CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:7

DOMSTOLENS DOM (Tredje Afdeling)

11. januar 2024 (*)

»Præjudiciel forelæggelse – tilnærmelse af lovgivningerne – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) – forordning (EU) 2016/679 – artikel 4, nr. 7) – begrebet »dataansvarlig« – en medlemsstats statstidende – pligt til at offentliggøre selskabsdokumenter som sådanne, der er udarbejdet af disse selskaber eller deres retlige repræsentanter – artikel 5, stk. 2 – flere forskellige personers eller enheders successive behandling af de personoplysninger, der er indeholdt i sådanne dokumenter – fastlæggelse af ansvar«

I sag C-231/22,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af cour d’appel de Bruxelles (appeldomstolen i Bruxelles, Belgien) ved afgørelse af 23. februar 2022, indgået til Domstolen den 1. april 2022, i sagen

État belge

mod

Autorité de protection des données (ADP),

procesdeltager:

LM,

har

DOMSTOLEN (Tredje Afdeling),

sammensat af afdelingsformanden, K. Jürimäe, og dommerne N. Piçarra, M. Safjan (refererende dommer), N. Jääskinen og M. Gavalec,

generaladvokat: L. Medina,

justitssekretær: fuldmægtig C. Strömholm,

på grundlag af den skriftlige forhandling og efter retsmødet den 23. marts 2023,

efter at der er afgivet indlæg af:

– Autorité de protection des données (ADP) ved avocates F. Biebuyck og P.Van Muylder samt advocaat E. Kairis,

– den belgiske regering ved P. Cottin, J.-C. Halleux og C. Pochet, som befuldmægtigede, bistået af avocats S. Kaisergruber og P. Schaffner,

– den ungarske regering ved Zs. Biró-Tóth og M.Z. Fehér, som befuldmægtigede,

– Europa-Kommissionen ved A. Bouchagiar, H. Kranenborg og A.-C. Simon, som befuldmægtigede,

og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 8. juni 2023,

afsagt følgende

Dom

1 Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 4, nr. 7), og artikel 5, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).

2 Denne anmodning er blevet indgivet i forbindelse med en tvist mellem État belge (den belgiske stat) og Autorité de protection des données (APD) (databeskyttelsesmyndigheden, Belgien, herefter »den belgiske databeskyttelsesmyndighed«), som er den tilsynsmyndighed, der er etableret i Belgien i henhold til databeskyttelsesforordningens artikel 51, vedrørende en afgørelse, hvorved denne myndighed har pålagt den myndighed, der administrerer Moniteur belge – som er Belgiens statstidende, der i denne medlemsstat sikrer fremstilling og formidling af en bred vifte af officielle og offentlige publikationer i papirform og elektronisk form – at følge op på en fysisk persons udøvelse af sin ret til sletning i forhold til flere personoplysninger, der er indeholdt i et dokument offentliggjort i denne statstidende.

Retsforskrifter

EU-retten

3 Databeskyttelsesforordningens artikel 4, nr. 2) og 7), bestemmer følgende:

»I denne forordning forstås ved:

[...]

2) »behandling«: enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

[...]

7) »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret

[...]«

4 Databeskyttelsesforordningens artikel 5 har følgende ordlyd:

»1. Personoplysninger skal:

a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)

b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)

c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)

d) være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)

e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«)

f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

2. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

5 Databeskyttelsesforordningens artikel 17 er affattet således:

»1. Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende:

a) Personoplysningerne er ikke længere nødvendige til at opfylde de formål, hvortil de blev indsamlet eller på anden vis behandlet.

b) Den registrerede trækker det samtykke, der er grundlaget for behandlingen, jf. artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), tilbage, og der er ikke et andet retsgrundlag for behandlingen.

c) Den registrerede gør indsigelse mod behandlingen i henhold til artikel 21, stk. 1, og der foreligger ikke legitime grunde til behandlingen, som går forud for indsigelsen, eller den registrerede gør indsigelse mod behandlingen i medfør af artikel 21, stk. 2.

[...]

