DOMSTOLENS DOM (stora avdelningen)
den 16 januari 2024 (*)
”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Artikel 16 FEUF – Förordning (EU) 2016/679 – Artikel 2.2 a – Tillämpningsområde – Undantag – Verksamhet som inte omfattas av unionsrätten – Artikel 4.2 FEU – Verksamhet som rör nationell säkerhet – Utredningskommitté som tillsatts av en medlemsstats parlament – Artikel 23.1 a och h, artikel 51 och artikel 55 i förordning (EU) 2016/679 – Behörighet för den myndighet som utövar tillsyn över skyddet av personuppgifter – Artikel 77 – Rätt att lämna in klagomål till en tillsynsmyndighet – Direkt effekt”
I mål C‑33/22,
angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Verwaltungsgerichtshof (Högsta förvaltningsdomstolen, Österrike) genom beslut av den 14 december 2021, som inkom till domstolen den 14 januari 2022, i målet
Österreichische Datenschutzbehörde
mot
WK,
ytterligare deltagare i rättegången:
Präsident des Nationalrates,
meddelar
DOMSTOLEN (stora avdelningen),
sammansatt av ordföranden K. Lenaerts, vice ordföranden L. Bay Larsen, avdelningsordförandena K. Jürimäe, C. Lycourgos, E. Regan och N. Piçarra samt domarna M. Ilešič, P.G. Xuereb, L.S. Rossi (referent), I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl, I. Ziemele och J. Passer,
generaladvokat: M. Szpunar,
justitiesekreterare: enhetschefen D. Dittert,
efter det skriftliga förfarandet och förhandlingen den 6 mars 2023,
med beaktande av de yttranden som avgetts av:
– Österreichische Datenschutzbehörde, genom A. Jelinek och M. Schmidl, båda i egenskap av ombud,
– WK, genom M. Sommer, Rechtsanwalt,
– Präsident des Nationalrates, genom C. Neugebauer och R. Posnik, båda i egenskap av ombud,
– Österrikes regering, genom S. Dörnhöfer, C. Leeb, A. Posch och J. Schmoll, samtliga i egenskap av ombud,
– Tjeckiens regering, genom O. Serdula, M. Smolek och J. Vláčil, samtliga i egenskap av ombud,
– Europeiska kommissionen, genom A. Bouchagiar, M. Heller och H. Kranenborg, samtliga i egenskap av ombud,
och efter att den 11 maj 2023 ha hört generaladvokatens förslag till avgörande,
följande
Dom
1 Begäran om förhandsavgörande avser tolkningen av artikel 16.2 första meningen FEUF samt artikel 2.2 a, artikel 51.1, artikel 55.1 och artikel 77.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1 och rättelser i EUT L 127, 2018, s. 2 och EUT L 74, 2021, s. 35) (nedan kallad dataskyddsförordningen).
2 Begäran har framställts i ett mål mellan Österreichische Datenschutzbehörde (Dataskyddsmyndigheten, Österrike) (nedan kallad Datenschutzbehörde) och WK angående myndighetens avslag på det klagomål om en påstådd kränkning av rätten till skydd av personuppgifter som hade framställts av WK.
Tillämpliga bestämmelser
Unionsrätt
3 Skälen 16, 20 och 117 i dataskyddsförordningen har följande lydelse:
”(16) Denna förordning är inte tillämplig på frågor som rör skyddet av grundläggande rättigheter och friheter eller det fria flödet av personuppgifter på områden som inte omfattas av unionsrätten, såsom verksamhet rörande nationell säkerhet. Denna förordning är inte tillämplig på medlemsstaternas behandling av personuppgifter när de agerar inom ramen för unionens gemensamma utrikes- och säkerhetspolitik.
…
(20) Eftersom denna förordning bland annat gäller för verksamhet inom domstolar och andra rättsliga myndigheter, skulle det i unionsrätt eller medlemsstaternas nationella rätt kunna anges vilken behandling och vilka förfaranden för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters behandling av personuppgifter. Tillsynsmyndigheternas behörighet bör inte omfatta domstolars behandling av personuppgifter när detta sker inom ramen för domstolarnas dömande verksamhet, i syfte att säkerställa domstolsväsendets oberoende när det utför sin rättskipande verksamhet, inbegripet när det fattar beslut. Det bör vara möjligt att anförtro tillsynen över sådan behandling av uppgifter till särskilda organ inom medlemsstaternas rättsväsen, vilka framför allt bör säkerställa efterlevnaden av bestämmelserna i denna förordning, främja domstolsväsendets medvetenhet om sina skyldigheter enligt denna förordning och hantera klagomål relaterade till sådan behandling av uppgifter.
…
(117) Ett väsentligt inslag i skyddet av fysiska personer vid behandlingen av personuppgifter är att medlemsstaterna inrättar tillsynsmyndigheter med behörighet att utföra sina uppgifter och utöva sina befogenheter under fullständigt oberoende. Medlemsstaterna bör kunna inrätta fler än en tillsynsmyndighet om det behövs för att ta hänsyn till den egna konstitutionella, organisatoriska och administrativa strukturen.”
4 I artikel 2 i dataskyddsförordningen, med ”Materiellt tillämpningsområde”, stadgas följande:
”1. Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
2. Denna förordning ska inte tillämpas på behandling av personuppgifter som
a) utgör ett led i en verksamhet som inte omfattas av unionsrätten,
b) medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget,
…
d) behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
3. [Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 2001, s. 1)] är tillämplig på den behandling av personuppgifter som sker i EU:s institutioner, organ och byråer. Förordning (EG) nr 45/2001 och de av unionens övriga rättsakter som är tillämpliga på sådan behandling av personuppgifter ska anpassas till principerna och bestämmelserna i denna förordning i enlighet med artikel 98.
