FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT LAILA
MEDINA
föredraget den 15 juni 2023 (1)
Mål C‑333/22
Ligue des droits humains ASBL,
BA
mot
Organe de contrôle de l’information policière
(begäran om förhandsavgörande från Cour d’appel de Bruxelles (Appellationsdomstolen, Bryssel, Belgien))
”Begäran om förhandsavgörande – Skydd av fysiska personer vid behandling av personuppgifter i straffrättsliga frågor – Utövande av den registrerades rättigheter genom den behöriga tillsynsmyndigheten – Denna myndighets kontroll av behandlingen av den registrerades personuppgifter – Rätt till ett effektivt rättsmedel mot tillsynsmyndigheten”
1. Direktiv (EU) 2016/680,(2) mer känt som brottsbekämpningsdirektivet, fastlägger särskilda regler om skydd av personuppgifter och om det fria flödet av personuppgifter på områdena för straffrättsligt samarbete och polissamarbete med hänsyn till ”dessa områdens särart”.(3) Direktiv 2016/680 har två politiska mål: å ena sidan är direktivet avsett att bidra till att skapa ett område med frihet, säkerhet och rättvisa(4) som medger det fria flödet av personuppgifter mellan behöriga myndigheter i brottsbekämpningssyfte,(5) å andra sidan är det avsett att säkerställa en hög skyddsnivå för dessa uppgifter. Dess rättsliga grund är artikel 16.2 FEUF som ger unionslagstiftaren rätt att fastställa bestämmelser om skydd för personuppgifter.
2. Att ”förena” dessa två politiska mål som direktiv 2016/680 eftersträvar är emellertid en svår uppgift.(6) Förevarande mål ger domstolen tillfälle att pröva ett konkret exempel på avvägning mellan brottsbekämpning och uppgiftsskydd i samband med de registrerades utövande av sina rättigheter. Direktivet stärker de registrerades rättigheter i jämförelse med den tidigare ordningen enligt rådets rambeslut 2008/977/RIF.(7) Denna förstärkning rör närmare bestämt ett erkännande av den registrerades direkta rätt till tillgång vilken är en väsentlig beståndsdel av den grundläggande rätten till uppgiftsskydd. Som påpekats i juridisk doktrin är de registrerades rättigheter inom området för brottsbekämpning ”ett väsentligt verktyg mot olikhet i tillgång på information och rättsstridig uppgiftsbehandling”.(8) Det är därför väsentligt att säkerställa att dessa rättigheter kan utövas effektivt.
I. Tillämpliga bestämmelser
Unionsrätt
Direktiv 2016/680
3. Artikel 3 i direktiv 2016/680 anger följande definitioner:
”8. personuppgiftsansvarig: en behörig myndighet som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller medlemsstaternas nationella rätt,
…
15. tillsynsmyndighet: en oberoende offentlig myndighet som är utsedd av en medlemsstat i enlighet med artikel 41”.
4. Kapitel III i direktiv 2016/680 har rubriken ”Den registrerades rättigheter”. I detta kapitel föreskriver artikel 13, med rubriken ”Information som ska göras tillgänglig för eller lämnas till den registrerade”, i punkterna 3 och 4 följande:
”3. Medlemsstaterna får anta lagstiftningsåtgärder som gör att informationen till den registrerade enligt punkt 2 senareläggs, begränsas eller utelämnas, i den utsträckning och så länge som en sådan åtgärd är nödvändig och proportionell i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att
a) undvika att hindra officiella eller rättsliga utredningar, undersökningar eller förfaranden,
b) undvika menlig inverkan på förebyggande, förhindrande, upptäckt, utredning eller lagföring av brott eller verkställighet av straffrättsliga påföljder,
c) skydda den allmänna säkerheten,
d) skydda den nationella säkerheten,
e) skydda andra personers rättigheter och friheter.
4. Medlemsstaterna får anta lagstiftningsåtgärder för att fastställa kategorier av behandling som helt eller delvis kan omfattas av något av leden i punkt 3.”
5. Artikel 14 i direktiv 2016/680, med rubriken ”Den registrerades rätt till tillgång till personuppgifter”, anger följande:
”Med förbehåll för artikel 15 ska medlemsstaterna föreskriva att den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse av huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:
…”
6. Artikel 15 i direktiv 2016/680, med rubriken ”Begränsningar av rätten till tillgång”, anger följande:
”1. Medlemsstaterna får anta lagstiftningsåtgärder som helt eller delvis begränsar den registrerades rätt till tillgång i den utsträckning och så länge en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att
a) undvika att hindra officiella eller rättsliga utredningar, förundersökningar eller förfaranden,
b) undvika menlig inverkan på förebyggande, förhindrande, upptäckt, utredning eller lagföring av brott eller verkställighet av straffrättsliga påföljder,
c) skydda den allmänna säkerheten,
d) skydda den nationella säkerheten,
e) skydda andra personers rättigheter och friheter.
2. Medlemsstaterna får anta lagstiftningsåtgärder för att fastställa kategorier av behandling som helt eller delvis kan omfattas av undantagen i punkt 1 a–e.
3. I de fall som avses i punkterna 1 och 2 ska medlemsstaterna föreskriva att den personuppgiftsansvarige utan onödigt dröjsmål ska informera den registrerade skriftligen om varje vägran eller begränsning av tillgång och om skälen för vägran eller begränsningen. Denna information kan utelämnas om tillhandahållandet skulle undergräva ett ändamål enligt punkt 1. Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska underrätta den registrerade om möjligheten att lämna in ett klagomål till en tillsynsmyndighet eller begära rättslig prövning.
4. Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska dokumentera de sakliga och rättsliga grunderna för beslutet. Denna information ska göras tillgänglig för tillsynsmyndigheterna.”