3. Stk. 1 og 2 finder ikke anvendelse, i det omfang denne behandling er nødvendig:

[...]

b) for at overholde en retlig forpligtelse, der kræver behandling i henhold til EU-retten eller medlemsstaternes nationale ret, og som den dataansvarlige er underlagt, eller for at udføre en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt

[...]

d) til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, i det omfang den rettighed, der er omhandlet i stk. 1, sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af denne behandling, [...]

[...]«

6 Databeskyttelsesforordningens artikel 26 har følgende ordlyd:

»1. Hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling, er de fælles dataansvarlige. De fastlægger på en gennemsigtig måde deres respektive ansvar for overholdelse af forpligtelserne i henhold til denne forordning, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning mellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt. I ordningen kan der udpeges et kontaktpunkt for registrerede.

2. Ordningen, der er omhandlet i stk. 1, skal på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal gøres tilgængeligt for de registrerede.

3. Uanset udformningen af den ordning, der er omhandlet i stk. 1, kan den registrerede udøve sine rettigheder i medfør af denne forordning med hensyn til og over for den enkelte dataansvarlige.«

7 Databeskyttelsesforordningens artikel 51 bestemmer bl.a., at medlemsstaterne skal sikre, at en eller flere uafhængige offentlige myndigheder er ansvarlige for at føre tilsyn med anvendelsen af denne forordning.

Belgisk ret

Programloven af 24. december 2002

8 Artikel 472 i programloven af 24. december 2002 (Moniteur belge af 31.12.2002, s. 58686) bestemmer følgende:

»Moniteur belge er en officiel publikation, der udgives af Direction du Moniteur belge [(direktoratet for den belgiske statstidende)] og omfatter alle de tekster, der kræves offentliggjort i Moniteur belge.«

9 Denne programlovs artikel 474 angiver følgende:

»Direktoratet for Moniteur belge sørger for offentliggørelse i fire eksemplarer trykt på papir i Moniteur belge.

[...]

Et eksemplar opbevares elektronisk. Kongen træffer afgørelse om elektronisk opbevaring [...].«

10 Programlovens artikel 475 er affattet således:

»Enhver anden offentliggørelse sker via webstedet for direktoratet for Moniteur belge.

De offentliggørelser, der stilles til rådighed på dette websted, er nøjagtige gengivelser i elektronisk format af de papirkopier, der er omhandlet i artikel 474.«

11 Programlovens artikel 475a har følgende ordlyd:

»Enhver borger kan mod betaling af kostprisen erhverve en kopi fra Moniteur belge af retsakter og dokumenter, der er offentliggjort i Moniteur belge, gennem gratis telefonisk henvendelse til en vejledning. Vejledningen har tillige ansvaret for at yde borgere hjælp med henblik på fremsøgning af dokumenter.«

12 Artikel 475b i programloven af 24. december 2002 fastsætter følgende:

»Andre foranstaltninger træffes ved kongelig anordning, der behandles i ministerrådet med henblik på at sikre den videst mulige formidling af og adgang til oplysningerne i Moniteur belge.«

Tvisten i hovedsagen og de præjudicielle spørgsmål

13 I Belgien ejede en fysisk person majoriteten af kapitalandelene i et privat selskab med begrænset ansvar. Da selskabsdeltagerne i dette selskab havde besluttet at nedsætte dets kapital, blev selskabets vedtægter ændret ved en beslutning truffet på en ekstraordinær generalforsamling i selskabet den 23. januar 2019.

14 I overensstemmelse med selskabsloven, som affattet ved lov af 7. maj 1999 (Moniteur belge af 6.8.1999, s. 29440), udarbejdede notaren for denne fysiske person et uddrag af denne beslutning, hvorefter notaren oversendte dette til justitskontoret ved den kompetente ret, dvs. retten i handels- og erhvervsretlige sager i den retskreds, hvor dette selskab har sit hjemsted. I henhold til de relevante lovbestemmelser fremsendte retten dette uddrag til direktoratet for Moniteur belge til offentliggørelse.