…”.
5 Artikel 4 i dataskyddsförordningen, med rubriken ”Definitioner”, har följande lydelse:
I denna förordning används följande beteckningar med de betydelser som här anges:
…
7) personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,
…”
6 I artikel 23.1 i dataskyddsförordningen, med rubriken ”Begränsningar”, föreskrivs följande:
”Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa
a) den nationella säkerheten,
b) försvaret,
c) den allmänna säkerheten,
d) förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,
e) andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet,
f) skydd av rättsväsendets oberoende och rättsliga åtgärder,
…
g) en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i a–e och g,
i) skydd av den registrerade eller andras rättigheter och friheter,
…”
7 Artikel 51 i dataskyddsförordningen har rubriken ”Tillsynsmyndighet”. I artikel 51.1 föreskrivs följande:
”Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen (nedan kallad tillsynsmyndighet).”
8 Artikel 54 i dataskyddsförordningen har rubriken ”Regler för inrättandet av en tillsynsmyndighet”. I artikel 54.1 föreskrivs följande:
”Varje medlemsstat ska fastställa följande i lag:
a) Varje tillsynsmyndighets inrättande.
…”
9 Artikel 55 i dataskyddsförordningen, med rubriken ”Behörighet”, har följande lydelse:
”1. Varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt denna förordning inom sin egen medlemsstats territorium.
2. Om behandling utförs av myndigheter eller privata organ som agerar på grundval av artikel 6.1 c eller e ska tillsynsmyndigheten i den berörda medlemsstaten vara behörig. I sådana fall ska artikel 56 inte tillämpas.
3. Tillsynsmyndigheterna ska inte vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet.”
10 I artikel 77 i dataskyddsförordningen, med rubriken ”Rätt att lämna in klagomål till en tillsynsmyndighet”, föreskrivs följande:
”1. Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks.
2. Den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta den enskilde om hur arbetet med klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 78.”
Österrikisk rätt
11 I § 53 Bundes-Verfassungsgesetz (federala grundlagen), utfärdad på nytt den 2 januari 1930 (BGBl. 1/1930), i den lydelse som är tillämplig på omständigheterna i det nationella målet (nedan kallad B-VG), föreskrivs följande:
”1) Nationalrat [(Underhuset i Österrikes parlament)] får besluta att tillsätta utredningskommittéer. En utredningskommitté ska dessutom inrättas om en fjärdedel av ledamöterna i underhuset begär det.
2) En utredning ska avse en specifik, avslutad process inom ett område som omfattas av den verkställande makten på federal nivå. Detta inbegriper all verksamhet inom de federala organ genom vilka den federala staten, oavsett hur omfattande dess intressen, utövar rättigheter förknippade med ekonomiska rättigheter samt rätten till översyn. Kontroll av rättspraxis är uteslutet.
3) Alla federala organ, delstatsorgan, kommunala organ och organ inrättade av kommunsammanslutningar samt andra självständiga organ ska på anmodan inkomma med sina ärendeakter och handlingar till en utredningskommitté, i den mån de omfattas av föremålet för utredningen, och är skyldiga att efterkomma en utredningskommittés anmodanden att samla in bevisning i samband med föremålet för utredningen. Denna skyldighet gäller inte inlämnandet av akter och handlingar vars utlämnande skulle kunna äventyra källor i den mening som avses i § 52a stycke 2.
4) Den skyldighet som föreskrivs i stycke 3 gäller inte i den mån den skulle påverka den lagstadgade processen för att skapande av den federala regeringens eller enskilda regeringsledamöters politiska vilja.
…”
12 I B-VG föreskrivs att den lagstiftande, verkställande och dömande makten ska vara åtskilda. Avsteg från denna maktdelningsprincip kräver stöd i grundlagen.
13 I § 1 stycke 1 Datenschutzgesetz (lag om skydd av personuppgifter) av den 17 augusti 1999 (BGBl. I, 165/1999), i den lydelse som är tillämplig på omständigheterna i det nationella målet (nedan kallad DSG), föreskrivs följande:
”Med särskild hänsyn till skyddet för den enskildes privat- och familjeliv har var och en rätt till konfidentiell behandling av de personuppgifter som rör honom eller henne, förutsatt att det föreligger ett skyddsvärt intresse avseende vederbörande. Det föreligger inte något sådant intresse om uppgifterna inte medför rätt till konfidentiell behandling till följd av att de är fritt tillgängliga eller till följd av att de inte är möjligt att härleda uppgifterna till den registrerade.”
14 § 18 stycke 1 DSG har följande lydelse:
”Datenschutzbehörde ska inrättas som nationell tillsynsmyndighet i enlighet med artikel 51 i [dataskyddsförordningen].”
15 § 24 stycke 1 DSG har följande lydelse:
”Varje registrerad ska ha rätt att lämna in ett klagomål till Datenschutzbehörde om han eller hon anser att behandlingen av personuppgifter som rör honom eller henne utgör en överträdelse av [dataskyddsförordningen] eller §§ 1 eller artikel 2 i första avdelningen.”