7. Artikel 16 i direktiv 2016/680, med rubriken ”Rätt till rättelse eller radering av personuppgifter och begränsning av behandling”, föreskriver följande i punkt 4:
”Medlemsstaterna ska föreskriva att den personuppgiftsansvarige underrättar den registrerade skriftligen om eventuell vägran att rätta, radera eller begränsa behandlingen och om skälen till vägran. Medlemsstaterna får anta lagstiftningsåtgärder som helt eller delvis begränsar skyldigheten att tillhandahålla sådan information i den utsträckning som en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att
a) undvika att hindra offentliga eller rättsliga utredningar, undersökningar eller förfaranden,
b) undvika menlig inverkan på förebyggande, förhindrande, upptäckt, utredning eller lagföring av brott eller verkställighet av straffrättsliga påföljder,
c) skydda den allmänna säkerheten,
d) skydda den nationella säkerheten,
e) skydda andra personers rättigheter och friheter.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska underrätta den registrerade om möjligheterna att lämna in ett klagomål till en tillsynsmyndighet eller begära rättslig prövning.”
8. Artikel 17 i direktiv 2016/680, med rubriken ”Den registrerades utövande av rättigheter och kontroll genom tillsynsmyndigheten”, anger följande:
”1. I de fall som avses i artiklarna 13.3, 15.3 och 16.4 ska medlemsstaterna anta bestämmelser om att den registrerades rättigheter även kan utövas genom den behöriga tillsynsmyndigheten.
2. Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska underrätta den registrerade om hans eller hennes möjlighet att utöva sina rättigheter genom tillsynsmyndigheten enligt punkt 1.
3. När den rättighet som avses i punkt 1 utövas ska tillsynsmyndigheten åtminstone underrätta den registrerade om att alla nödvändiga kontroller eller en översyn genom tillsynsmyndigheten har ägt rum. Tillsynsmyndigheten ska också informera den registrerade om hans eller hennes rätt att begära rättslig prövning.”
Belgisk rätt
9. Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (lag om skydd av fysiska personer med avseende på behandling av personuppgifter) av den 30 juli 2018 (Moniteur belge, 5 september 2018, s. 68616) (nedan kallad LPD) införlivar direktiv 2016/680 med belgisk rätt. Avdelning 2, kapitel III LPD fastställer den registrerades rättigheter, som i huvudsak rätten till information, rätten till tillgång till uppgifter och rätten till rättelse.
10. Artikel 42 LPD föreskriver följande:
”Begäran om att utöva de rättigheter som avses i detta kapitel med avseende på de polismyndigheter … eller Inspection générale de la police fédérale et de la police locale [(inspektionen för den federala och lokala polisen, Belgien)] ska ställas till den tillsynsmyndighet som avses i artikel 71.
I de fall som avses i artiklarna 37.2, 38.2, 39.4 och 62.1 ska den tillsynsmyndighet som avses i artikel 71 endast meddela den registrerade att den har utfört de nödvändiga kontrollerna.
Oaktat vad som sägs i andra stycket kan den tillsynsmyndighet som avses i artikel 71 delge den berörda personen viss relevant information.
Kungl. Maj:t avgör efter hörande av den tillsynsmyndighet som avses i artikel 71 vilket slag av relevant information som kan delges den berörda personen av denna myndighet.”
11. Den hänskjutande domstolen anger att den ”relevanta information” som tillsynsmyndigheten för polisiär information kan delge den registrerade ännu inte angetts i ett kungligt dekret som avses i artikel 42, fjärde meningen, LPD.
12. Artikel 71 LPD anger följande:
”1. Det ska vid representanthuset inrättas en oberoende myndighet för tillsyn i fråga om polisinformation kallad Organe de Contrôle de l’Information Policière (tillsynsmyndighet för polisiär information, Belgien).
…
[Den har] i uppgift att 1. övervaka tillämpningen av denna avdelning …”
13. I avdelning 5 LPD har kapitel I rubriken ”Förbudsföreläggande”. Artikel 209 som återfinns i detta kapitel har följande lydelse:
”Utan att det föregriper annan rättslig, administrativ eller alternativ prövning ska ordföranden för domstolen i första instans fastställa om det föreligger en uppgiftsbehandling som utgör ett åsidosättande av bestämmelser i lagar och föreskrifter om skydd för fysiska personer med avseende på behandling av personuppgifter och i händelse härav utfärda ett förbudsföreläggande.
Ordföranden för domstolen i första instans ska pröva varje ansökan som avser den rätt som ges genom eller i kraft av denna lag angående meddelande av personuppgifter och varje ansökan om rättelse, utplåning eller förbud mot användande av alla personuppgifter som är felaktiga eller, med avseende på syftet med behandlingen, ofullständiga eller irrelevanta eller vars registrering, utlämnande eller lagring är förbjuden, vars behandling den registrerade har motsatt sig eller vars resultat har lagrats under längre tid än vad som är tillåtet.”
14. Artikel 240 LPD föreskriver att tillsynsmyndigheten för polisiär information
”4. där så är lämpligt ska hantera klagomål, utreda föremålet för klagomålet och i rimlig tid informera klaganden om hur arbetet med klagomålet fortskrider och vad resultatet blir, särskilt om ärendet kräver ytterligare utredning eller samordning med en annan tillsynsmyndighet …”
II. De faktiska omständigheterna, förfarandet samt tolknings- och giltighetsfrågorna
15. År 2016 ville BA delta i montering och nedmontering av installationerna i samband med den tionde upplagan av ”Europeiska utvecklingsdagarna” i Bryssel (Belgien). Han måste för detta ändamål erhålla ett ”säkerhetsintyg”.
16. Genom skrivelse av den 22 juni 2016 vägrade Autorité nationale de sécurité (den nationella säkerhetsmyndigheten, Belgien) att utfärda det nödvändiga säkerhetsintyget. Den angav att det av information som var tillgänglig för myndigheten framgick att det var känt att den berörda personen deltagit i 10 demonstrationer mellan 2007 och 2016, vilket hindrade utfärdande av säkerhetsintyget. BA angrep inte detta beslut av den nationella säkerhetsmyndigheten.