15 Den 12. februar 2019 blev det nævnte uddrag offentliggjort som sådan, dvs. uden kontrol af dets indhold, i bilagene til Moniteur belge i overensstemmelse med de gældende lovbestemmelser.

16 Det samme uddrag indeholder beslutningen om at nedsætte det nævnte selskabs kapital, denne kapitals oprindelige beløb, størrelsen af den pågældende nedsættelse samt det nye selskabskapitalbeløb og den nye affattelse af selskabets vedtægter. Uddraget indeholder ligeledes en passage med angivelse af navnene på de to selskabsdeltagere i selskabet, herunder navnet på den fysiske person, der er nævnt i nærværende doms præmis 13, de beløb, som de har fået refunderet, samt deres bankkontonumre (herefter »den i hovedsagen omhandlede passage«).

17 Efter at denne fysiske person have konstateret, at dennes notar havde begået en fejl ved at inkludere den i hovedsagen omhandlede passage i det uddrag, der er nævnt i nærværende doms præmis 14, selv om dette ikke var et lovmæssigt krav, tog vedkommende gennem denne notar og notarens databeskyttelsesrådgiver skridt til at få fjernet denne passage i henhold til sin ret til sletning, der er fastsat i databeskyttelsesforordningens artikel 17.

18 Service public fédéral Justice (den føderale offentlige justitsmyndighed i Belgien, herefter »SPF Justice«), som direktoratet for Moniteur belge er tilknyttet, afslog bl.a. ved afgørelse af 10. april 2019 at efterkomme en sådan anmodning om sletning.

19 Den 21. januar 2020 indgav den nævnte fysiske person en klage over SPF Justice til den belgiske databeskyttelsesmyndighed med henblik på at få fastslået, at denne anmodning om sletning var velbegrundet, og at de betingelser for udøvelse af retten til sletning, der er fastsat i databeskyttelsesforordningens artikel 17, stk. 1, var opfyldt.

20 Ved afgørelse af 23. marts 2021 fremsendte den belgiske databeskyttelsesmyndighed en »irettesættelse« til SPF Justice og pålagde samtidig denne myndighed at efterkomme anmodningen om sletning uden unødig forsinkelse og senest 30 dage efter meddelelsen af denne afgørelse.

21 Den 22. april 2021 anlagde den belgiske stat sag ved cour d’appel de Bruxelles (appeldomstolen i Bruxelles, Belgien), som er den forelæggende ret, med påstand om annullation af den nævnte afgørelse.

22 Den forelæggende ret har anført, at parterne er uenige om, hvordan man i forhold til hovedsagen skal fortolke begrebet »dataansvarlig« i databeskyttelsesforordningens artikel 4, nr. 7), eftersom de personoplysninger, der er indeholdt i den i hovedsagen omhandlede passage, og hvis offentliggørelse ikke var påkrævet ved lov, har været genstand for behandling fra flere potentielle »successive« dataansvarlige. Disse dataansvarlige er for det første notaren, som udfærdigede uddraget med den i hovedsagen omhandlede passage, og som fejlagtigt indsatte disse personoplysninger i passagen, for det andet justitssekretæren ved den ret, hvortil dette uddrag efterfølgende blev indleveret, inden det blev oversendt til Moniteur belge til offentliggørelse, og for det tredje Moniteur belge, der i overensstemmelse med de lovbestemmelser, der regulerer denne statstidendes statut og opgaver, har offentliggjort udskriften som sådan, dvs. uden beføjelse til kontrol og ændring, efter at have modtaget uddraget fra denne ret.