16 I 35 § DSG föreskrivs följande:
”1) Datenschutzbehörde ska ha i uppdrag att säkerställa skyddet av personuppgifter i enlighet med bestämmelserna i [dataskyddsförordningen] och denna federala lag.
2) Datenschutzbehörde ska även utöva sina befogenheter gentemot de högsta verkställande organ som avses i § 19 B-VG och gentemot de högsta domstolsinstanserna, i enlighet med bestämmelserna i § 30 stycke 3–6, § 125 och § 134 stycke 8 samt § 148h styckena 1 och 2 B-VG vad gäller administrativa frågor som omfattas av deras behörighet.”
Målet vid den nationella domstolen och tolkningsfrågorna
17 Genom beslut av den 20 april 2018 tillsatte Nationalrat (Underhuset i Österrikes parlament) i enlighet med § 53 B-VG en utredningskommitté med uppgift att klarlägga huruvida politiskt inflytande eventuellt hade utövats över Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Federala myndigheten för skydd av konstitutionen och bekämpande av terrorism, Österrike) (nedan kallad BVT), som sedan den 1 december 2021 ersatts av Direktion Staatsschutz und Nachrichtendienst (Direktoratet för statlig säkerhet och underrättelseverksamhet, Österrike).
18 Den 19 september 2018 hörde utredningskommittén (nedan kallad BVT‑utredningskommittén) WK vid ett sammanträde som var öppet för medierepresentanter. WK hade framställt en begäran om anonymisering, men protokollet från sammanträdet, i vilket hans fullständiga för- och efternamn angavs, offentliggjordes på webbplatsen för Parlament Österreich (Österrikes parlament).
19 Den 2 april 2019 framställde WK ett klagomål till Datenschutzbehörde och gjorde gällande att offentliggörandet, mot hans vilja, av protokollet från sammanträdet med angivande av hans identitet stred mot bestämmelserna i dataskyddsförordningen och § 1 DSG. Till stöd för sitt klagomål förklarade han att han arbetade som infiltrerad polis vid polisens insatsgrupp för bekämpning av gatubrottslighet.
20 Datenschutzbehörde avslog klagomålet genom beslut av den 18 september 2019. Datenschutzbehörde fann att även om dataskyddsförordningen i princip inte utgör hinder för att tillsynsmyndigheter utövar tillsyn över lagstiftande organ, så är det enligt maktdelningsprincipen uteslutet att den lagstiftande maktens verksamhet är underställd kontroll från den verkställande maktens sida. Under dessa omständigheter och eftersom BVT‑utredningskommittén utgör en del av den lagstiftande makten, var Datenschutzbehörde, som är en gren av den verkställande makten, inte bemyndigad att kontrollera kommitténs verksamhet och saknade således behörighet att pröva WK:s klagomål.
21 Genom beslut av den 23 november 2020 biföll Bundesverwaltungsgericht (Federala förvaltningsdomstolen, Österrike) WK:s överklagande och upphävde Datenschutzbehördes beslut. Den domstolen slog i huvudsak fast att dataskyddsförordningen är tillämplig på lagstiftarens verksamhet och således på BVT‑utredningskommittén. Dataskyddsförordningens materiella tillämpningsområde, såsom det är definierat i artikel 2.1 i förordningen, är nämligen utformat på ett uttömmande sätt och omfattar all behandling av personuppgifter, oberoende av vilken enhet som utför behandlingen och vilken statlig funktion denna enhet tillhör. Av artikel 2.2 i dataskyddsförordningen går det inte heller att sluta sig till att vissa statliga funktioner, såsom den lagstiftande funktionen, inte omfattas av förordningens tillämpningsområde, eftersom det undantag som föreskrivs i led a i denna bestämmelse ska tolkas restriktivt. Enligt Bundesverwaltungsgericht (Federala förvaltningsdomstolen) var Datenschutzbehörde följaktligen behörig att pröva WK:s klagomål i enlighet med artikel 77 i dataskyddsförordningen.
22 Datenschutzbehörde överklagade Bundesverwaltungsgerichts (Federala förvaltningsdomstolen) beslut till Verwaltungsgerichtshof (Högsta förvaltningsdomstolen, Österrike), som är den hänskjutande domstolen i förevarande mål. Verwaltungsgerichtshof (Högsta förvaltningsdomstolen) vill för det första få klarhet i huruvida åtgärder som vidtas av en utredningskommitté som tillsatts av en medlemsstats parlament, oberoende av föremålet för utredningen, är undantagna från dataskyddsförordningens tillämpningsområde i kraft av artikel 2.2 a i samma förordning och artikel 16.2 första meningen FEUF, på grund av att kommitténs arbete till sin natur utgör en verksamhet som inte omfattas av unionsrättens tillämpningsområde.
23 Den hänskjutande domstolen har i detta sammanhang påpekat att det enligt EU-domstolens praxis på området, som bland annat följer av domen av den 9 juli 2020, Land Hessen (C‑272/19, EU:C:2020:535), vid tillämpningen av dataskyddsförordningen inte kan ställas upp krav på att den aktuella behandlingen av personuppgifter konkret ska utföras för ändamål som omfattas av unionsrätten, att den är gränsöverskridande eller att den konkret och direkt påverkar den fria rörligheten mellan medlemsstaterna. Det är tvärtom endast uteslutet att tillämpa förordningen om åtminstone ett av rekvisiten för undantag i artikel 2.2 a–d är uppfyllda.