17. LPD, varigenom tillsynsmyndigheten för polisiär information inrättades, trädde i kraft den 5 september 2018.
18. Den 4 februari 2020 begärde BA:s rättsliga ombud att tillsynsmyndigheten för polisiär information skulle ange vilka som var ansvariga för den omtvistade uppgiftsbehandlingen och att förelägga dessa att ge BA tillgång till samtliga uppgifter som rörde honom.
19. Genom e‑postmeddelande av den 6 februari 2020 svarade tillsynsmyndigheten för polisiär information att BA endast hade en indirekt rätt till tillgång men förklarade att den skulle kontrollera BA:s personuppgifter i syfte att säkerställa lagligheten av en eventuell uppgiftsbehandling i Banque de données nationale générale (den allmänna nationella databasen, BNG). Tillsynsmyndigheten för polisiär information förklarade att den var behörig att beordra polisen att vid behov utplåna eller ändra uppgifter och att BA efter kontrollen skulle underrättas om att ”nödvändiga kontroller har utförts”.
20. Den 22 juni 2020 skrev tillsynsmyndigheten för polisiär information följande:
”… jag underrättar er i enlighet med artikel 42 [LPD] om att tillsynsmyndigheten har utfört de nödvändiga kontrollerna.
Detta innebär att er klients personuppgifter har kontrollerats i polismyndighetens databaser i syfte att säkerställa att en eventuell uppgiftsbehandling är laglig.
Vid behov har personuppgifterna ändrats eller utplånats.
Som jag förklarade för er i mitt e‑postmeddelande av den 2 juni är det i enlighet med artikel 42 LPD inte tillåtet för tillsynsmyndigheten att lämna ut ytterligare uppgifter.”
21. Den 2 september 2020 väckte klagandena i det nationella målet, BA och Ligue des droits humains, talan mot tillsynsmyndigheten för polisiär information. Stämningsansökan ingavs till ordföranden vid tribunal de première instance francophone de Bruxelles (Franskspråkiga förstainstansdomstolen i Bryssel, Belgien) på grundval av artikel 209, andra meningen LPD. De begärde att det skulle fastställas att deras talan mot tillsynsmyndigheten kunde upptas till prövning i sak. Alternativt frågade de den domstolen huruvida artikel 42 LPD står i strid med artiklarna 47.4 och 17.3 i direktiv 2016/680. I detta avseende påstod BA och Ligue des droits humains att artikel 42 LPD inte föreskriver någon möjlighet till rättslig prövning av beslut som fattats av den oberoende tillsynsmyndigheten och inte heller ålägger den denna myndighet att informera den registrerade om hans eller hennes rätt att begära rättslig prövning.
22. Beträffande det materiella innehållet i deras talan begärde sökandena tillgång till samtliga personuppgifter rörande BA och yrkade att tillsynsmyndigheten för polisiär information skulle förpliktas att ange vilka personuppgiftsansvariga och vilka personer som kunde ha erhållit dessa uppgifter. Alternativt begärde de att en fråga skulle ställas till EU-domstolen angående huruvida artikel 42.2 LPD är förenlig med artiklarna 14, 15 och 17 i direktiv 2016/680, jämförda med artiklarna 8, 47 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan). I detta avseende anmärkte de att artikel 42.2 LPD föreskriver ett generellt och systematiskt undantag från rätten till tillgång till personuppgifter.
23. Genom beslut av den 17 maj 2021 förklarade tribunal de première instance francophone de Bruxelles (Franskspråkiga förstainstansdomstolen i Bryssel) att den saknade behörighet i fråga om sökandenas talan.
24. Genom överklagande av den 15 juni 2021 fördes det nationella målet till Cour d’appel de Bruxelles (Appellationsdomstolen, Bryssel) (nedan kallad appellationsdomstolen). Klagandena upprepade i huvudsak den kritik som de framfört mot artikel 42.2 LPD och de yrkanden som de framställt i första instans.
25. Tillsynsmyndigheten för polisiär information yrkade att överklagandet skulle avslås.
26. Den hänskjutande domstolen uppger att uppgifter som behandlas av polismyndigheterna enligt belgisk rätt är föremål för en särskild reglering. Enligt artikel 42 LPD ska begäran som grundas på rättigheter avseende dessa personuppgifter i samtliga fall framställas till tillsynsmyndigheten för polisiär information. Denna myndighet informerar endast den registrerade om att ”de nödvändiga kontrollerna har genomförts”.
27. Den hänskjutande domstolen uppger att artikel 17.3 i direktiv 2016/680 inte har införlivats med inhemsk rätt på ett vederbörligt sätt. För det första föreskriver inte artikel 42 LPD att tillsynsmyndigheten ska informera den registrerade om hans eller hennes rätt att begära rättslig prövning. För det andra möjliggör inte LPD någon rättslig prövning mot tillsynsmyndigheten för polisiär information.
28. I detta avseende uppger den hänskjutande domstolen att det rättsmedel som fastställs i artikel 240 LPD, som gör det möjligt för den registrerade att ge in ett klagomål till tillsynsmyndigheten, ska riktas mot den personuppgiftsansvarige.
29. Den uppger i detta avseende även att en talan om förbudsföreläggande enligt artikel 209 och följande artiklar i LPD inte innebär ett effektivt rättsmedel för BA mot tillsynsmyndigheten för polisiär information. I detta avseende uppger den hänskjutande domstolen att det av dessa bestämmelser framgår att talan ska riktas mot den personuppgiftsansvarige. Den kan därför inte föras av BA mot tillsynsmyndigheten för polisiär information. Vidare gör inte artikel 42 LPD det möjligt för BA att föra en sådan talan mot den personuppgiftsansvarige då utövandet av hans rättigheter anförtrotts tillsynsmyndigheten för polisiär information. Dessutom gör inte den mycket kortfattade information som ges av tillsynsmyndigheten för polisiär information enligt artikel 42 LPD det möjligt för BA eller en domstol att vid en prövning i efterhand avgöra huruvida tillsynsmyndigheten för polisiär information på ett riktigt sätt har utövat BA:s rättigheter.