23 I denne forbindelse ønsker den forelæggende ret oplyst, om Moniteur belge kan kvalificeres som »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7). I bekræftende fald – og idet den forelæggende ret har anført, at parterne i hovedsagen ikke har påberåbt sig det fælles ansvar, der er fastsat i databeskyttelsesforordningens artikel 26 – ønsker den forelæggende ret ligeledes oplyst, om Moniteur belge i henhold til denne forordnings artikel 5, stk. 2, skal holdes eneansvarlig for overholdelsen af de principper, der er fastsat i databeskyttelsesforordningens artikel 5, stk. 1, eller om dette ansvar også kumulativt påhviler de offentlige instanser, som forudgående har behandlet de oplysninger, der er indeholdt i den i hovedsagen omhandlede passage, dvs. den notar, der har udfærdiget uddraget med denne passage, og retten i handels- og erhvervsretlige sager i den retskreds, hvor det omhandlede private selskab med begrænset ansvar har sit hjemsted.

24 På denne baggrund har cour d’appel de Bruxelles (appeldomstolen i Bruxelles) besluttet at udsætte sagen og at forelægge Domstolen følgende præjudicielle spørgsmål:

»1) Skal [databeskyttelsesforordningens] artikel 4, nr. 7), [...] fortolkes således, at en medlemsstats statstidende – der har til opgave at offentliggøre og arkivere officielle dokumenter, og som i henhold til den gældende nationale lovgivning er ansvarlig for at offentliggøre officielle retsakter og dokumenter, hvis offentliggørelse er pålagt af andre offentlige instanser, i den form, hvori de er forelagt af disse instanser, efter at disse selv har behandlet de personoplysninger, der er indeholdt i disse retsakter og dokumenter, uden at den nationale lovgiver har givet statstidenden nogen skønsbeføjelse med hensyn til indholdet af de dokumenter, der skal offentliggøres, og med hensyn til formålet med og midlerne til offentliggørelsen – har status som dataansvarlig?

2) Såfremt det første spørgsmål besvares bekræftende, skal [databeskyttelsesforordningens] artikel 5, stk. 2, [...] da fortolkes således, at det er den pågældende statstidende, der alene skal være ansvarlig for at opfylde de forpligtelser, der påhviler den dataansvarlige i henhold til denne bestemmelse, med udelukkelse af andre offentlige instanser, der tidligere har behandlet de oplysninger, der er indeholdt i de officielle retsakter og dokumenter, hvis offentliggørelse de anmoder om, eller hviler disse forpligtelser kumulativt på hver af de på hinanden følgende dataansvarlige?«

Om de præjudicielle spørgsmål

Det første spørgsmål

25 Med sit første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 4, nr. 7), skal fortolkes således, at den institution eller det organ, der er ansvarlig for en medlemsstats statstidende, og som i henhold til denne medlemsstats lovgivning bl.a. er forpligtet til i den forelagte form at offentliggøre officielle retsakter og dokumenter, som udarbejdes af tredjemand på dennes eget ansvar under overholdelse af de gældende regler, og som derefter indleveres til en retslig myndighed, der fremsender disse retsakter og dokumenter til institutionen eller organet til offentliggørelse, kan kvalificeres som »dataansvarlig« for de personoplysninger, der er indeholdt i disse retsakter og dokumenter, som omhandlet i denne bestemmelse.

26 Det skal indledningsvis præciseres, at begrebet »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), forudsætter, at der foreligger en »behandling« af personoplysninger som omhandlet i denne forordnings artikel 4, nr. 2). I det foreliggende tilfælde fremgår det af forelæggelsesafgørelsen, at de personoplysninger, der er indeholdt i den i hovedsagen omhandlede passage, har været genstand for en behandling fra Moniteur belge. Selv om den forelæggende ret ikke i detaljer har redegjort for denne behandling, fremgår det af de samstemmende skriftlige indlæg fra den belgiske databeskyttelsesmyndighed og den belgiske regering, at disse oplysninger i det mindste er blevet indsamlet, registreret, opbevaret, videregivet ved transmission og formidlet af Moniteur belge, og sådanne aktiviteter udgør en »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2).

27 På baggrund af denne indledende præcisering skal det bemærkes, at i henhold til databeskyttelsesforordningens artikel 4, nr. 7), omfatter begrebet »dataansvarlig« fysiske eller juridiske personer, offentlige myndigheder, institutioner eller andre organer, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Det fremgår ligeledes af denne bestemmelse, at hvis formålene med og hjælpemidlerne til denne behandling er fastlagt i bl.a. medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i denne ret.

