Mål C‑33/22
Österreichische Datenschutzbehörde
mot
WK,
(begäran om förhandsavgörande från Verwaltungsgerichtshof (Österrike))
Domstolens dom (stora avdelningen) av den 16 januari 2024
”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Artikel 16 FEUF – Förordning (EU) nr 2016/679 – Artikel 2.2 a – Tillämpningsområde – Undantag – Verksamhet som faller utanför unionslagstiftningens tillämpningsområde – Artikel 4.3 FEU – Verksamhet som rör nationell säkerhet – Utredningskommitté som tillsatts av en medlemsstats parlament – Artikel 23.1 a och h, artikel 51 och artikel 55 i förordning (EU) 2016/679 – Behörighet för den myndighet som utövar tillsyn över skyddet av personuppgifter – Artikel 77 – Rätt att lämna in klagomål till en tillsynsmyndighet – Direkt effekt”
1. Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning 2016/679. – Tillämpningsområde – Undantag – Behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten – Verksamhet som utförs av en utredningskommitté som tillsatts av en medlemsstats parlament som ett led i utövandet av parlamentets befogenhet att kontrollera den verkställande makten – Omfattas inte – Tillämpning av förordningen
(Artikel 16.2, första meningen FEUF; Europaparlamentets och rådets förordning 2016/679, skäl 16 och artikel 2.2 a)
(se punkterna 37–43 samt punkt 1 i domslutet)
2. Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning 2016/679 – Tillämpningsområde – Undantag – Behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten – Verksamhet som syftar till att upprätthålla nationell säkerhet eller tillhör samma verksamhetskategori – Begrepp – Verksamhet som utförs av en utredningskommitté som tillsatts av en medlemsstats parlament som ett led i utövandet av parlamentets befogenhet att kontrollera den verkställande makten – Utredning av huruvida politiskt inflytande utövats över en säkerhetspolisiär myndighet – Omfattas inte
(Artikel 4.2 FEU; Europaparlamentets och rådets förordning 2016/679, skäl 16 samt artiklarna 2.1, 2.2 a och 23)
(se punkterna 46 och 50–57 samt punkt 2 i domslutet)
3. Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning 2016/679. – Nationella inspektionsmyndigheter – Rätt för medlemsstaterna att inrätta en enda tillsynsmyndighet – Tillsynsmyndighetens behörighet enligt förordningen – Begränsning av behörigheten till följd av nationella konstitutionella bestämmelser – Otillåtet – Unionsrättens företräde och direkta effekt
(Europaparlamentets och rådets förordning 2016/679, skäl 117 samt artiklarna 51.1, 55.1 och 55.3, och 77.1)
(se punkterna 62–72 samt punkt 3 i domslutet)
Resumé
Verwaltungsgerichtshof (Högsta förvaltningsdomstolen, Österrike) begärde att EU-domstolen skulle meddela förhandsavgörande. EU-domstolen (stora avdelningen) finner att en parlamentarisk utredningskommittés verksamhet inte faller utanför dataskyddsförordningens tillämpningsområde.(1)
Nationalrat (Underhuset i Österrikes parlament) tillsatte en parlamentarisk utredningskommitté för att granska huruvida politiskt inflytande hade utövats över Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Federala myndigheten för skydd av konstitutionen och bekämpande av terrorism, Österrike)(2), (nedan kallad BVT‑utredningskommittén). Kommittén hörde WK. WK hade framställt en begäran om anonymisering, men protokollet från sammanträdet, i vilket hans fullständiga för- och efternamn angavs, offentliggjordes på webbplatsen för Parlament Österreich (Österrikes parlament). WK gjorde gällande att ett sådant utlämnande av hans identitet stred mot dataskyddsförordningen och österrikisk lagstiftning(3) och ingav därför ett klagomål till Österreichische Datenschutzbehörde (dataskyddsmyndigheten, Österrike) (nedan kallad Datenschutzbehörde). Genom beslut av den 18 september 2019 förklarade sig Datenschutzbehörde sakna behörighet att pröva klagomålet och förklarade att principen om maktdelning innebar att den, i egenskap av organ som ingår i den verkställande makten, inte kunde kontrollera BVT‑utredningskommittén, som är en del av den lagstiftande makten.