30. Fastän talan om förbudsföreläggande fastläggs i LPD ”utan att det föregriper annan rättslig, administrativ eller alternativ prövning” och utan att begränsa ”behörigheten för domstolen i första instans och för ordföranden i domstolen i första instans som prövar interimistiska åtgärder” (artiklarna 209 och 219 LPD) skulle varje annat rättsmedel som BA kan försöka utnyttja, enligt den hänskjutande domstolens uppfattning, möta samma hinder.
31. Under dessa omständigheter beslutade Cour d’Appel de Bruxelles (Appellationsdomstolen, Bryssel) att vilandeförklara målet och att hänskjuta följande frågor till EU-domstolen för förhandsavgörande:
”1. Kräver artiklarna 47 och 8.3 i [stadgan] att det ska föreskrivas möjlighet till en rättslig prövning gentemot en oberoende tillsynsmyndighet, såsom tillsynsmyndigheten för polisiär information, avseende dess utövande av den registrerades rättigheter gentemot den personuppgiftsansvarige?
2. Är artikel 17 i direktiv 2016/680 förenlig med artiklarna 47 och 8.3 i [stadgan], så som dessa har tolkats av domstolen, när tillsynsmyndigheten – som utövar den registrerades rättigheter gentemot den personuppgiftsansvarige – genom denna artikel endast åläggs att underrätta vederbörande om ’att alla nödvändiga kontroller eller en översyn genom tillsynsmyndigheten har ägt rum’ och ’om hans eller hennes rätt att begära rättslig prövning’, trots att sådan information inte möjliggör någon prövning i efterhand av tillsynsmyndighetens handlande och bedömning med avseende på den registrerades uppgifter och de åligganden som vilar på den personuppgiftsansvarige?”
32. Klagandena i det nationella målet, den belgiska regeringen, Republiken Tjeckien, Europeiska kommissionen och Europaparlamentet har ingett skriftliga yttranden. EU-domstolen ställde ett antal skriftliga frågor till den belgiska regeringen som skulle besvaras skriftligen. Den belgiska regeringen svarade den 13 mars 2023. Klagandena och motparten i det nationella målet, den franska regeringen, Europeiska kommissionen och Europaparlamentet deltog i den muntliga förhandlingen den 29 mars 2023.
III. Bedömning
Inledande synpunkter
33. De frågor som ställts för förhandsavgörande rör i huvudsak rättslig prövning av en åtgärd av en tillsynsmyndighet och dess omfattning och effektivitet i en situation i vilken denna myndighet utövar den registrerades rättigheter för den registrerades räkning, det vill säga när rättigheterna utövas indirekt. Den hänskjutande domstolen har inte ifrågasatt utformningen som sådan av den belgiska ordningen för indirekt tillgång för de registrerade. Rätten till ett effektivt rättsmedel påverkas emellertid med nödvändighet av ett system i vilket de registrerades tillgång är i praktiken omöjlig eller orimligt svår. Det är därför viktigt att som en preliminär fråga kort beskriva utformningen av de registrerades rättigheter enligt direktiv 2016/680 innan prövning sker av hur den belgiska ordningen för indirekt tillgång passar in i denna struktur.
a) Registrerades rättigheter enligt direktiv 2016/680 och begränsningar av dessa rättigheter
34. Rätten till tillgång till insamlade uppgifter och rätten att få rättelse av dessa uppgifter är en väsentlig beståndsdel i rätten till skydd av personuppgifter som fastläggs i artikel 8.2 i stadgan. Rätten till tillgång tjänar i allmänhet två huvudsakliga syften, nämligen att ”förbättra öppenhet och underlätta kontroll”.(9) Som framhållits i juridisk doktrin förbättrar den öppenhet då den tar fram ”ett andra, djupare och mer detaljerat skikt i den information som den registrerade kan erhålla”.(10) Rätten till tillgång underlättar kontroll då den utgör en förutsättning för utövande av andra rättigheter, det vill säga rätten till rättelse eller radering av personuppgifter eller begäran om rättslig prövning.(11)
35. Det framgår av skäl 7 i direktiv 2016/680 att detta direktiv avser att uppnå ett effektivt skydd av personuppgifter i hela Europeiska unionen, vilket förutsätter att de registrerades rättigheter stärks och att skyldigheterna för dem som behandlar personuppgifter ökar, samt likvärdiga befogenheter för att övervaka och säkerställa efterlevnaden av bestämmelserna om skydd av personuppgifter i medlemsstaterna. Detta är ett viktigt steg framåt jämfört med den tidigare ordningen enligt rambeslut 2008/977. Tillämpningsområdet för detta rambeslut var begränsat till gränsöverskridande uppgiftsbehandling. Det återspeglade ”särdragen i EU:s ’pelarstruktur’”(12) och gav dessutom ”medlemsstaternas nationella lagstiftning stor frihet”.(13) Jämfört med denna tidigare ordning föreskriver kapitel III i direktiv 2016/680 en ”ny struktur för de registrerades rättigheter som bygger på principen att de har rätt till information, tillgång, rättelse, radering eller begränsning av behandling, såvida inte dessa rättigheter har begränsats”.(14)
36. Närmare bestämt föreskriver artikel 13 i direktiv 2016/680 att den personuppgiftsansvarige ska göra viss information tillgänglig för den registrerade. (rätten till information). Artikel 14 fastställer att den registrerade har rätt att av den personuppgiftsansvarige få bekräftelse av huruvida personuppgifter som rör honom eller henne håller på att behandlas och om detta är fallet rätt till tillgång till personuppgifterna och viss information (rätten till tillgång). Artikel 16 föreskriver att den registrerade har rätt att från den personuppgiftsansvarige erhålla rättelse av oriktiga personuppgifter rörande honom eller henne samt rätten till radering av personuppgifter eller i förekommande fall begränsning av behandlingen (rätten till rättelse, radering eller begränsning av behandlingen). Den registrerade kan i princip utöva sina rättigheter direkt.