28 Det skal i denne forbindelse bemærkes, at formålet med denne bestemmelse ifølge Domstolens praksis er – via en bred definition af begrebet »dataansvarlig« – at sikre en effektiv og fuldstændig beskyttelse af de registrerede (jf. i denne retning domme af 5.12.2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, præmis 29, og Deutsche Wohnen, C-807/21, EU:C:2023:950, præmis 40 og den deri nævnte retspraksis).

29 Henset til ordlyden af databeskyttelsesforordningens artikel 4, nr. 7), sammenholdt med denne målsætning, fremgår det, at det med henblik på at afgøre, om en person eller en enhed skal kvalificeres som »dataansvarlig« som omhandlet i denne bestemmelse, skal undersøges, om denne person eller denne enhed alene eller sammen med andre fastlægger formålene med og hjælpemidlerne til behandlingen, eller om disse formål og hjælpemidler er fastlagt i national ret. Såfremt en sådan fastlæggelse sker i national ret, skal det herefter undersøges, om denne nationale ret udpeger den dataansvarlige eller fastsætter de specifikke kriterier for udpegelsen af denne.

30 I denne henseende skal det præciseres, at henset til den brede definition af begrebet »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), kan fastlæggelsen af formålene med og hjælpemidlerne til behandlingen, og i givet fald udpegelsen af denne ansvarlige i henhold til national ret, ikke blot være eksplicit, men også implicit. I sidstnævnte tilfælde kræves det ikke desto mindre, at denne fastlæggelse følger tilstrækkeligt klart af den rolle, den opgave og de beføjelser, som er tillagt den pågældende person eller enhed. Det ville nemlig indskrænke beskyttelsen af disse personer, hvis databeskyttelsesforordningens artikel 4, nr. 7), blev fortolket restriktivt for kun at omfatte de tilfælde, hvor formålene med og hjælpemidlerne til en behandling af oplysninger, der foretoges af en person, en offentlig myndighed, en institution eller et organ, udtrykkeligt var fastlagt i national ret, selv om disse formål og hjælpemidler i det væsentlige fremgik af de lovbestemmelser, der regulerede den pågældende enheds aktivitet.

31 I den konkrete sag har den forelæggende ret for det første præciseret, at Moniteur belge i forhold til hovedsagen ikke synes at være tillagt beføjelse i national ret til at fastlægge formålene med og hjælpemidlerne til de behandlinger af oplysninger, som denne statstidende foretager, idet det første præjudicielle spørgsmål er stillet med udgangspunkt i denne forudsætning. Det fremgår i øvrigt af de samstemmende forklaringer fra den belgiske databeskyttelsesmyndighed og den belgiske regering i retsmødet, at den offentlige myndighed, der administrerer Moniteur belge, dvs. SPF Justice, heller ikke synes at være tillagt en sådan beføjelse i national ret.

32 For det andet fremgår det af de sagsakter, som Domstolen råder over, at de personoplysninger, der er indeholdt i de retsakter og dokumenter, der oversendes til Moniteur belge til offentliggørelse, i det væsentlige indsamles, registreres, opbevares og offentliggøres i den forelagte form med henblik på officielt at informere offentligheden om eksistensen af disse retsakter og dokumenter samt sørge for, at de kan gøres gældende over for tredjemand.

33 Endvidere fremgår det af den forelæggende rets forklaringer, at behandlingen i det væsentlige sker ved automatiserede hjælpemidler: Bl.a. gengives de pågældende oplysninger i et antal eksemplarer trykt på papir, hvoraf et opbevares elektronisk, og papireksemplarerne gengives i elektronisk form på webstedet for Moniteur belge, og en kopi kan indhentes via en telefonisk hjælpetjeneste, der desuden har til opgave at yde borgere hjælp med fremsøgning af dokumenter.

34 Det fremgår således af de sagsakter, som Domstolen råder over, at belgisk ret i det mindste implicit har fastlagt formålene med og hjælpemidlerne til den behandling af personoplysninger, der foretages af Moniteur belge.

