkt 1?

Om svaret på någon av frågorna är ja, då har hovrätten även följande frågor.

3)
Kan förfarandet att lägga ut uppgifter av nu berört slag om arbetskamrater på en privat hemsida, som dock är åtkomlig för alla med kännedom om hemsidans adress, anses falla utanför ... tillämpningsområde[t för direktiv 95/46] på grund av något av undantagen i artikel 3, punkten 2?

4)
Är uppgift på en hemsida om att en namngiven arbetskamrat har skadat sin fot och är halvt sjukskriven en sådan personuppgift om hälsa som enligt artikel 8 punkt 1 inte får göras till föremål för behandling?

5)
Överföring av personuppgifter till tredje land skall enligt direktiv [95/46] vara förbjudet i vissa fall. Om en person i Sverige med hjälp av dator lägger ut personuppgifter på en hemsida som är lagrad på en server i Sverige -- varvid personuppgifterna blir åtkomliga för medborgare i tredje land -- innebär det en överföring av uppgifter till tredje land i den mening som avses i direktivet? Blir svaret detsamma även om, såvitt känt, inte någon från tredje land rent faktiskt har tagit del av uppgifterna eller om servern i fråga rent fysiskt befinner sig i ett tredje land?

6)
Kan direktivets föreskrifter, i ett fall som det förevarande, anses medföra en begränsning som står i strid med de allmänna principer om yttrandefrihet, eller andra fri- och rättigheter, som gäller inom EU och som har en motsvarighet i bland annat artikel 10 i Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna?

Hovrätten har slutligen följande fråga.

7)
Kan en medlemsstat, i de hänseenden som aktualiserats av de förutvarande frågorna, ha ett mera långtgående skydd för personuppgifter eller ett vidare tillämpningsområde än som följer av direktivet, även om inte något av de i artikel 13 angivna förhållandena föreligger?'

Den första frågan

19
Hovrätten har ställt den första frågan för att få klarhet i huruvida omnämnandet av olika personer -- med namn eller på annat sätt, till exempel med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen -- på en hemsida på Internet utgör en "behandling av personuppgifter som helt eller delvis företas på automatisk väg", i den mening som avses i artikel 3.1 i direktiv 95/46.

Yttranden som har inkommit till domstolen

20
Enligt Bodil Lindqvist är det inte rimligt att bedöma enbart omnämndet av en person eller en personuppgift i text på en hemsida på Internet som automatiserad behandling av uppgifter. Däremot kan omnämndet av sådana uppgifter i ett nyckelord på en hemsidas metatagg, som möjliggör sökning och indexering och gör att man kan finna denna sida genom en sökmotor, utgöra sådan behandling.

21
Den svenska regeringen har gjort gällande att begreppet "behandling av personuppgifter som helt eller delvis företas på automatisk väg" i artikel 3.1 i direktiv 95/46 innefattar all behandling som sker i datorformat, det vill säga i binär form. Detta innebär att så snart en personuppgift behandlas i en dator, antingent i till exempel ett ordbehandlingsprogram eller genom att den läggs ut på en hemsida på Internet, omfattas behandlingen av direktiv 95/46.

22
Den nederländska regeringen har gjort gällande att personuppgifter förs in på hemsidor på Internet med hjälp av en dator och en server, vilket utgör ett viktigt kännetecken för automatisering, varför dessa uppgifter måste anses vara föremål för automatiserad behandling.

23
Kommissionen har hävdat att direktiv 95/46 är tillämplig på all behandling av personuppgifter som avses i artikel 3, oavsett vilka tekniska hjälpmedel som används. Att lägga ut personuppgifter på Internet utgör följaktligen helt eller delvis automatiserad behandling, såvida det inte föreligger några tekniska begränsningar som innebär att behandlingen blir helt manuell. En hemsida på Internet ingår därför till sin natur i tillämpningsområdet för direktiv 95/46.

Domstolens svar

24
Begreppet personuppgifter, som används i artikel 3.1 i direktivet, innefattar i enlighet med definitionen i artikel 2 1 i direktivet i fråga "varje upplysning som avser en identifierad eller identifierbar fysisk person". Detta begrepp omfattar absolut en persons namn tillsammans med dennes telefonnummer eller med uppgifter om vederbörandes arbetsförhållanden eller fritidsintressen.

25
Vad gäller begreppet "behandling" av sådana uppgifter, som används i artikel 3.1 i direktiv 95/46, innefattar detta enligt definitionen i artikel 2 b i direktivet i fråga "varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte". I den sistnämnda bestämmelsen anges flera exempler på sådana åtgärder, bland annat utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter. Följaktligen skall åtgärden att på en hemsida på Internet lägga ut sådana personuppgifter anses utgöra sådan behandling.

26
Det skall även avgöras huruvida denna behandling "helt eller delvis företas på automatisk väg". I detta hänseende noterar domstolen att åtgärden att lägga ut uppgifter på en hemsida på Internet enligt de tekniska dataprocesser som tillämpas förnärvarande innebär att ladda ner denna sida på en server samt de åtgärder som är nödvändiga för att göra denna sida tillgänglig för personer som har kopplat upp sig på Internet. Dessa transaktioner görs åtminstone delvis på automatisk väg.