24 Den hänskjutande domstolen har i detta avseende erinrat om att enligt EU-domstolens praxis ska artikel 2.2 a i dataskyddsförordningen, jämförd med skäl 16 i samma förordning, anses ha som enda syfte att från förordningens tillämpningsområde utesluta behandling av personuppgifter som utförs av statliga myndigheter som ett led i en verksamhet som syftar till att värna nationell säkerhet eller en verksamhet som kan placeras i samma kategori. Verksamhet som syftar till att värna nationell säkerhet, i den mening som avses i artikel 2.2 a i dataskyddsförordningen, omfattar särskilt sådan verksamhet som syftar till att skydda statens grundfunktioner och samhällets grundläggande intressen (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkterna 62–67 och där angiven rättspraxis).
25 Den hänskjutande domstolen har framhållit vissa skillnader mellan det parlamentsutskott som var i fråga i det mål som avgjordes genom domen av den 9 juli 2020, Land Hessen (C‑272/19, EU:C:2020:535), nämligen utskottet för framställningar vid Land Hessens parlament (delstaten Hessen, Tyskland) och BVT‑utredningskommittén. I synnerhet bidrar BVT‑utredningskommitténs arbete inte bara indirekt till den parlamentariska verksamheten, utan står i centrum för denna verksamhet, på grund av det kontrolluppdrag som utredningskommittéer som tillsatts Nationalrat (Underhuset i Österrikes parlament) ges enligt B-VG.
26 Slutligen har den hänskjutande domstolen hänvisat till principen om fördelning mellan den lagstiftande, den verkställande och den dömande makten, en princip som ingår i varje medlemsstats rättsordning och i unionsrätten. Artikel 55.3 i dataskyddsförordningen utesluter endast från tillsynsmyndigheternas behörighet tillsynen över domstolars behandling av personuppgifter inom ramen för deras dömande verksamhet. Den artikeln avser inte behandling av uppgifter som utförs inom ramen för parlamentarisk verksamhet. Detta kan emellertid förklaras av att unionslagstiftaren anser att sistnämnda verksamhet inte omfattas av förordningens tillämpningsområde i kraft av artikel 2.2 a i samma förordning.
27 För det andra har den hänskjutande domstolen understrukit att föremålet för BVT‑utredningskommitténs arbete avser verksamhet som rör nationell säkerhetsverksamhet, vilken mot bakgrund av skäl 16 i dataskyddsförordningen inte omfattas av unionsrättens tillämpningsområde och således inte av förordningens materiella tillämpningsområde, i enlighet med artikel 2.2 a i samma förordning.
28 Även om det antas att den parlamentariska kontrollen av en utredningskommitté i princip omfattas av unionsrättens tillämpningsområde, i den mening som avses i artikel 16.2 FEUF, måste det enligt den hänskjutande domstolen således även prövas huruvida kommitténs verksamhet åtminstone omfattas av undantaget i artikel 2.2 a i dataskyddsförordningen, med hänsyn till att föremålet för utredningen avser verksamhet som faller under den verkställande makten vilken, såsom i förevarande fall, inte omfattas av unionsrättens tillämpningsområde.
29 För det tredje vill den hänskjutande domstolen – mot bakgrund av den i Österrike grundlagsfästa principen om maktdelning – få klarhet i huruvida Datenschutzbehörde, som i Österrike är enda nationell tillsynsmyndighet i den mening som avses i artikel 51 i dataskyddsförordningen, är behörig enbart i kraft av denna förordning att pröva ett sådant klagomål som det som WK har framställt, när det inte finns någon konstitutionell förankring i nationell rätt som gör det möjligt att fastställa en sådan behörighet.
30 Mot denna bakgrund beslutade Verwaltungsgerichtshof (Högsta förvaltningsdomstolen) att vilandeförklara målet och ställa följande frågor till EU-domstolen:
”1) Omfattas verksamhet som bedrivs av en utredningskommitté som ett parlament i en medlemsstat har inrättat för att utöva sina kontrollbefogenheter, oberoende av föremålet för utredningen, av unionsrättens tillämpningsområde i den mening som avses i artikel 16.2 första meningen FEUF, vilket innebär att [dataskyddsförordningen] är tillämplig på behandling av personuppgifter som utförs av en parlamentarisk utredningskommitté i en medlemsstat?
Om fråga 1 besvaras jakande:
2) Omfattas sådan verksamhet som bedrivs av en utredningskommitté som ett parlament i en medlemsstat har inrättat för att utöva sina kontrollbefogenheter och vars föremål är verksamheten hos en polismyndighet med ansvar för att skydda staten, och således verksamhet som avser den nationella säkerheten i den mening som avses i skäl 16 i [dataskyddsförordningen], av undantaget i artikel 2.2 a i dataskyddsförordningen?
Om fråga 2 besvaras nekande:
3) Om – såsom i förevarande mål – en medlemsstat endast har inrättat en enda tillsynsmyndighet enligt artikel 51.1 i dataskyddsförordningen, följer då denna tillsynsmyndighets behörighet för klagomål i den mening som avses i artikel 77.1, jämförd med artikel 55.1 i dataskyddsförordningen, redan direkt av denna förordning?”
Prövning av tolkningsfrågorna
Den första frågan
31 Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 16.2 första meningen FEUF och artikel 2.2 a i dataskyddsförordningen ska tolkas så, att en verksamhet inte omfattas av dataskyddsförordningens tillämpningsområde enbart av det skälet att verksamheten utförs av en utredningskommitté som tillsatts av en medlemsstats parlament om ett led i utövandet av dess befogenhet att kontrollera den verkställande makten.