35 Under disse omstændigheder skal det bemærkes, at Moniteur belge kan anses for at være en »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), i sin egenskab af en institution eller et organ, der har til opgave at behandle de personoplysninger, der er indeholdt i denne statstidendes publikationer, i overensstemmelse med de formål med og hjælpemidler til behandlingen, der er foreskrevet i den belgiske lovgivning.

36 Denne konklusion ændres ikke af den omstændighed, at Moniteur belge i sin egenskab af underafdeling af SPF Justice ikke har status som juridisk person. Det fremgår nemlig af denne bestemmelses klare ordlyd, at en dataansvarlig ikke blot kan være en fysisk eller juridisk person, men også en offentlig myndighed, en institution eller et organ, idet sådanne enheder ikke nødvendigvis har status som juridisk person i henhold til national ret.

37 Den omstændighed, at Moniteur belge i henhold til national ret ikke forud for offentliggørelsen i denne statstidende kontrollerer de personoplysninger, der fremgår af de retsakter og dokumenter, som denne statstidende modtager, kan heller ikke have nogen betydning for, hvorvidt Moniteur belge kan kvalificeres som dataansvarlig.

38 Selv om det er rigtigt, at Moniteur belge skal offentliggøre det pågældende dokument som sådant, er det nemlig alene denne statstidende, der varetager denne opgave og derefter udsender den pågældende retsakt eller det pågældende dokument. For det første er offentliggørelsen af sådanne retsakter og dokumenter uden mulighed for kontrol eller ændring af deres indhold uløseligt forbundet med de formål med og hjælpemidler til behandlingen, der er fastlagt i national ret, idet rollen for en statstidende som Moniteur belge begrænser sig til at informere offentligheden om eksistensen af sådanne retsakter og dokumenter, således som de oversendes til denne enhed i kopiform i overensstemmelse med gældende national ret, således at de kan gøres gældende over for tredjemand. For det andet ville det være i strid med formålet med databeskyttelsesforordningens artikel 4, nr. 7), således som angivet i nærværende doms præmis 28, at udelukke en medlemsstats statstidende fra begrebet »dataansvarlig« med den begrundelse, at denne enhed ikke har kontrol over de personoplysninger, der er indeholdt i dens offentliggørelser (jf. analogt dom af 13.5.2014, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 34).

39 Henset til ovenstående betragtninger skal det første spørgsmål besvares med, at databeskyttelsesforordningens artikel 4, nr. 7), skal fortolkes således, at den institution eller det organ, der er ansvarlig for en medlemsstats statstidende, og som i henhold til denne medlemsstats lovgivning bl.a. er forpligtet til i den forelagte form at offentliggøre officielle retsakter og dokumenter, som udarbejdes af tredjemand på dennes eget ansvar under overholdelse af de gældende regler, og som derefter indleveres til en retslig myndighed, der fremsender disse retsakter og dokumenter til institutionen eller organet til offentliggørelse, uagtet en manglende status som juridisk person kan kvalificeres som »dataansvarlig« for de personoplysninger, der er indeholdt i disse retsakter og dokumenter, når de pågældende nationale retsregler fastlægger formålene med og hjælpemidlerne til den behandling af personoplysninger, der foretages af denne statstidende.

Det andet spørgsmål

40 Med sit andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 5, stk. 2, skal fortolkes således, at den institution eller det organ, der er ansvarlig for en medlemsstats statstidende, og som er kvalificeret som »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), skal holdes eneansvarlig for overholdelsen af de principper, der er angivet i databeskyttelsesforordningens artikel 5, stk. 1, eller om denne overholdelse kumulativt påhviler denne institution eller dette organ og de offentlige tredjepartsenheder, der forinden har behandlet de personoplysninger, som er indeholdt i de retsakter og dokumenter, som denne statstidende offentliggør.

41 Det skal indledningsvis bemærkes, at i henhold til databeskyttelsesforordningens artikel 5, stk. 2, er den dataansvarlige ansvarlig for og skal kunne påvise, at de principper, der er fastsat i form af forpligtelser i denne artikels stk. 1, overholdes.