27
Den första frågan skall således besvaras så, att omnämnandet av olika personer -- med namn eller på annat sätt, till exempel med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen -- på en hemsida på Internet utgör en "behandling av personuppgifter som helt eller delvis företas på automatisk väg", i den mening som avses i artikel 3.1 i direktiv 95/46.

Den andra frågan

28
Eftersom den första frågan har besvarats jakande saknas det anledning att besvara den andra frågan, som endast ställdes för det fall den första frågan skulle besvaras nekande.

Den tredje frågan

29
Den nationella domstolen har ställt den tredje frågan för att få klarhet i huruvida en sådan behandling av personuppgifter som den som avses i den första frågan omfattas av något av de undantag som återfinns i artikel 3.2 i direktiv 95/46.

Yttranden som har inkommit till domstolen

30
Bodil Lindqvist anser att en privatperson, som med utnyttjande av sin yttrandefrihet upprättar hemsidor på Internet inom ramen för en verksamhet som är ideell eller av hobbykaraktär inte kan omfattas av gemenskapsrätten. Om domstolen kommer till motsatt slut uppkommer fråga om direktiv 95/46 är giltigt, eftersom gemenskapslagstiftaren i så fall har överskridit sina befogenheter enligt artikel 100a i EG-fördraget (nu artikel 95 EG i ändrad lydelse). Tillnärmningen av lagstiftning, vars ändamål är att den inre marknaden skall upprättas och fungera, kan inte utgöra rättslig grund för gemenskapsrättsliga bestämmelser som reglerar privatpersoners yttrandefrihet på Internet.

31
Den svenska regeringen har gjort gällande att den svenska lagstiftaren vid genomförandet av direktiv 95/46 har utgått från att en privatpersons behandling av personuppgifter som innebär att uppgifterna förmedlas till ett obestämt antal personer, till exempel via Internet, inte kan kvalificeras som "verksamhet av rent privat natur eller som har samband med hans hushåll" i den mening som avses i artikel 3.2 andra strecksatsen i direktiv 95/46. Däremot har denna regering inte uteslutit att det undantg som föreskrivs i första strecksatsen i samma artikel omfattar den situationen att en privatperson lägger ut personuppgifter på sin hemsida på Internet när detta sker som led i en verksamhet som enbart är ett uttryck för yttrandefriheten och helt saknar anknytning till någon kommersiell eller yrkesmässig verksamhet.

32
Enligt den nederländska regeringen omfattas en sådan behandling på automatisk väg av uppgifter som den som är i fråga i målet vid den nationella domstolen inte av något av de undantag som avses i artikel 3.2 i direktiv 95/46. Vad närmare bestämt gäller det undantag som föreskrivs i andra strecksatsen i denna punkt har den nederländska regeringen noterat att den som skapar en hemsida på Internet bringar de uppgifter som läggs ut där till en i princip obestämd grupp personers kännedom.

33
Kommissionen har gjort gällande att en sådan hemsida på Internet som den som är i fråga i målet vid den nationella domstolen inte kan anses falla utanför tillämpningsområdet för direktiv 95/46 enligt artikel 3.2 i detta direktiv, utan, med hänsyn till syftet med den hemsida på Internet som är i fråga i målet vid den nationella domstolen, utgör "konstnärligt eller litterärt skapande", i den mening som avses i artikel 9 i det nämnda direktivet.

34
Enligt kommissionens uppfattning kan artikel 3.2 första strecksatsen i direktiv 95/46 tolkas på två olika sätt. Den ena tolkningen är att denna bestämmelses räckvidd begränsas till de områden som nämns såsom exempel, det vill säga verksamheter som väsentligen omfattas av vad som har överenskommits att kalla den andra och den tredje pelaren. Den andra tolkningen är att utesluta utövning av all verksamhet som inte omfattas av gemenskapsrätten från tillämpningsområdet för direktiv 95/46.

35
Kommissionen har hävdat att gemenskapsrätten inte endast omfattar sådan ekonomisk verksamhet som är knuten till de fyra grundläggande friheterna. Den har hänvisat till den rättsliga grunden för direktiv 95/46, till dess målsättning, till artikel 6 EU, till Europeiska unionens stadga om de grundläggande rättigheterna, som utfärdades i Nice den 18 december 2000 (EGT C 364, s. 1) och till Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter och dragit slutsatsen att detta direktiv syftar till att reglera det fria flödet av personuppgifter såsom utövning inte bara av en ekonomisk verksamhet, utan även av en social verksamhet inom ramen för den inre marknadens fullbordane och funktion.

36
Den har tillagt att det skulle kunna medföra allvarliga avgränsningsproblem att generellt utesluta de hemsidor på Internet som inte innehåller någon kommersiell faktor eller någon faktor som avser tillhandahållande av tjänster från tillämpningsområdet för direktiv 95/46. Ett stort antal hemsidor på Internet som innehåller personuppgifter vilka är avsedda att stigmatisera vissa personer i särskilda syften skulle då kunna bli uteslutna från direktivets tillämpningsområde.