32 I artikel 16.2 FEUF, som utgör den rättsliga grunden för dataskyddsförordningen, föreskrivs att Europaparlamentet och rådet ska fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde.
33 I överensstämmelse med denna bestämmelse ges i artikel 2.1 i dataskyddsförordningen en mycket vid definition av förordningens materiella tillämpningsområde (dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 61). I den artikeln föreskrivs nämligen att förordningen ”ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register”.
34 I artikel 2.2 och 2.3 i dataskyddsförordningen fastställs också på ett uttömmande sätt undantagen från regeln i punkt 1 i den artikeln om förordningens materiella tillämpningsområde. I artikel 2.2 a i dataskyddsförordningen preciseras att förordningen inte ska tillämpas på behandling av personuppgifter ”som utgör ett led i en verksamhet som inte omfattas av unionsrätten”.
35 Den hänskjutande domstolen vill i detta sammanhang få klarhet i huruvida en behandling av personuppgifter som sker inom ramen för verksamhet som utförs av en utredningskommitté som tillsatts av parlamentet i en medlemsstat som ett led i utövandet av parlamentets befogenhet att kontrollera den verkställande makten, under alla omständigheter och oberoende av föremålet för utredningen, omfattas av undantaget i nämnda artikel 2.2 a.
36 Domstolen erinrar om att, med förbehåll för de fall som anges i artikel 2.2 och 2.3 i dataskyddsförordningen, är den förordningen tillämplig på behandling av personuppgifter som genomförs såväl av privatpersoner som av offentliga myndigheter (se, för ett liknande resonemang, dom av den 24 mars 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, punkt 25).
37 Det framgår av domstolens praxis att undantaget i artikel 2.2 i dataskyddsförordningen ska tolkas restriktivt (dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 62 och där angiven rättspraxis). Domstolen har redan preciserat att artikel 2.2 a i dataskyddsförordningen, jämförd med skäl 16 i förordningen, har som enda syfte att från förordningens tillämpningsområde undanta behandling av personuppgifter som statliga myndigheter utför som ett led i en verksamhet som syftar till att upprätthålla nationell säkerhet eller en verksamhet som kan placeras i samma kategori. Det innebär att enbart den omständigheten att en verksamhet endast kan bedrivas av staten eller av en offentlig myndighet inte räcker för att detta undantag automatiskt ska vara tillämpligt på en sådan verksamhet (dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 66, och dom av den 20 oktober 2022, Koalitsia ”Demokratichna Bulgaria – Obedinenie”, C‑306/21, EU:C:2022:813, punkt 39).
38 Denna tolkning, som redan följer av den omständigheten att det i artikel 2.1 i dataskyddsförordningen inte görs någon åtskillnad beroende på vem som utför behandlingen, bekräftas av artikel 4.7 i förordningen, där begreppet ”personuppgiftsansvarig” definieras som en ”fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter”.
39 Det är just vid tolkningen av den sistnämnda bestämmelsen som domstolen har slagit fast att i den mån ett utskott för framställningar i ett delstatsparlament i en medlemsstat ensamt eller tillsammans med andra fastställer ändamålen och medlen för uppgiftsbehandlingen, ska utskottet anses vara ”personuppgiftsansvarig”, i den mening som i nämnda bestämmelse, och utskottets behandling av personuppgifter omfattas följaktligen av dataskyddsförordningens tillämpningsområde (dom av den 9 juli 2020, Land Hessen, C‑272/19, EU:C:2020:535, punkt 74).
40 Präsident des Nationalrates (Talmannen i underhuset i Österrikes parlament) har lyft fram den omständigheten att BVT‑utredningskommittén är ett organ vars verksamhet direkt och uteslutande är parlamentarisk – till skillnad från det utskott för framställningar som var i fråga i det mål som avgjordes genom domen av den 9 juli 2020, Land Hessen (C‑272/19, EU:C:2020:535), vilket endast indirekt bidrog till den parlamentariska verksamheten.
41 Såsom generaladvokaten har påpekat, i punkt 84 i sitt förslag till avgörande, avser nämligen det undantag från dataskyddsförordningens tillämpningsområde som föreskrivs i artikel 2.2 a i denna förordning endast kategorier av verksamheter som på grund av sin art inte omfattas av unionsrättens tillämpningsområde. Det avser varken kategorier av personer, beroende på om de är av privat- eller offentligrättslig beskaffenhet, eller – när den personuppgiftsansvarige är en offentlig myndighet – den omständigheten att myndighetens uppdrag och uppgifter uteslutande och direkt följer av en bestämd offentlig maktbefogenhet, utan att denna befogenhet är knuten till en verksamhet som under alla omständigheter faller utanför unionsrättens tillämpningsområde.
42 Den omständigheten att behandlingen av personuppgifter utförs av en utredningskommitté som tillsatts av en medlemsstats parlament som ett led i utövandet av dess befogenhet att kontrollera den verkställande makten gör det följaktligen inte i sig möjligt att fastställa att behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrättens tillämpningsområde, i den mening som avses i artikel 2.2 a i dataskyddsförordningen.
43 Den första frågan ska således besvaras enligt följande. Artikel 16.2 första meningen FEUF och artikel 2.2 a i dataskyddsförordningen ska tolkas så, att en verksamhet inte kan anses falla utanför unionsrättens tillämpningsområde och därmed inte omfattas av förordningens tillämpningsområde enbart av det skälet att den utförs av en utredningskommitté som tillsatts av en medlemsstats parlament som ett led i utövandet av dess befogenhet att kontrollera den verkställande makten.