37. Direktiv 2016/680 tillåter medlemsstaterna att anta lagstiftningsåtgärder som begränsar, helt eller delvis, den registrerades rättigheter på villkor som anges i artiklarna 13.3, 15 och 16.4 i direktiv 2016/680. I huvudsak är sådana åtgärder tillåtna ”i den utsträckning och så länge som en sådan åtgärd är nödvändig och proportionell i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen” i syfte att bevara ett specifikt mål av allmänt intresse, nämligen, för att undvika att hindra officiella eller rättsliga utredningar, undersökningar eller förfaranden, undvika menlig inverkan på förebyggande, förhindrande, upptäckt, utredning eller lagföring av brott eller verkställighet av straffrättsliga påföljder, skydda den allmänna säkerheten, den nationella säkerheten eller skydda andra personers rättigheter och friheter. Medlemsstaterna får enligt artikel 13.4 och artikel 15.2 i direktiv 2016/680 anta lagstiftningsåtgärder för att fastställa kategorier av behandling som helt eller delvis kan omfattas av något av dessa syften.
38. Om rätten till tillgång begränsas ska den personuppgiftsansvarige enligt artikel 15.3 i direktiv 2016/680 utan onödigt dröjsmål informera den registrerade skriftligen om varje vägran eller begränsning av tillgång och om skälen för vägran eller begränsningen. Denna information kan utelämnas om tillhandahållandet skulle undergräva ett ändamål av allmänt intresse enligt artikel 15.1 i direktivet. Den personuppgiftsansvarige ska underrätta den registrerade om möjligheten att lämna in ett klagomål till en tillsynsmyndighet eller begära rättslig prövning. När rätten till tillgång har begränsats eller vägrats ska enligt artikel 15.4 i direktiv 2016/680 den personuppgiftsansvarige dessutom dokumentera de sakliga och rättsliga grunderna för beslutet. Denna information ska göras tillgänglig för tillsynsmyndigheterna.
39. Det följer av utformningen av den registrerades rättigheter som fastställs i kapitel III i direktiv 2016/680 att den allmänna regeln är att de registrerade, inom området för brottsbekämpning, har rättigheter rörande skyddet för deras uppgifter och att de kan utöva dessa rättigheter direkt. Varje begränsning av dessa rättigheter är ett undantag. Enligt fast rättspraxis ska ett undantag från en allmän regel tolkas restriktivt.(15) Det finns dessutom begränsningar av inskränkningarna vad gäller skyldigheten att motivera införda inskränkningar och att informera den registrerade därom. Det är endast genom ett undantag som sådan information kan utelämnas.
40. Samma förhållande mellan regel och undantag är också tillämpligt avseende den möjlighet som medlemsstaterna ges att bestämma kategorier av behandling som helt eller delvis kan utgöra syften av allmänt intresse, och sålunda tillåta begränsning av utövandet av de registrerades rättigheter enligt artikel 13.3 eller artikel 15.1 i direktiv 2016/680. Som i huvudsak framhållits i artikel 29-arbetsgruppens yttrande om direktiv 2016/680(16) tillåter inte den möjlighet som ges medlemsstaterna att bestämma sådana kategorier av behandling allmänna restriktioner avseende de registrerades rätt till information och tillgång.(17) Sådana allmänna restriktioner skulle ge undantaget företräde framför regeln och i stor utsträckning förta verkan av de bestämmelser som fastlägger den registrerades rättigheter.(18)
b) Indirekt utövande av den registrerades rättigheter
41. Den registrerades rätt att ta direkt kontakt med den personuppgiftsansvarige för att utöva sin rätt är ett viktigt inslag i direktiv 2016/680. Detta direktiv garanterar det direkta utövandet av den registrerades rättigheter ”som en principfråga”.(19) De registrerade har rätt till direkt tillgång såvida det inte föreligger en inskränkning. När det föreligger en inskränkning och rätten till direkt tillgång därför inte längre är tillämplig kan den registrerade utöva sina rättigheter indirekt genom den behöriga tillsynsmyndigheten enligt artikel 17.1 i direktiv 2016/680.
42. Såsom såväl den franska regeringen som kommissionen har påpekat och såsom också understryks av artikel 29-arbetsgruppen i dess yttrande om direktiv 2016/680 är indirekt utövande av rättigheter genom den behöriga myndigheten en ytterligare garanti, som erbjuds de registrerade när begränsningar råder.(20) Utformningen av indirekt utövande av rättigheter som en ytterligare garanti utgör ett viktigt steg framåt i jämförelse med den tidigare situationen enligt rambeslut 2008/977.(21) Enligt detta rambeslut var indirekt tillgång jämställd med direkt tillgång.(22) Det skulle vara i strid med hela syftet med den harmonisering som eftersträvas med direktiv 2016/680 om medlemsstaterna trots direktivets utveckling av utformningen av de registrerades rättigheter skulle göra tillhandahållande av indirekt tillgång till den enda tillgängliga möjligheten för de registrerade i stället för en ytterligare möjlighet för de registrerade.
c) Ordningen med indirekt utövande som fastställs i artikel 42 LPD
43. Artikel 17 i direktiv 2016/680 är införlivad med belgisk rätt genom artikel 42 LPD. Den första meningen i artikel 42 LPD föreskriver att de registrerade ska ställa samtliga begäranden om utövande av deras rättigheter i förhållande till polismyndigheterna till tillsynsmyndigheten för polisiär information. Den andra meningen i artikel 42 LPD föreskriver att denna tillsynsmyndighet, när den personuppgiftsansvarige har begränsat eller vägrat tillgång, ska meddela den registrerade endast att den har utfört de nödvändiga kontrollerna.