Domstolens svar

37
I artikel 3.2 i direktiv 95/46 återfinns två undantag från direktivets tillämpningsområde.

38
Det första undantaget avser sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område.

39
Då Bodil Lindqvists i målet vid den nationella domstolen aktuella verksamhet väsentligen inte är ekonomisk, utan ideell och religiös, finns det anledning att pröva huruvida denna verksamhet utgör sådan behandling av personuppgifter "som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten" i den mening som avses i artikel 3.2 första strecksatsen i direktiv 95/46.

40
Domstolen har i fråga om direktiv 95/46, som har utfärdats med stöd av artikel 100a i fördraget, redan fastställt att det inte utgör någon förutsättning för att använda denna rättsliga grund att det föreligger något faktiskt samband med den fria rörligheten mellan medlemsstaterna i varje situation som avses med den rättsakt som har en sådan grund (se dom av den 20 maj 2003 i de förenade målen C-465/00, C-138/01 och C-139/01, Österreichischer Rundfunk m.fl., REG 2003, s. I-0000, och där angiven rättspraxis).

41
Motsatt tolkning skulle innebära en risk för att gränserna för det nämnda direktivets tillämpningsområde skulle bli synnerligen osäkra och vaga, vilket skulle motverka direktivets huvudsakliga syfte, vilket är tillnärmning av bestämmelser i medlemsstaternas lagar och andra författningar i syfte att undanröja de hinder för att den inre marknaden skall fungera som följer just av att det föreligger skillnader mellan de olika nationella lagstiftningarna (domen i de ovan nämnda förenade målen Österreichischer Rundfunk m.fl., punkt 42).

42
Under dessa omständigheter är det inte lämpligt att tolka uttrycket "verksamhet som inte omfattas av gemenskapsrätten" så, att det har en sådan räckvidd att det från fall till fall måste kontrolleras huruvida den specifika verksamhet som är i fråga direkt påverkar den fria rörligheten mellan medlemsstaterna.

43
Den verksamhet som nämns såsom exempel i artikel 3.2 första strecksatsen i direktiv 95/46(det vill säga sådan verksamhet som avses i avdelningarna V och VI i fördraget om Europeiska unionen och behandlingar som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område) är i samtliga fall statens eller statloiga myndigheters verksamhet och har ingenting att göra med enskildas verksamhetsområden.

44
Domstolen finner således att de verksamheter som nämns såsom exempel vi artikel 3.2 första strecksatsen i direktiv 95/46 är avsedda att definiera räckvidden av det där föreskrivna undantaget, varför detta undantag endast är tillämpligt på sådan verksamhet som uttryckligen nämns där eller som kan placeras i samma kategori ("ejusdem generis").

45
Sådan ideell eller religiös verksamhet som den som Bodil Lindqvist utövar kan emellertid inte likställas med den verksamhet som nämns i artikel 3.2 första strecksatsen i direktiv 95/46 och omfattas således inte av detta undantag.

46
Vad gäller det undantag som föreskrivs i artikel 3.2 andra strecksatsen i direktiv 95/46 nämns i tolfte skälet i direktivet i fråga korrespondens eller förande av adressregister såsom exempel på en fysisk persons behandling av uppgifter uteslutande för personliga ändamål eller för hemmabruk.

47
Detta undantag skall således tolkas så, att det endast avser sådan verksamhet som utgör en del av enskildas privat- eller familjeliv, vilket uppenbart inte är fallet i fråga om sådan behandling av personuppgifter som består i att de offentliggörs på Internet för att dessa uppgifter skall bli tillgängliga för ett obestämt antal personer.

48
Den tredje frågan skall således besvaras så, att sådan behandling av personuppgifter som den som nämns i svaret på den första frågan inte omfattas av något av de undantag som nämns i artikel 3.2 i direktiv 95/46.

Den fjärde frågan

49
Den hänskjutande domstolen har ställt den fjärde frågan för att få klarhet i huruvida en uppgift om att en person har skadat sin fot och är halvt sjukskriven utgör en personuppgift om hälsa, i den mening som avses i artikel 8.1 i direktiv 95/46.

50
Med hänsyn till syftet med detta direktiv skall uttrycket "uppgifter som rör hälsa", vilket används i artikel 8.1 i direktivet i fråga, ges en vid tolkning och anses omfatta uppgifter som rör alla aspekter, såväl fysiska som psykiska, av en persons hälsa.

51
Den fjärde frågan skall således besvaras så, att en uppgift om att en person har skadat sin fot och är halvt sjukskriven utgör en personuppgift om hälsa, i den mening som avses i artikel 8.1 i direktiv 95/46.

Den femte frågan

52
Den hänskjutande domstolen har ställt den femte frågan för att få klarhet i huruvida det föreligger en "överföring av ... uppgifter till tredje land" i den mening som avses i artikel 25 i direktiv 95/46 när en person som befinner sig i en medlemsstat lägger ut personuppgifter på en hemsida som är lagrad hos en fysisk eller juridisk person som har den webbplats där hemsidan kan läsas (nedan kallad den som tillhandahåller servertjänster) och som är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land. Den hänskjutande domstolen önskar vidare få klarhet i huruvida svaret på denna fråga blir detsamma när det framgår att ingen från tredje land rent faktiskt har tagit del av dessa uppgifter eller om servern där sidan är lagrad rent fysiskt befinner sig i ett tredje land.