Den andra frågan
44 Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida artikel 2.2 a i dataskyddsförordningen, jämförd med skäl 16 i samma förordning, ska tolkas så, att verksamhet som utförs av en utredningskommitté som tillsatts av en medlemsstats parlament som ett led i utövandet av dess befogenhet att kontrollera den verkställande makten, vars ändamål är att undersöka en säkerhetspolisiär myndighets verksamhet på grund av misstankar om att politiskt inflytande utövats över denna myndighet, inte kan anses utgöra verksamhet rörande nationell säkerhet som inte omfattas av unionsrätten, i den mening som avses i den bestämmelsen.
45 Såsom det har erinrats om i punkt 37 ovan ska artikel 2.2 a i dataskyddsförordningen tolkas restriktivt och har som enda syfte att från förordningens tillämpningsområde undanta behandling av personuppgifter som statliga myndigheter utför som ett led i en verksamhet som syftar till att värna nationell säkerhet eller en verksamhet som kan placeras i samma kategori.
46 I den verksamhet som syftar till att värna nationell säkerhet, i den mening som avses i artikel 2.2 a i dataskyddsförordningen, ingår i synnerhet verksamhet som syftar till att skydda statens grundfunktioner och samhällets grundläggande intressen (dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 67, och dom av den 20 oktober 2022, Koalitsia ”Demokratichna Bulgaria – Obedinenie”, C‑306/21, EU:C:2022:813, punkt 40).
47 I enlighet med artikel 4.2 FEU är sådan verksamhet uteslutande medlemsstaternas ansvar (se, för ett liknande resonemang, dom av den 15 juli 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, punkt 36).
48 I förevarande fall framgår det av handlingarna i målet att BVT‑utredningskommittén tillsattes Nationalrat (Underhuset i Österrikes parlament) för att utreda huruvida ett eventuellt politiskt inflytande hade utövats över BVT, vars uppdrag under den period som är aktuell i det nationella målet bestod i att skydda statsskicket och bekämpa terrorism.
49 Präsident des Nationalrates och den tjeckiska regeringen anser att eftersom BVT:s uppdrag inbegriper ”verksamhet som rör nationell säkerhet”, omfattas dess verksamhet av undantaget i artikel 2.2 a i dataskyddsförordningen. Verksamhet som utövas av en parlamentarisk utredningskommitté i en medlemsstat och som består i att kontrollera statliga organ vilka, i likhet med BVT, har ansvar för att värna nationell säkerhet innefattas därför även i begreppet ”verksamhet rörande nationell säkerhet”. Syftet med en sådan utredningskommittés kontrollverksamhet är nämligen att kontrollera att de kontrollerade myndigheterna på ett korrekt sätt värnar nationell säkerhet.
50 Domstolen konstaterar att även om det enligt artikel 4.2 FEU ankommer på medlemsstaterna att definiera sina väsentliga säkerhetsintressen och besluta om de åtgärder som är ägnade att upprätthålla deras inre och yttre säkerhet, kan inte enbart den omständigheten att en nationell åtgärd vidtagits i syfte att skydda nationell säkerhet medföra att unionsrätten inte är tillämplig och att medlemsstaterna befrias från sin skyldighet att följa unionsrätten (se, för ett liknande resonemang, dom av den 15 juli 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, punkt 40 och där angiven rättspraxis).
51 Såsom det har erinrats om i punkt 41 ovan avser undantaget i artikel 2.2 a i dataskyddsförordningen endast kategorier av verksamheter som på grund av sin art inte omfattas av unionsrättens tillämpningsområde. Det avser varken kategorier av personer, beroende på om de är av privat- eller offentligrättslig beskaffenhet, eller – när den personuppgiftsansvarige är en offentlig myndighet – den omständigheten att myndighetens uppdrag och uppgifter uteslutande och direkt följer av en bestämd offentlig maktbefogenhet, utan att denna befogenhet är knuten till en verksamhet som under alla omständigheter faller utanför unionsrättens tillämpningsområde. I detta avseende räcker inte den omständigheten att den personuppgiftsansvarige är en offentlig myndighet, vars huvudsakliga verksamhet är att värna nationell säkerhet, i sig för att den behandling av personuppgifter som myndigheten utför som ett led i sin verksamhet inte ska omfattas av dataskyddsförordningens tillämpningsområde.
52 I förevarande fall framgår det av handlingarna i målet att den utredningskommitté som är aktuell i det nationella målet hade till syfte att göra en politisk kontroll av BVT:s verksamhet på grund av misstankar om politiskt inflytande över detta organ, utan att denna kontroll i sig tycks utgöra en verksamhet som syftar till att värna nationell säkerhet eller en verksamhet som kan placeras i samma kategori, i den mening som avses i den rättspraxis som det erinrats om i punkt 45 ovan. Av detta följer, med förbehåll för den hänskjutande domstolens prövning, att denna verksamhet inte faller utanför dataskyddsförordningens tillämpningsområde enligt artikel 2.2 a i samma förordning.
53 En sådan parlamentarisk utredningskommitté som den som är aktuell i det nationella målet kan inom ramen för sitt arbete få tillgång till uppgifter, i synnerhet personuppgifter, vilka av skäl hänförliga till nationell säkerhet måste åtnjuta särskilt skydd, genom att exempelvis begränsa den information avseende insamlingen av uppgifter som lämnas ut till registrerade eller genom att begränsa registrerades åtkomst till sådana uppgifter.