44. Det förefaller mig som om artikel 42 LPD inför en ordning som avviker från principen om direkt utövande av den registrerades rättigheter med avseende på samtliga uppgifter som behandlas av polismyndigheter. Med hänsyn till den ytterligt vidsträckta omfattningen av de uppgifter, som berörs av undantag i denna ordning, inför denna ordning ett allmänt undantag från den direkta rätten till tillgång. Som förklaras i de inledande synpunkterna ovan kan inte ett sådant brett och allmänt undantag från rätten till direkt tillgång anses vara förenligt med direktiv 2016/680.(23) Som Conseil d’État (Högsta förvaltningsdomstolen, Belgien) i huvudsak uppgav i sitt yttrande med avseende på förslaget till LPD strider det mot artikel 17 i direktiv 2016/680 att gå från att den berörda personen har en möjlighet att indirekt utöva sina rättigheter till att i stället tillåta att lagstiftaren kräver att dessa rättigheter ska utövas indirekt.(24)
45. Att ersätta direkt tillgång med indirekt tillgång enligt artikel 42 LPD är ännu mer problematiskt med hänsyn till att tillsynsmyndigheten för polisiär information har begränsade befogenheter. När ombudet för myndigheten tillfrågades härom vid förhandlingen bekräftade ombudet att tillsynsmyndigheten för polisiär information, i fråga om indirekt utövande av den registrerades rättigheter, får informera den registrerade endast om att alla nödvändiga kontroller har utförts. Det ska dock erinras om att ordningen med indirekt tillgång är ett undantag som förutsätter att den registrerades rättigheter är begränsade i enlighet med de villkor som anges i direktiv 2016/680. Enligt det belgiska systemet är däremot den registrerade skyldig att begära att tillsynsmyndigheten utövar hans eller hennes rättigheter med avseende på uppgifter som behandlas av polismyndigheten. Han eller hon kan inte få tillgång till uppgifter om honom eller henne och kan inte erhålla mer än en bekräftelse på att alla nödvändiga kontroller har utförts. Den nationella lagstiftaren förefaller ha infört ett underliggande antagande, med avvikelse från direktiv 2016/680, att de registrerades rättigheter – med avseende på alla uppgifter som behandlas av polisen – alltid är begränsade och att direkt tillgång inte är möjlig.
46. Mot bakgrund av dessa överväganden är det min uppfattning att artikel 42 LPD inför en ordning med indirekt tillgång till rättigheter som är oförenlig med det sätt för utövande av de registrerades rättigheter som anges i direktiv 2016/680. Tolknings- och giltighetsfrågorna kommer att bedömas i ljuset av dessa överväganden.
Den första frågan
47. Först ska det erinras om att det i enlighet med fast rättspraxis enligt det förfarande för samarbete mellan nationella domstolar och EU-domstolen som införts genom artikel 267 FEUF ankommer på EU-domstolen att ge den nationella domstolen ett användbart svar, som gör det möjligt för den domstolen att avgöra det mål som den ska pröva. I detta syfte kan EU-domstolen behöva omformulera den fråga som hänskjutits. EU-domstolen har för detta ändamål möjlighet att utifrån samtliga uppgifter som den nationella domstolen har lämnat, och i synnerhet utifrån skälen i beslutet om hänskjutande, avgöra vilka delar av unionsrätten som behöver tolkas med hänsyn till saken i det nationella målet.(25)
48. I förevarande mål framgår det av beslutet om hänskjutande att den hänskjutande domstolen genom sin första fråga begär en tolkning av artikel 17 i direktiv 2016/680. Den frågar i huvudsak huruvida denna bestämmelse jämförd med artiklarna 47 och 8.3 i stadgan ska tolkas på det sättet att det krävs att den registrerade ska ha tillgång till rättslig prövning mot en oberoende tillsynsmyndighet när han eller hon utövar sina rättigheter genom tillsynsmyndigheten.
49. Som en inledande fråga ska det framhållas att den hänskjutande domstolen ställer denna fråga då den anser att belgisk rätt inte föreskriver en rätt att begära rättslig prövning mot en tillsynsmyndighet när denna indirekt utövar den registrerades rättigheter. I detta avseende uppger den först att denna bestämmelse inte har införlivats med nationell rätt på rätt sätt, eftersom artikel 42 LPD inte föreskriver en skyldighet för tillsynsmyndigheten att informera den registrerade om dennes rätt att begära rättslig prövning. Den hänskjutande domstolen anser vidare att ingen annan bestämmelse i LPD, i synnerhet artiklarna 209 och följande artiklar och 240 däri, tillåter att den registrerade väcker talan mot tillsynsmyndigheten vid indirekt utövande av dennes rättigheter.(26)
50. Den belgiska regeringen har i sina skriftliga inlagor hävdat att den belgiska rättsordningen, oberoende av tolkningen av den andra meningen i artikel 209, innehåller bestämmelser om rättslig prövning under de omständigheter som föreligger i det nationella målet. I detta avseende har den påstått att de specifika rättsmedlen i LPD inte påverkar de allmänna domstolarnas generella behörighet. Den belgiska regeringen har rätt när den påpekar att EU-domstolen enligt fast rättspraxis endast är behörig att tolka eller pröva giltigheten av en unionsrättsakt på grundval av de uppgifter om de faktiska omständigheterna som har lämnats av den nationella domstolen. Däremot ankommer det uteslutande på den hänskjutande domstolen att tolka den nationella rätten.(27)
a) Rättsmedel tillgängliga för den registrerade
51. För att bestämma huruvida en registrerad har rätt att begära rättslig prövning mot en tillsynsmyndighet vid indirekt utövande av hans eller hennes rättigheter ska det erinras om att direktiv 2016/680 i kapitel VIII anger ett antal rättsmedel som är tillgängliga för registrerade. Registrerade har rätt att lämna in ett klagomål till en tillsynsmyndighet enligt artikel 52 i direktiv 2016/680. Artikel 53.1 i direktiv 2016/680 föreskriver att de registrerade har rätt till ett effektivt rättsmedel mot en tillsynsmyndighets beslut som rör dem. Artikel 53.2 föreskriver att varje registrerad person ska ha rätt till ett effektivt rättsmedel om tillsynsmyndigheten inte inom tre månader behandlar ett klagomål eller om tillsynsmyndigheten inte informerar den registrerade om handläggningen eller resultatet av klagomålet. Dessutom har de registrerade om de anser att deras rättigheter har kränkts som en följd av att deras personuppgifter har behandlats på ett oriktigt sätt rätt till ett effektivt rättsmedel mot den personuppgiftsansvarige eller personuppgiftsbiträdet. Alla dessa bestämmelser anger att varje rättsmedel är tillgängligt ”utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol”.