Yttranden som har inkommit till domstolen

53
Kommissionen och den svenska regeringen anser att det utgör en överföring av uppgifter till tredje land i den mening som avses i direktiv 95/46 att med hjälp av dator lägga ut personuppgifter på en hemsida på Internet och därmed göra personuppgifterna åtkomliga för medborgare i tredje land. Svaret blir detsamma även om ingen från något tredje land rent faktiskt har tagit del av uppgifterna eller om servern där uppgifterna har lagrats rent fysiskt befinner sig i ett tredje land.

54
Den nederländska regeringen har erinrat om att begreppet överföring inte definieras i direktiv 95/46. Den anser dels att detta begrepp skall förstås så, att det avser en handling som avsiktligen syftar till att överföra personuppgifter från en medlemsstats territorium till ett tredje land, dels att ingen åtskillnad kan göras mellan de olika former i vilka uppgifterna göra åtkomliga för utomstående. Av detta har regeringen i fråga dragit slutsatsen att det inte kan anser utgöra en överföring till tredje land av personuppgifter i den mening som avses i artikel 25 i direktiv 95/46 att med hjälp av den dator lägga ut personuppgifter på en hemsida på Internet.

55
Förenade kungarikets regering har gjort gällande att artikel 25 i direktiv 95/46 avser överföring av uppgifter till tredje land och inte uppgifternas åtkomlighet från tredje land. Begreppet överföring förutsätter att en uppgift har överförts av en person som befinner sig på en viss ort till en person som befinner sig på annan ort. Det är endast om en sådan överföring har skett som medlemsstaterna enligt artikel 25 i direktiv 95/46 är skyldiga att tillse att skyddsnivån för personuppgifter i ett tredje land är adekvat.

Domstolens svar

56
Varken i artikel 25 i direktiv 95/46 eller i någon annan bestämmelse i direktivet i fråga, särskilt inte i artikel 2 i detta, definieras begreppet överföring till tredje land.

57
För att avgöra huruvida det utgör en "överföring" av personuppgifter till tredje land i den mening som avses i artikel 25 i direktiv 95/46 att lägga ut personuppgifter på en hemsida på Internet redan av den anledningen att detta gör uppgifterna åtkomliga för personer som befinner sig i tredje land är det nödvändigt att beakta dels de sålunda genomförda transaktionernas tekniska natur, dels systematiken i kapitel IV i det nämnda direktivet, där artikel 25 i detta återfinns.

58
De uppgifter som finns på Internet kan nästan när som helst konsulteras av ett obegränsat antal personer vilka befinner sig på en mängd olika ställen. Att dessa uppgifter är av allestädes närvarande karaktär framgår bland annat av det förhållandet att de tekniska medel som används inom ramen för Internet är relativt enkla och blir billigare och billigare.

59
Förutsättningarna för att använda Internet, så som de har blivit för enskilda som Bodil Lindqvist under 1990-talet, innebär att den som upprättar en hemsida som skall läggas ut på Internet överför de uppgifter som denna sida består i till den som tillhandahåller honom servertjänster. Denne sköter den datorinfrastruktur som krävs för att säkerställa att dessa uppgifter lagras och att för att den server på vilken webbplatsen är utlagd ansluts till Internet. Detta möjliggör att dessa uppgifter senare kan sändas till alla som har kopplat upp sig på Internet och bett att få del av dem. De datorer som utgör denna datorinfrastruktur kan ligga i ett eller flera andra länder än det där den som tillhandahåller servertjänster befinner sig, och gör det till och med ofta, utan att de som erhåller servertjänster känner till detta eller rimligen kan känna till det.

60
Av handlingarna i målet framgår att en Internetanvändare inte bara måste koppla upp sig på de hemsidor på Internet där Bodil Lindqvist hade lagt ut uppgifter om sina kollegor fär att få del av dessa uppgifter. För att kunna få del av dem måste han även personligen vidta de åtgärder som krävs för att kunna läsa dessa hemsidor. med andra ord innehöll Bodil Lindqvists hemsidor på Internet inte de tekniska mekanismer som skulle ha gjort det möjligt att automatiskt skicka dessa uppgifter till personer som inte avsiktligen hade försökt få tillgång till dessa sidor.

61
Härav följer att personuppgifter som under sådana omständigheter som de i förevarande mål kommer till en dator som tillhör en person som befinner sig i ett tredje land från en person som har laddat ned dem från en hemsida på Internet inte har överförts direkt mellan två personer, utan genom den persons datorinfrastruktur som tillhandahåller den server där sidan är lagrad.

62
I detta sammanhang är det nödvändigt att pröva huruvida gemenskapslagstiftaren hade avsikten att för tillämpningen av kapitel IV i direktiv 95/46 låta begreppet "[ö]verföring av ...uppgifter till tredje land", i den mening som avses i artikel 25, omfatta sådana transaktioner som de som Bodil Lindqvist har genomfört. Det bör understrykas att den hänskjutande domstolens femte fråga endast avser dessa transaktioner, och inte de transaktioner som genomförts av dem som tillhandahåller servertjänsten.