54 I artikel 23 i dataskyddsförordningen föreskrivs att det genom lagstiftningsåtgärder får fastställas begränsningar av de skyldigheter och rättigheter som föreskrivs i artiklarna 5, 12–22 och 34 i dataskyddsförordningen i syfte att bland annat säkerställa nationell säkerhet eller en tillsynsfunktion som har samband med myndighetsutövning, i synnerhet rörande nationell säkerhet.
55 Kravet på skydd av nationell säkerhet kan således motivera att begränsningar av de skyldigheter och rättigheter som följer av dataskyddsförordningen införs genom lagstiftningsåtgärder, särskilt när det gäller insamling av personuppgifter, information till registrerade och registrerades åtkomst till uppgifter eller utlämnande av uppgifter utan de registrerades samtycke till andra personer än den personuppgiftsansvarige – förutsatt att sådana begränsningar respekterar andemeningen i de registrerades grundläggande fri- och rättigheter och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle.
56 I förevarande fall framgår det emellertid inte av handlingarna i målet att BVT‑utredningskommittén skulle ha påstått att röjandet av WK:s personuppgifter i samband med att protokollet från det kommittésammanträde vid vilket han hördes, utan hans samtycke, offentliggjordes på Parlament Österreichs (Österrikes parlament) webbplats var nödvändigt för att skydda nationell säkerhet och att det grundade sig på en nationell lagstiftningsåtgärd som föreskrivits för detta ändamål. Det är emellertid på den hänskjutande domstolen som det i förekommande fall ankommer att göra erforderliga kontroller i detta avseende.
57 Mot bakgrund av det anförda ska den andra frågan besvaras enligt följande. Artikel 2.2 a i dataskyddsförordningen, jämförd med skäl 16 i samma förordning, ska tolkas så, att verksamhet som utförs av en utredningskommitté som tillsatts av en medlemsstats parlament som ett led i utövandet av dess befogenhet att kontrollera den verkställande makten, vars ändamål är att undersöka en säkerhetspolisiär myndighets verksamhet på grund av misstankar om att politiskt inflytande utövats över denna myndighet, inte i sig kan anses utgöra verksamhet rörande nationell säkerhet som inte omfattas av unionsrätten, i den mening som avses i den bestämmelsen.
Den tredje frågan
58 Den hänskjutande domstolen har ställt den tredje frågan för att få klarhet i huruvida artikel 77.1 och artikel 55.1 i dataskyddsförordningen ska tolkas så, att dessa bestämmelser direkt ger en nationell tillsynsmyndighet behörighet att pröva klagomål angående den behandling av personuppgifter som utförs av en utredningskommitté som tillsatts av en medlemsstats parlament som ett led i utövandet av parlamentets befogenhet att kontrollera den verkställande makten, när den medlemsstaten enligt artikel 51.1 i förordningen har valt att inrätta en enda tillsynsmyndighet, dock utan att ge denna myndighet behörighet att utöva tillsyn över hur en sådan utredningskommitté tillämpar dataskyddsförordningen.
59 För att besvara denna fråga erinrar domstolen om att en förordning enligt artikel 288 andra stycket FEUF till alla delar är bindande och direkt tillämplig i varje medlemsstat.
60 Enligt fast rättspraxis har bestämmelser i förordningar – enligt artikel 288 FEUF och på grund av förordningarnas beskaffenhet och deras funktion i unionens rättskällesystem – i allmänhet omedelbara verkningar i de nationella rättsordningarna, utan att det krävs att de nationella myndigheterna vidtar några tillämpningsåtgärder (dom av den 15 juni 2021, Facebook Ireland m.fl., C‑645/19, EU:C:2021:483, punkt 110 och där angiven rättspraxis).
61 Enligt artikel 77.1 i dataskyddsförordningen har varje registrerad rätt att lämna in ett klagomål till en tillsynsmyndighet om vederbörande anser att behandlingen av personuppgifter som avser honom eller henne utgör en överträdelse av förordningen. Enligt artikel 55.1 i dataskyddsförordningen ska varje tillsynsmyndighet vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt förordningen inom sin egen medlemsstats territorium.
62 Såsom generaladvokaten har påpekat, i punkt 132 i sitt förslag till avgörande, framgår det av lydelsen i dessa bestämmelser att varken artikel 77.1 eller artikel 55.1 i dataskyddsförordningen kräver att det antas några nationella tillämpningsåtgärder för att genomföra dessa bestämmelser och de är tillräckligt klara, precisa och ovillkorliga för att ha direkt effekt.
63 Av detta följer att även om medlemsstaterna i enlighet med artikel 51.1 i dataskyddsförordningen lämnar medlemsstaterna ett utrymme för skönsmässig bedömning vad gäller antalet tillsynsmyndigheter, så fastställer förordningen omfattningen av den behörighet som dessa myndigheter – oberoende av antal – måste tilldelas för att utöva tillsyn över tillämpningen av förordningen.
64 Såsom generaladvokaten har påpekat, i punkt 137 i sitt förslag till avgörande, gäller att om en medlemsstat har valt att inrätta en enda tillsynsmyndighet måste denna myndighet förfoga över samtliga befogenheter som enligt dataskyddsförordningen tillkommer tillsynsmyndigheter.