42 I det foreliggende tilfælde fremgår det af de sagsakter, som Domstolen råder over, at den behandling af de i hovedsagen omhandlede personoplysninger, som er blevet betroet Moniteur belge, både ligger efter den behandling, som notaren og justitskontoret ved den kompetente ret foretager, og teknisk set adskiller sig fra den behandling, der foretages af disse to enheder, for så vidt som den føjer sig hertil. De aktiviteter, der udføres af Moniteur belge, er nemlig betroet denne enhed i henhold til national lovgivning og indebærer bl.a. en digital omdannelse af de oplysninger, der er indeholdt i de retsakter eller uddrag af retsakter, som denne statstidende får fremsendt, en offentliggørelse af disse oplysninger, en tilrådighedsstillelse heraf for den brede offentlighed samt opbevaring af oplysningerne.

43 Moniteur belge skal derfor i henhold til databeskyttelsesforordningens artikel 5, stk. 2, anses for at være ansvarlig for overholdelsen af de principper, der er omhandlet i denne artikels stk. 1, for så vidt angår de behandlinger, som denne statstidende er forpligtet til at foretage i henhold til national ret, og dermed i henhold til alle de forpligtelser, som databeskyttelsesforordningen pålægger den dataansvarlige.

44 Henset til den forelæggende rets spørgsmål om, hvorvidt en sådan statstidende er eneansvarlig for disse behandlinger, skal det dernæst påpeges, at denne bestemmelse – således som det fremgår af ordlyden af databeskyttelsesforordningens artikel 4, nr. 7) – ikke blot fastsætter, at formålene med og hjælpemidlerne til en behandling af personoplysninger kan fastlægges i fællesskab af flere personer som dataansvarlige, men ligeledes, at den nationale lovgivning selv kan fastlægge disse formål og hjælpemidler og udpege den dataansvarlige eller de specifikke kriterier for udpegelsen af denne.

45 Inden for rammerne af en kæde af behandlinger, der foretages af forskellige personer eller enheder, og som vedrører de samme personoplysninger, kan national ret således fastlægge formålene med og hjælpemidlerne til samtlige de behandlinger, der foretages successivt af disse forskellige personer eller enheder, således at disse i fællesskab kan holdes ansvarlige for behandlingen.

46 Det skal i øvrigt bemærkes, at databeskyttelsesforordningens artikel 26, stk. 1, opstiller et fælles ansvar, hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til en behandling af personoplysninger. Denne bestemmelse fastsætter ligeledes, at de fælles dataansvarlige på en gennemsigtig måde og ved hjælp af en ordning mellem dem skal fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til denne forordning, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de er underlagt.

47 Det fremgår således af den nævnte bestemmelse, at de respektive forpligtelser for de fælles dataansvarlige for en behandling af personoplysninger ikke nødvendigvis afhænger af, at der foreligger en aftale mellem de forskellige dataansvarlige (jf. i denne retning dom af 5.12.2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, præmis 44 og 45), men kan følge af national ret.

48 Domstolen har desuden fastslået dels, at det er tilstrækkeligt, at en person til eget formål udøver indflydelse på behandlingen af personoplysninger og som følge heraf deltager i fastlæggelsen af formålene med og hjælpemidlerne til denne behandling for at kunne holdes fælles ansvarlig for behandlingen, dels at et fælles ansvar for flere aktører for den samme behandling ikke forudsætter, at hver af disse har adgang til de omhandlede personoplysninger (jf. i denne retning dom af 5.12.2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, præmis 40-43 og den deri nævnte retspraksis).

49 Det følger af nærværende doms præmis 44-48, at der i henhold til databeskyttelsesforordningens artikel 26, stk. 1, sammenholdt med denne forordnings artikel 4, nr. 7), kan opstilles et fælles ansvar i national ret for flere aktører i en kæde af behandlinger vedrørende de samme personoplysninger, forudsat at de forskellige behandlingsaktiviteter forenes af formål og hjælpemidler, der er fastlagt i denne nationale ret, og forudsat at denne nationale ret fastsætter de respektive forpligtelser for hver af de fælles dataansvarlige.