63
Genom kapitel IV i direktiv 95/46, vari artikel 25 ingår, införs en speciell ordning, som innehåller speciella bestämmelser vilka syftar till att säkerställa att medlemsstaterna har kontroll över överföringen av personuppgifter till tredje land. Genom detta kapitel införs ett system som kompletterar det allmänna system som införts genom kapitel II i det nämnda direktivet, vilket kapitel avser frågan när personuppgifter får behandlas.

64
Syftet med kapitel IV definieras i femtiosjätte till sextionde skälet i direktiv 95/46, vari bland annat anges att det skydd som genom detta direktiv tillförsäkras personer inom gemenskapen visserligen inte hindrar att personuppgifter överförs till sådana tredje länder som garanterar en adekvat skyddsnivå, men att frågan om skyddsnivåns adekvans skall bedömas med hänsyn till alla de omständigheter som har samband med en överföring eller en grupp av överföringar. Om ett tredje land inte garanterar en adekvat skyddsnivå skall överföring av personuppgifter till det landet förbjudas.

65
I artikel 25 i direktiv 95/46 uppställs en rad skyldigheter för medlemsstaterna och kommissionen vilka syftar till att kontrollera överföringen av personuppgifter till tredje länder med beaktande av den skyddsnivå som sådana uppgifter ges i vart och ett av dessa länder.

66
I artikel 25.4 i direktiv 95/46 föreskrivs närmare bestämt att medlemsstaterna, när kommissionen finner att ett tredje land inte erbjuder en adekvat skyddsnivå, skall vidta de åtgärder som är nödvändiga för att hindra överföring av personuppgifter till ifrågavarande tredje land.

67
Kapitel IV i direktiv 95/46 innehåller inga bestämmelser om Internetanvändning. I detta kapitel anges inte vilka kriterierna är för att avgöra huruvida man vid bedömningen av de transaktioner som har genomförts av den mellanhand som har tillhandahållit servertjänster skall lägga till grund den ort där tjänsteleverantören är etablerad, den ort där hans företag har sitt säte eller den ort där de datorer befinner sig vilka utgör tjänsteleverantörens datorinfrastruktur.

68
Med hänsyn dels till det stadium på vilket Internets utveckling befann sig vid den tidpunkt då direktiv 95/46 utarbetades, dels till att det inte i kapitel IV i direktivet föreligger några kriterier som är tillämpliga på Internetanvändning kan det inte presumeras att gemenskapslagstiftaren hade för avsikt att med tanke på framtiden låta inskrivning av en person i Bodil Lindqvists situation av uppgifter på en hemsida på Internet omfattas av begreppet överföring av uppgifter till tredje land, även om dessa på detta sätt blir åtkomliga för sådana personer i tredje land som har de tekniska möjligheterna att få tillgång till hemsidan.

69
Om artikel 25 i direktiv 95/46 tolkas på så sätt att det föreligger en "överföring av ... uppgifter till tredje land" varje gång personuppgifter läggs ut på en hemsida på Internet skulle denna överföring med nödvändighet vara en överföring till tredje länder där det finns teknisk möjlighet att få tillgång till Internet. Specialbestämmelserna i kapitel IV i det nämnda direktivet skulle då med nödvändighet, vad gäller transaktioner på Internet, bli ett generellt tillämpligt system. När kommissionen med tillämpning av artikel 25.4 i direktiv 95/46 konstaterade att det fanns ett enda tredje land som inte säkerställer en adekvat skyddsnivå skulle medlemsstaterna nämligen vara skyldiga att hindra att personuppgifter över huvud taget lades ut på Internet.

70
Vid sådant förhållande kan den slutsatsen dras att artikel 25 i direktiv 95/46 skall tolkas så, att sådana transaktioner som dem som Bodil Lindqvist har genomfört inte i sig utgör en "överföring av ... uppgifter till tredje land". Det är således inte nödvändigt att utreda huruvida en person från ett tredje land har haft tillgång till den berörda hemsidan på Internet eller huruvida denne tjänsteleverantörs server rent fysiskt befinner sig i ett tredje land.

71
Den femte frågan skall således besvaras så, att det inte föreligger någon "överföring av ... uppgifter till tredje land" i den mening som avses i artikel 25 i direktiv 95/46 när en person som befinner sig i en medlemsstat lägger ut personuppgifter på en hemsida som är lagrad hos den som tillhandahåller honom servertjänster, vilken är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land.

Den sjätte frågan

72
Den hänskjutande domstolen har ställt den sjätte frågan för att få klarhet i huruvida bestämmelserna i direktiv 95/46, i ett fall som det förevarande, kan anses medföra en begränsning som står i strid med den allmänna principen om yttrandefrihet, eller andra fri- och rättigheter, som gäller inom Europeiska unionen och som har en motsvarighet i bland annat den rättighet som föreskrivs i artikel 10 i EKMR.

Yttranden som har inkommit till domstolen

73
Bodil Lindqvist har hänvisat bland annat till dom av den 6 mars 2001 i mål C-274/99 P, Connolly mot kommissionen (REG 2001, s. I-1611), och gjort gällande att direktivet och PUL strider mot den i gemenskapsrätten erkända allmänna principen om yttrandefrihet i den del det i dem föreskrivs krav på att samtycke skall lämnas på förhand och på förhandsanmälan till tillsynsmyndighet och en princip om förbud mot behandling av känsliga personuppgifter. Närmare bestämt har hon hävdat att definitionen av "behandling av personuppgifter som helt eller delvis företas på automatisk väg" inte uppfyller förutsebarhetskriteriet eller precisionskriteriet.