65 En annan tolkning skulle äventyra den ändamålsenliga verkan av artikel 55.1 och artikel 77.1 i dataskyddsförordningen och riskera att försvaga den ändamålsenliga verkan av övriga bestämmelser i förordningen som kan vara föremål för ett klagomål.
66 När unionslagstiftaren har avsett att begränsa tillsynsmyndigheternas behörighet i fråga om tillsyn över offentliga myndigheters behandling av personuppgifter, har den för övrigt gjort detta uttryckligen, vilket framgår av artikel 55.3 i dataskyddsförordningen, enligt vilken dessa myndigheter inte är behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet.
67 Datenschutzbehörde, Präsident des Nationalrates och den österrikiska regeringen har påpekat att bestämmelser i österrikisk rätt med grundlagsstatus förbjuder den verkställande makten att utöva någon som helst kontroll över den lagstiftande makten. Enligt dessa parter utesluter dessa bestämmelser möjligheten för Datenschutzbehörde, som är underordnad den verkställande makten, att utöva tillsyn över hur BVT‑utredningskommittén, som är ett organ som lyder under den lagstiftande makten, tillämpar dataskyddsförordningen.
68 I förevarande fall är det emellertid just för att respektera medlemsstaternas konstitutionella strukturer som artikel 51.1 i dataskyddsförordningen inskränker sig till att kräva att medlemsstaterna inrättar åtminstone en tillsynsmyndighet, samtidigt som de ges möjlighet att inrätta flera sådana myndigheter. I skäl 117 i förordningen anges för övrigt att medlemsstaterna bör kunna inrätta flera tillsynsmyndigheter om det behövs för att ta hänsyn till deras konstitutionella, organisatoriska och administrativa strukturer.
69 Artikel 51.1 i dataskyddsförordningen ger således varje medlemsstat ett utrymme för skönsmässig bedömning som gör det möjligt för den att inrätta så många tillsynsmyndigheter som krävs, särskilt med hänsyn till vad som krävs enligt dess konstitutionella struktur.
70 Det ska erinras om att den omständigheten att en medlemsstat åberopar bestämmelser i nationell rätt inte får undergräva unionsrättens enhetlighet och verkan. Enligt fast rättspraxis har principen om unionsrättens företräde nämligen verkningar gentemot samtliga organ i en medlemsstat, och nationella bestämmelser, inbegripet konstitutionella bestämmelser, kan inte utgöra hinder för detta (dom av den 22 februari 2022, RS (Verkan av domar från en författningsdomstol)), C‑430/21, EU:C:2022:99, punkt 51 och där angiven rättspraxis).
71 Då en medlemsstat inom ramen för sitt utrymme för skönsmässig bedömning har valt att inrätta en enda tillsynsmyndighet, kan den inte åberopa bestämmelser i nationell rätt, även om de har grundlagsstatus, för att undandra behandling av personuppgifter som omfattas av dataskyddsförordningens tillämpningsområde från myndighetens tillsyn.
72 Mot bakgrund av det anförda ska den tredje frågan besvaras enligt följande. Artikel 77.1 och artikel 55.1 i dataskyddsförordningen ska tolkas så, att dessa bestämmelser direkt ger en nationell tillsynsmyndighet behörighet att pröva klagomål angående den behandling av personuppgifter som utförs av en utredningskommitté som tillsatts av en medlemsstats parlament som ett led i utövandet av parlamentets befogenhet att kontrollera den verkställande makten, när den medlemsstaten enligt artikel 51.1 i förordningen har valt att inrätta en enda tillsynsmyndighet, dock utan att ge denna myndighet behörighet att utöva tillsyn över hur en sådan utredningskommitté tillämpar dataskyddsförordningen.
Rättegångskostnader
73 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.
Mot denna bakgrund beslutar domstolen (stora avdelningen) följande:
1) Artikel 16.2 första meningen FEUF och artikel 2.2 a i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),
ska tolkas på följande sätt:
En verksamhet kan inte anses falla utanför unionsrättens tillämpningsområde och därmed inte omfattas av förordningens tillämpningsområde enbart av det skälet att den utförs av en utredningskommitté som tillsatts av en medlemsstats parlament som ett led i utövandet av dess befogenhet att kontrollera den verkställande makten.
2) Artikel 2.2 a i förordning 2016/679, jämförd med skäl 16 i förordningen,
ska tolkas på följande sätt:
Verksamhet som utförs av en utredningskommitté som tillsatts av en medlemsstats parlament som ett led i utövandet av dess befogenhet att kontrollera den verkställande makten, vars ändamål är att undersöka en säkerhetspolisiär myndighets verksamhet på grund av misstankar om att politiskt inflytande utövats över denna myndighet, kan inte i sig anses utgöra verksamhet rörande nationell säkerhet som inte omfattas av unionsrätten, i den mening som avses i den bestämmelsen.
3) Artikel 77.1 och artikel 55.1 i förordning 2016/679
ska tolkas på följande sätt:
Dessa bestämmelser ger direkt en nationell tillsynsmyndighet behörighet att pröva klagomål angående den behandling av personuppgifter som utförs av en utredningskommitté som tillsatts av en medlemsstats parlament som ett led i utövandet av parlamentets befogenhet att kontrollera den verkställande makten, när den medlemsstaten enligt artikel 51.1 i förordningen har valt att inrätta en enda tillsynsmyndighet, dock utan att ge denna myndighet behörighet att utöva tillsyn över hur en sådan utredningskommitté tillämpar dataskyddsförordningen.
Underskrifter