Efter ett avgörande från Bundesverwaltungsgericht (Federala förvaltningsdomstolen, Österrike), som biföll WK:s överklagande och upphävde Datenschutzbehördes beslut, överklagade Datenschutzbehörde domen från den federala förvaltningsdomstolen till Högsta förvaltningsdomstolen.
I detta sammanhang har den hänskjutande domstolen frågat EU-domstolen huruvida den verksamhet som utförs av en utredningskommitté som tillsatts av en medlemsstats parlament omfattas av dataskyddsförordningens tillämpningsområde och huruvida dataskyddsförordningen är tillämplig när denna verksamhet rör skyddet av nationell säkerhet. Den hänskjutande domstolen har dessutom bett EU-domstolen att uttala sig om huruvida dataskyddsförordningen ger en sådan nationell tillsynsmyndighet som Datenschutzbehörde behörighet att pröva klagomål som rör behandling av personuppgifter som utförs av en utredningskommitté som ett led i dess verksamhet.
Domstolens bedömning
Domstolen erinrar för det första om att artikel 2.2 a i dataskyddsförordningen, i vilken det föreskrivs att förordningen inte ska tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrättens tillämpningsområde, endast syftar till att från förordningens tillämpningsområde undanta behandling av personuppgifter som utförs av statliga myndigheter som ett led i en verksamhet som syftar till att skydda nationell säkerhet eller som ingår i samma kategori. Den omständigheten att en verksamhet endast kan bedrivas av staten eller av en myndighet räcker emellertid inte för att detta undantag automatiskt ska vara tillämpligt på en sådan verksamhet. (4)
Denna tolkning, som följer av att det inte görs någon åtskillnad beroende på vem som utför behandlingen, bekräftas av artikel 4.7 i dataskyddsförordningen.(5)
Domstolen preciserar att BVT‑utredningskommitténs parlamentariska karaktär inte innebär att dess verksamhet är undantagen från dataskyddsförordningens tillämpningsområde. Det undantag som föreskrivs i artikel 2.2 a i förordningen hänför sig nämligen endast till kategorier av verksamheter som på grund av sin art inte omfattas av unionsrättens tillämpningsområde och inte till kategorier av personer. Den omständigheten att behandlingen av personuppgifter utförs av en utredningskommitté som tillsatts av en medlemsstats parlament som ett led i utövandet av dess befogenhet att kontrollera den verkställande makten gör det följaktligen inte i sig möjligt att fastställa att behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrättens tillämpningsområde.
För det andra påpekar domstolen att även om det ankommer på medlemsstaterna att definiera sina väsentliga säkerhetsintressen och att vidta lämpliga åtgärder för att säkerställa sin säkerhet,(6) kan inte enbart den omständigheten att en nationell åtgärd har vidtagits för att skydda nationell säkerhet medföra att unionsrätten inte är tillämplig och befria medlemsstaterna från skyldigheten att iaktta unionsrätten. Det undantag som föreskrivs i artikel 2.2 a i dataskyddsförordningen avser emellertid endast kategorier av verksamheter som på grund av sin art inte omfattas av unionsrättens tillämpningsområde. I detta avseende räcker inte den omständigheten att den personuppgiftsansvarige är en offentlig myndighet, vars huvudsakliga verksamhet är att värna nationell säkerhet, i sig för att den behandling av personuppgifter som myndigheten utför som ett led i sin verksamhet inte ska omfattas av dataskyddsförordningens tillämpningsområde.
I förevarande fall förefaller den politiska kontroll som BVT‑utredningskommitté utövar inte i sig utgöra en verksamhet som syftar till att skydda nationell säkerhet eller som ingår i samma kategori. Med förbehåll för den hänskjutande domstolens prövning faller denna verksamhet således inte utanför dataskyddsförordningens tillämpningsområde.