74
Därutöver kan enligt Bodil Lindqvists mening själva omnämnandet av en fysisk person och dennes namn, telefonnummer, arbetsförhållanden och lämnande av uppgifter som rör hälsa, som är allmänt tillgängliga, allmänt kända eller triviala inte anses utgöra en substantiell kränkning av rätten till skydd för privatlivet. Hon anser att de krav som uppställs i direktiv 95/46 inte står i proportion till det eftersträvade syftet att skydda annans goda namn och rykte och privatliv.

75
Den svenska regeringen anser att det är tillåtet enligt direktiv 95/46 att göra en avvägning mellan de ifrågavarande intressena genom vilken yttrandefriheten och skyddet av privatlivet kan upprätthållas. Den har tillagt att bedömningen av om den inskränkning i yttrandefriheten som tillämpningen av bestämmelserna kan innebära står i proportion till skyddet för annans rättigheter endast kan göras av den nationella domstolen med beaktande av omständigheterna i det enskilda fallet.

76
Den nederländska regeringen har erinrat om att såväl yttrandefriheten som rätten till respekt för privatlivet ingår bland de allmänna rättsprinciper som domstolen skall tillse efterlevnaden av och att det inte i EKMR görs någon rangordning mellan de olika grundläggande rättigheterna. Regeringen i fråga anser följaktligen att den nationella domstolen måste bemöda sig om att göra de olika aktuella grundläggande rättigheterna förenliga med varandra med beaktande av omständigheterna i det enskilda fallet.

77
Förenade kungarikets regering har noterat att dess förslag till svar på den femte frågan, för vilket domstolen har redogjort i punkt 55 i förevarande dom, är fullständigt förenlig med de grundläggande rättigheterna och gör det möjligt att undvika att yttrandefriheten åsidosätts på ett sätt som strider mot proportionalitetsprincipen. Regeringen i fråga har tillagt att det är svårt att motivera en tolkning som innebär att publicering av personuppgifter i en viss form, det vill säga på en hemsida på Internet, blir föremål för mycket strängare inskränkningar än de som är tillämpliga på publiceringar som sker i annan form, exempelvis på papper.

78
Kommissionen har även hävdat att direktiv 95/46 inte medför någon inskränkning som strider mot den allmänna principen om yttrandefrihet eller mot andra rättigheter och friheter som är tillämpliga inom Europeiska unionen och som bland annat motsvarar den rättighet som föreskrivs i artikel 10 EKMR.

Domstolens svar

79
Av sjunde skälet i direktiv 95/46 följer att skillnaderna mellan de nationella lagar och andra författningar som är tillämpliga på behandling av personuppgifter kan inverka allvarligt på upprättandet av den inre marknaden och hur denna fungerar. Enligt tredje skälet i samma direktiv skall ändamålet för harmoniseringen av dessa nationella bestämmelser inte bara vara ett fritt flöde av dessa uppgifter mellan medlemsstaterna, utan även att skydda personers grundläggande rättigheter. Dessa målsättningar kan givetvis komma i konflikt med varandra.

80
Å ena sidan kommer den ekonomiska och sociala integration som är en följd av upprättandet av den inre marknaden och dennas funktion med nödvändighet att leda till en betydande ökning av flödet av personuppgifter mellan samtliga aktörer på de ekonomiska och samhälleliga områdena, oavsett om det är fråga om företag eller medlemsstaternas myndigheter. De nämnda aktörerna behöver i viss mån ha tillgång till personuppgifter för att genomföra sina transaktioner eller för att utföra sina arbetsuppgifter inom det område utan inre gränser som den inre marknaden innebär.

81
Å andra sidan begär de personer som berörs av behandlingen av personuppgifter med rätta att dessa uppgifter skall skyddas effektivt.

82
De mekanismer som gör det möjligt att göra en avvägning mellan dessa olika rättigheter och intressen är för det första inskrivna i direktiv 95/46 självt, i den del i direktivet föreskrivs regler som avgör i vilka situationer och i vilken mån det är tillåtet att behandla personuppgifter och vilket skydd som skall föreskrivas, och följer för det andra av att medlemsstaterna har antagit nationella bestämmelser vilka säkerställer att detta direktiv genomförs och av de nationella myndigheternas eventuella tillämpning av dessa regler.

83
Vad beträffar själva direktivet 95/46 är bestämmelserna i det med nödvändighet relativt allmänna med hänsyn till att de skall tillämpas på ett stort antal mycket olikartade situationer. I motsats till vad Bodil Lindqvist har anfört är det således med rätta som detta direktiv innehåller regler som karaktäriseras av en viss tänjbarhet och som det i direktivet i fråga i många fall överlåts till medlemsstaterna att fastställa detaljerna eller att välja bland de möjligheter som finns.

84
Det är riktigt att medlemsstaterna i många avseenden har ett betydande handlingsutrymme när de skall införliva direktiv 95/46. Det finns dock ingenting som medför att bestämmelserna i detta direktiv brister i förutsebarhet eller att bestämmelserna som sådana strider mot de allmänna gemenskapsrättsliga principerna, särskilt inte mot de grundläggande rättigheter som skyddas genom gemenskapens rättsordning.