50 Det skal præciseres, at en sådan fastlæggelse af de formål og hjælpemidler, der forener de forskellige behandlinger, som foretages af flere aktører i en kæde, såvel som en fastlæggelse af disse aktørers respektive forpligtelser kan foretages ikke blot direkte, men ligeledes indirekte i national ret, forudsat at denne fastlæggelse i dette sidstnævnte tilfælde kan udledes tilstrækkeligt eksplicit af de lovbestemmelser, der finder anvendelse på de berørte personer eller enheder og på den behandling af personoplysninger, som de foretager inden for rammerne af den behandlingskæde, der er foreskrevet i denne ret.

51 Endelig og for alle tilfældes skyld skal det præciseres, at såfremt den forelæggende ret måtte nå frem til den konklusion, at den institution eller det organ, der er ansvarlig for Moniteur belge, ikke er eneansvarlig, men fælles ansvarlig sammen med andre for overholdelsen af principperne i databeskyttelsesforordningens artikel 5, stk. 1, for så vidt angår de oplysninger, der er indeholdt i den i hovedsagen omhandlede passage, vil en sådan konklusion på ingen måde berøre spørgsmålet om, hvorvidt den anmodning om sletning, der er fremsat af den i nærværende doms præmis 13 nævnte fysiske person, skal imødekommes, navnlig henset til undtagelserne i databeskyttelsesforordningens artikel 17, stk. 3, litra b) og d).

52 Henset til ovenstående begrundelser skal det andet spørgsmål besvares med, at databeskyttelsesforordningens artikel 5, stk. 2, sammenholdt med denne forordnings artikel 4, nr. 7), og artikel 26, stk. 1, skal fortolkes således, at den institution eller det organ, der er ansvarlig for en medlemsstats statstidende, og som er kvalificeret som »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), er eneansvarlig for overholdelsen af de principper, der er angivet i databeskyttelsesforordningens artikel 5, stk. 1, for så vidt angår de behandlingsaktiviteter vedrørende personoplysninger, som institutionen eller organet er forpligtet til at foretage i henhold til national ret, medmindre et fælles ansvar med andre enheder for disse operationer følger af denne ret.

Sagsomkostninger

53 Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Tredje Afdeling) for ret:

1) Artikel 4, nr. 7), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

skal fortolkes således, at

den institution eller det organ, der er ansvarlig for en medlemsstats statstidende, og som i henhold til denne medlemsstats lovgivning bl.a. er forpligtet til i den forelagte form at offentliggøre officielle retsakter og dokumenter, som udarbejdes af tredjemand på dennes eget ansvar under overholdelse af de gældende regler, og som derefter indleveres til en retslig myndighed, der fremsender disse retsakter og dokumenter til institutionen eller organet til offentliggørelse, uagtet en manglende status som juridisk person kan kvalificeres som »dataansvarlig« for de personoplysninger, der er indeholdt i disse retsakter og dokumenter, når de pågældende nationale retsregler fastlægger formålene med og hjælpemidlerne til den behandling af personoplysninger, der foretages af denne statstidende.

2) Artikel 5, stk. 2, i forordning 2016/679, sammenholdt med denne forordnings artikel 4, nr. 7), og artikel 26, stk. 1,

skal fortolkes således, at

den institution eller det organ, der er ansvarlig for en medlemsstats statstidende, og som er kvalificeret som »dataansvarlig« som omhandlet i denne forordnings artikel 4, nr. 7), er eneansvarlig for overholdelsen af de principper, der er angivet i forordningens artikel 5, stk. 1, for så vidt angår de behandlingsaktiviteter vedrørende personoplysninger, som institutionen eller organet er forpligtet til at foretage i henhold til national ret, medmindre et fælles ansvar med andre enheder for disse operationer følger af denne ret.

Underskrifter

* Processprog: fransk.