En parlamentarisk utredningskommitté kan emellertid få tillgång till personuppgifter som av hänsyn till den nationella säkerheten bör åtnjuta särskilt skydd. De rättigheter och skyldigheter som följer av dataskyddsförordningen får begränsas genom lagstiftningsåtgärder för att bland annat garantera nationell säkerhet.(7) Kravet på skydd av nationell säkerhet kan således motivera att begränsningar av de skyldigheter och rättigheter som följer av dataskyddsförordningen införs genom lagstiftningsåtgärder, särskilt när det gäller insamling av personuppgifter, information till registrerade och registrerades åtkomst till uppgifter eller utlämnande av uppgifter utan de registrerades samtycke till andra personer än den personuppgiftsansvarige – förutsatt att sådana begränsningar respekterar andemeningen i de registrerades grundläggande fri- och rättigheter och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle.
Domstolen noterar emellertid att det inte framgår av de uppgifter som lämnats till domstolen att BVT‑utredningskommittén skulle ha påstått att röjandet av den registrerades personuppgifter var nödvändigt för att skydda nationell säkerhet och att det grundade sig på en nationell lagstiftningsåtgärd som vidtagits för detta ändamål, vilket det i förekommande fall återstår att kontrollera av den hänskjutande domstolen.
För det tredje och sista påpekar domstolen att bestämmelserna i dataskyddsförordningen om nationella tillsynsmyndigheters behörighet och rätten att inge klagomål(8) inte kräver att nationella tillämpningsföreskrifter antas och att de är tillräckligt klara, precisa och ovillkorliga för att ha direkt effekt. Av detta följer att även om dataskyddsförordningen ger medlemsstaterna ett utrymme för skönsmässig bedömning när det gäller antalet tillsynsmyndigheter som ska inrättas(9), fastställer den förordningen däremot omfattningen av deras behörighet att övervaka tillämpningen av dataskyddsförordningen. För det fall en medlemsstat beslutar att inrätta en enda nationell tillsynsmyndighet har denna myndighet således med nödvändighet alla de befogenheter som föreskrivs i denna förordning. En annan tolkning skulle äventyra den ändamålsenliga verkan av artikel 55.1 och artikel 77.1 i dataskyddsförordningen och riskera att försvaga den ändamålsenliga verkan av övriga bestämmelser i förordningen som kan vara föremål för ett klagomål.
När det gäller den omständigheten att nationella konstitutionella bestämmelser hindrar en tillsynsmyndighet som hör under den verkställande makten att utöva tillsyn över ett organ som är en del av den lagstiftande maktens tillämpning av dataskyddsförordningen, understryker domstolen att det är just för att respektera medlemsstaternas respektive konstitutionella strukturer som dataskyddsförordningen begränsar sig till att kräva att medlemsstaterna inrättar åtminstone en tillsynsmyndighet, samtidigt som de ges möjlighet att inrätta flera tillsynsmyndigheter. Dataskyddsförordningen ger således varje medlemsstat ett utrymme för skönsmässig bedömning som gör det möjligt för den att inrätta så många tillsynsmyndigheter som krävs, särskilt med hänsyn till vad som krävs enligt dess konstitutionella struktur.
Därför kan inga bestämmelser i nationell lagstiftning, inte ens om de har rang av grundlag, få undergräva unionsrättens enhetlighet och effektivitet. Enligt domstolen kan principen om unionsrättens företräde verkningar gentemot samtliga organ i en medlemsstat, och nationella bestämmelser, inbegripet grundlagsbestämmelser, inte utgöra hinder för detta.(10)
Då en medlemsstat har valt att inrätta en enda tillsynsmyndighet, kan den inte åberopa bestämmelser i nationell rätt, även om de har grundlagsstatus, för att undandra behandling av personuppgifter som omfattas av dataskyddsförordningens tillämpningsområde från myndighetens tillsyn.