85
Det är snarare på det stadium när de bestämmelser genom vilka direktiv 95/46 har införlivats tillämpas i enskilda fall som en rättvis avvägning mellan de rättigheter och intressen som är i fråga skall göras.

86
I detta sammanhang har de grundläggande rättigheterna en särskild betydelse, såsom visas av målet vid den nationella domstolen, där det sammanfattningsvis måste göras en avvägning mellan å ena sidan Bodil Lindqvists yttrandefrihet i sitt arbete som handledare för konfirmander samt friheten att utöva verksamhet som bidrar till det religiösa livet, och å andra sidan skyddet av privatlivet för de personer om vilka Bodil Lindqvist har lagt ut uppgifter på sin webbplats på Internet.

87
Följaktligen ankommer det på myndigheterna och domstolarna i medlemsstaten inte bara att tolka sin nationella rätt på ett sätt som står i överensstämmelse med direktiv 95/46, utan även att se till att inte grunda sig på en tolkning av detta direktiv som skulle stå i strid med de grundläggande rättigheter som skyddas genom gemenskapens rättsordning eller med andra allmänna gemenskapsrättsliga principer, såsom bland annat proportionalitetsprincipen.

88
Visserligen kräver skyddet av privatlivet att effektiva sanktionsåtgärder tillämpas gentemot personer som behandlar personuppgifter på ett sätt som inte överensstämmer med direktiv 95/46, men sådana sanktionsåtgärder måste alltid stå i överensstämmelse med proportionalitetsprincipen. Detta gäller i desto högre grad som det är uppenbart att tillämpningsområdet för direktiv 95/46 är mycket vidsträckt och att skyldigheterna för personer som behandlar personuppgifter är många och betydande.

89
I enlighet med proportionalitetsprincipen ankommer det på den hänskjutande domstolen att beakta alla omständigheterna i det mål som är anhängigt vid den, bland annat under hur lång tid överträdelsen av de regler genom vilka direktiv 95/46 har pågått samt hur viktigt det är för de berörda att de uppgifter som har spritts skyddas.

90
Den sjätte frågan skall således besvaras så, att bestämmelserna i direktiv 95/46 inte i sig utgör en begränsning som står i strid med den allmänna principen om yttrandefrihet, eller andra fri- och rättigheter, som gäller inom Europeiska unionen och som har en motsvarighet i bland annat artikel 10 i EKMR. Det ankommer på de nationella myndigheter och domstolar som skall tillämpa de nationella bestämmelser genom vilka direktiv 95/46 har införlivats att garantera en rättvis balans mellan de rättigheter och skyldigheter som är i fråga, inklusive de grundläggande rättigheter som skyddas genom gemenskapens rättsordning.

Den sjunde frågan

91
Den hänskjutande domstolen har ställt den sjunde frågan för att få klarhet i huruvida medlemsstaterna får föreskriva ett starkare skyd av personuppgifter eller ett mer omfattande tillämpningsområde än vad som följer av direktiv 95/46.

Yttranden som har inkommit till domstolen

92
Den svenska regeringen har hävdat att det i direktiv 95/46 inte endast föreskrivs minimikrav på skydd av personuppgifter. Inom ramen för införlivande av detta direktiv är medlemsstaterna skyldiga att genomföra den skyddsnivå som föreskrivs i direktivet och får inte föreskriva ett starkare eller svagare skydd. Det handlingsutrymme som medlemsstaterna vid det nämnda införlivandet har för att i sin nationella rätt ange de allmänna villkoren för att få behandla personuppgifter skall dock beaktas.

93
Den nederländska regeringen har gjort gällande att direktiv 95/46 inte utgör hinder för att medlemsstaterna föreskriver ett starkare skydd på vissa områden. Exempelvis följer det av artiklarna 10, 11.1, 14 första stycket a, 17.3, 18.5 och 19.1 i det nämnda direktivet att medlemsstaterna kan föreskrivare ett starkare skydd. Därutöver är medlemsstaterna fria att även tillämpa principerna i direktiv 95/46 på verksamhet som inte ingår i direktivets tillämpningsområde.

94
Kommissionen har gjort gällande att direktiv 95/46 har artikel 100a i fördraget som grund och att en medlemsstat, om den önskar bibehålla eller införa bestämmelser som avviker från ett sådant harmoniseringsdirektiv, är skyldig att i enlighet med artikel 95.4 EG eller med artikel 95.5 EG anmäla dessa till kommissionen. Kommissionen har följaktligen hävdat att en medlemsstat inte kan föreskriva ett mer omfattande skydd för personuppgifter eller ett mer omfattande tillämpningsområde än vad som följer av det nämnda direktivet.

Domstolens svar

95
Såsom följer av bland annat åttonde skälet i direktiv 95/46 syftar direktivet i fråga till att göra skyddsnivån när det gäller personers fri- och rättigheter med avseende på behandlingen av personuppgifter likvärdig i alla medlemsstater. I tionde skälet tilläggs att tillnärmningen av de nationella lagstiftningar som är tillämpliga på området inte får medföra någon inskränkning i det skydd de ger, utan skall i stället syfta till att garantera en hög skyddsnivå inom gemenskapen.