52. Beträffande rätten till ett effektivt rättsmedel mot tillsynsmyndigheten anger skäl 86 i direktiv 2016/680 att denna rättighet kan utövas mot en ”tillsynsmyndighets beslut som har rättsliga följder för denna person”. Samma skäl anger att ett sådant beslut särskilt avser tillsynsmyndighetens utövande av utrednings-, korrigerings- och godkännandebefogenheter eller avvisande av eller avslag på klagomål. Rätten till ett effektivt rättsmedel inbegriper dock inte ”tillsynsmyndigheters övriga åtgärder som inte är rättsligt bindande, såsom yttranden som avgetts eller rådgivning som tillhandahållits av tillsynsmyndigheten”.
53. Det framgår av artikel 53.1 i direktiv 2016/680 jämförd med skäl 86 däri att den registrerade har rätt att angripa en tillsynsmyndighets rättsligt bindande beslut eller åtgärd.
54. I detta avseende ska det erinras om att rätten till ett effektivt domstolsskydd, vilken följer av artikel 47 i stadgan, ska tillerkännas varje person som gör gällande rättigheter eller friheter som garanteras i unionsrätten, mot en rättsakt som går denna emot på så sätt att personens rättigheter eller friheter kan inskränkas.(28)
55. Härefter ska det påpekas att rättsakter som går någon emot är sådana ”rättsakter eller åtgärder som har bindande rättsverkningar som direkt och omedelbart kan påverka klagandens intressen, genom att klart förändra dennes rättsliga ställning”.(29) I detta avseende är det nödvändigt att se till rättsaktens innebörd och att bedöma dessa verkningar mot bakgrund av objektiva kriterier, såsom rättsaktens innehåll, i förekommande fall med beaktande av det sammanhang i vilket den antogs och den antagande institutionens befogenheter.(30)
b) Tillsynsmyndighetens befogenheter vid indirekt utövande av rättigheter
56. För att bestämma huruvida en tillsynsmyndighet, med hänsyn till de omständigheter som avgör om en rättsakt går någon emot, har antagit ett rättsligt bindande beslut när den indirekt utövar den registrerades rättigheter enligt artikel 17 i direktiv 2016/680, är det nödvändigt att se till den av tillsynsmyndigheten antagna aktens innehåll eller innebörd med beaktande av det sammanhang i vilket akten antogs och denna myndighets befogenheter.
57. Vad först beträffar den av tillsynsmyndigheten antagna aktens innebörd ska det inledningsvis klarläggas att frågan om en akt kan direkt påverka en fysisk eller juridisk persons rättsliga ställning inte kan enbart bedömas med hänvisning till förhållandet att denna akt har formen av ett e‑postmeddelande (som var fallet i det nationella målet), eftersom detta skulle innebära att ge formen av den akt som är föremål för talan företräde framför denna akts faktiska innebörd.(31)
58. Artikel 17.1 i direktiv 2016/680 föreskriver att den registrerades rättigheter kan utövas ”genom” den behöriga tillsynsmyndigheten. Skäl 48 i detta direktiv anger att tillsynsmyndigheten agerar ”för den registrerades räkning”. Enligt artikel 17.3 i detta direktiv ska tillsynsmyndigheten ”underrätta” den registrerade åtminstone om att alla nödvändiga kontroller eller en översyn genom tillsynsmyndigheten har ägt rum.
59. Tillsynsmyndigheten för polisiär information har påstått att det av ordalydelsen i dessa bestämmelser framgår att en tillsynsmyndighet endast utför ett uppdrag för den registrerades räkning och agerar som en budbärare som endast tillhandahåller den registrerade information. Därför kan inte den akt som denna myndighet antar anses medföra bindande rättsliga verkningar för den registrerade. Den tjeckiska regeringen har framfört ett liknande argument.
60. Jag ifrågasätter inte att den ordalydelse, sedd för sig, som används i samband med utövandet av den registrerades rättigheter ”genom” tillsynsmyndigheten eller tillsynsmyndighetens agerande ”för den registrerades räkning” kan uppfattas som ett uttryck för att tillsynsmyndigheten har ett uppdrag enbart för att tillhandahålla information.
61. Jag anser emellertid att en undersökning av aktens innehåll och tillsynsmyndighetens befogenheter inte stöder uppfattningen att det endast föreligger ett uppdrag. I samband med det indirekta utövandet av den registrerades rättigheter är tillsynsmyndighetens roll vidare än att agera på ett sätt liknande ett ”ombud” för den registrerade eller som en ”budbärare” eller mellanhand. Som jag kommer att visa har unionslagstiftaren tvärtom tilldelat tillsynsmyndigheten en ledande och aktiv roll vid kontrollen av uppgiftsbehandlingens laglighet, som enbart en offentlig myndighet kan genomföra.
62. Som kommissionen och den belgiska regeringen har påstått ska närmare bestämt artikel 17 i direktiv 2016/680 tolkas i förening med bestämmelserna i avsnitt 2 i kapitel VI i detta direktiv, som anger reglerna om de oberoende tillsynsmyndigheternas behörighet, uppgifter och befogenheter. Artikel 46.1 g i detta direktiv föreskriver att tillsynsmyndigheten ska ”kontrollera att behandling enligt artikel 17 är laglig och inom en rimlig period informera den registrerade om resultatet av kontrollen enligt artikel 17.3 eller om skälen till att kontrollen inte har genomförts”.
63. Den belgiska regeringen har riktigt påpekat i sitt svar på en fråga från domstolen att den specifika uppgiften att kontrollera behandlingens laglighet visar att tillsynsmyndighetens roll inte är begränsad till att agera som endast en ”budbärare” mellan den registrerade och den personuppgiftsansvarige. Denna myndighet utför i stället en egen rättslig bedömning av behandlingens laglighet.