96
Harmoniseringen av de nämnda nationella lagstiftningarna inskränker sig således inte till en minimiharmonisering, utan leder till en i princip fullständig harmonisering. Det är i detta perspektiv som direktiv 95/46 avser att säkerställa det fria flödet av personuppgifter och att samtidigt garantera en hög skyddsnivå för rättigheter och intressen för de personer som dessa uppgifter avser.

97
Det är riktigt att medlemsstaterna i direktiv 95/46 tillerkänns ett handlingsutrymme på vissa områden och att de enligt direktivet får bibehålla eller införa särregleringar för specifika situationer. Ett stort antal av bestämmelserna i direktivet vittnar om detta. Sådana möjligheter skall dock användas på det sätt som föreskrivs i direktiv 95/46 och i enlighet med syftet med detta direktiv, nämligen att bibehålla en balans mellan det fria flödet av personuppgifter och skyddet för privatlivet.

98
Däremot hindrar ingenting att en medlemsstat utökar räckvidden av den nationella lagstiftning varigenom bestämmelserna i direktiv 95/46 har införlivats till att omfatta områden som inte ingår i direktivets tillämpningsområde, såvida ingen annan gemenskapsrättslig bestämmelse utgör hinder för detta.

99
Mot bakgrund av ovanstående skall den sjunde frågan besvaras så, att de åtgärder som medlemsstaterna vidtar för att säkerställa skyddet av personuppgifter skall stå i överensstämmelse med såväl bestämmelserna i direktiv 95/46 som med dess målsättning att upprätthålla en balans mellan det fria flödet av personuppgifter och skyddet för privatlivet. Däremot hindrar ingenting att en medlemsstat utökar räckvidden av den nationella lagstiftning varigenom bestämmelserna i direktiv 95/46 har införlivats till att omfatta områden som inte ingår i direktivets tillämpningsområde, såvida ingen annan gemenskapsrättslig bestämmelse utgör hinder för detta.


Rättegångskostnader

100
De kostnader som har förorsakats Sveriges, Nederländernas och Förenade kungarikets regering samt kommissionen och Eftas övervakningsmyndighet, vilka har inkommit med yttranden till domstolen, är inte ersättningsgilla. Eftersom förfarandet i förhållande till parterna i målet vid den nationella domstolen utgör ett led i beredningen av samma mål, ankommer det på den nationella domstolen att besluta om rättegångskostnaderna.

På dessa grunder beslutar

DOMSTOLEN

-- angående de frågor som genom beslut av den 23 februari 2002 har ställts av Göta hovrätt -- följande dom:

1)
Omnämnandet av olika personer -- med namn eller på annat sätt, till exempel med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen -- på en hemsida på Internet utgör en "behandling av personuppgifter som helt eller delvis företas på automatisk väg", i den mening som avses i artikel 3.1 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

2)
Sådan behandling av personuppgifter omfattas inte av något av de undantag som nämns i artikel 3.2 i direktiv 95/46.

3)
En uppgift om att en person har skadat sin fot och är deltidssjukskriven utgör en personuppgift om hälsa, i den mening som avses i artikel 8.1 i direktiv 95/46.

4)
Det föreligger inte någon "överföring av ... uppgifter till tredje land" i den mening som avses i artikel 25 i direktiv 95/46 när en person som befinner sig i en medlemsstat lägger ut personuppgifter på en hemsida på Internet som är lagrad hos en fysisk eller juridisk person som har den webbplats där sidan kan konsulteras och som är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land.

5)
Bestämmelserna i direktiv 95/46 utgör inte i sig en begränsning som står i strid med den allmänna principen om yttrandefrihet, eller andra fri- och rättigheter, som gäller inom Europeiska unionen och som har en motsvarighet i bland annat artikel 10 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, som ratificerades i Rom den 4 november 1950. Det ankommer på de nationella myndigheter och domstolar som skall tillämpa de nationella bestämmelser genom vilka direktiv 95/46 har införlivats att garantera en rättvis balans mellan de rättigheter och skyldigheter som är i fråga, inklusive de grundläggande rättigheter som skyddas genom gemenskapens rättsordning.

6)
De åtgärder som medlemsstaterna vidtar för att säkerställa skyddet av personuppgifter skall stå i överensstämmelse med såväl bestämmelserna i direktiv 95/46 som med dess målsättning att upprätthålla en balans mellan det fria flödet av personuppgifter och skyddet för privatlivet. Däremot hindrar ingenting att en medlemsstat utökar räckvidden av den nationella lagstiftning varigenom bestämmelserna i direktiv 95/46 har införlivats till att omfatta områden som inte ingår i direktivets tillämpningsområde, såvida ingen annan gemenskapsrättslig bestämmelse utgör hinder för detta.

Puissochet

Wathelet

Timmermans

Gulmann

Edward

Jann

Macken

von Bahr

Cunha Rodrigues

Avkunnad vid offentligt sammanträde i Luxemburg den 6 november 2003.

R. Grass

V. Skouris

Justitiesekreterare

Ordförande

1 -
Rättegångsspråk: svenska.