64. För att utföra sin uppgift att göra en oberoende kontroll av behandlingens laglighet har dessutom varje tillsynsmyndighet vissa verkställighetsbefogenheter enligt artikel 47 i direktiv 2016/680. Dessa befogenheter är ”effektiva undersökningsbefogenheter”, vilka minst inbegriper ”rätten att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter som behandlas” och även ”korrigerande” befogenheter inbegripet befogenheten att beordra rättelse, eller radering av personuppgifter eller begränsning av behandling. Dessutom har tillsynsmyndigheterna, enligt artikel 47.5, befogenhet att delta i rättsliga förfaranden i syfte att säkerställa efterlevnaden av sådana bestämmelser om uppgiftsskydd som antas i enlighet med direktiv 2016/680. Jag håller med kommissionen som i detta avseende har framhållit att tillsynsmyndigheten endast kan utöva dessa befogenheter för egen räkning som en offentlig myndighet och inte som enbart ombud eller i den registrerades namn.
65. När tillsynsmyndigheten underrättar den registrerade om resultatet av den kontroll som den genomfört enligt artikel 17.3 och artikel 46.1 g i direktiv 2016/680 har den med nödvändighet nått slutet på en beslutsprocess med avseende på behandlingens laglighet. Den registrerades rättsliga ställning påverkas därför av i) huruvida tillsynsmyndigheten på ett riktigt sätt har genomfört den uppgift som åligger den att ”kontrollera att behandling enligt artikel 17 är laglig” och ii) den slutsats som denna myndighet drar som en följd av denna process.
66. Tillsynsmyndighetens självständiga roll enligt artikel 17 i direktiv 2016/680 i motsats till rollen som enbart mellanhand stärks av en tolkning av direktivet mot bakgrund av stadgan. Artikel 8.3 i stadgan anförtror en oberoende myndighet kontrollen av att reglerna om uppgiftsskydd efterlevs och närmare bestämt rätten till tillgång till uppgifter. Dataskyddsmyndigheternas roll har tillerkänts konstitutionell betydelse genom att de omnämns i stadgan. Uppgiften att övervaka och verkställa tillämpningen av direktiv 2016/680 ligger hos tillsynsmyndigheten. En tolkning enligt vilken denna myndighet agerar skilt från den person som berörs när den utövar den registrerades rättigheter främjar tillsynsmyndighetens konstitutionella roll.
67. Om det godtogs att tillsynsmyndigheten endast agerar på ett sätt liknande ett ”ombud” för den registrerade skulle denna myndighet vara skyldig att rapportera till den registrerade som dennes huvudman. Tillsynsmyndigheten för polisiär information gör emellertid gällande att den inte har befogenhet att tillhandahålla den registrerade ytterligare information. Denna inställning leder till en underlig situation i vilken ett ombud skulle vara mer välinformerat än huvudmannen.
68. Den franska regeringen påstod vid förhandlingen i huvudsak att en tillsynsmyndighet, till skillnad från när den behandlar klagomål enligt artikel 46.1 f i direktiv 2016/680, inte har några befogenheter i förhållande till den personuppgiftsansvarige enligt artikel 46.1 g. Enligt den franska regeringens uppfattning kan den registrerade inte ha några befogenheter när han eller hon utövar sina rättigheter indirekt via tillsynsmyndigheten, eftersom den registrerade inte har dessa befogenheter mot den personuppgiftsansvarige när han eller hon utövar dessa rättigheter direkt. Den franska regeringen vidhöll att artikel 47 i direktiv 2016/680 endast rör de befogenheter som utövas av tillsynsmyndigheten för egen räkning men inte behörighet som utövas för den registrerades räkning.
69. Den franska regeringens uppfattning vilar i huvudsak på tanken att tillsynsmyndigheten endast agerar som en mellanhand för den registrerade. Av de skäl som angetts ovan delar jag inte en sådan inskränkande tolkning av tillsynsmyndighetens ställning. Det indirekta utövandet av den registrerades rättigheter måste ha ett mervärde och utgöra en ytterligare garanti och ett skydd för den registrerade. Om myndigheten under alla förhållanden endast skulle bekräfta att nödvändiga kontroller har genomförts utan att kunna utöva sina befogenheter skulle dess roll att kontrollera behandlingens laglighet ha ett begränsat mervärde.
70. I detta avseende föreskriver artikel 17 i direktiv 2016/680 att tillsynsmyndigheten ska underrätta den registrerade åtminstone om att alla nödvändiga kontroller har ägt rum. Detta betyder att det kan föreligga omständigheter under vilka tillsynsmyndigheten kan eller ska gå utöver sådan minimiinformation. Denna tolkning stöds av artikel 46.1 g i direktiv 2016/680 som uppdrar åt tillsynsmyndigheten att kontrollera lagligheten av behandlingen enligt artikel 17 i direktiv 2016/680 och att underrätta den registrerade om resultatet av kontrollen enligt punkt 3 i denna artikel. Resultatet av kontrollen inbegriper men är inte alltid begränsat till att lämna minimiinformationen.
71. Som kommissionen har framhållit ger artikel 17 i direktiv 2016/680 tillsynsmyndigheten ett utrymme för skönsmässig bedömning. Den ger inte medlemsstaterna rätt att skönsmässigt minska myndighetens roll till att vara budbärare eller att helt avskaffa sådant skönsmässigt utrymme för denna myndighet genom att föreskriva att den endast ska lämna minimiinformationen. Om en medlemsstat skulle kunna avvika från direktiv 2016/680 och tilldela tillsynsmyndigheterna färre befogenheter skulle detta allvarligt undergräva målet att stärka de registrerades rättigheter och att harmonisera befogenheterna att övervaka och säkerställa efterlevnaden av reglerna om uppgiftsskydd i medlemsstaterna. Det skulle också undergräva målet att förstärka öppenhet och kontroll som detta direktiv eftersträvar.
72. Vid förhandlingen uttryckte tillsynsmyndigheten för polisiär information oro över erkännandet av en roll som går utöver den som innebär att endast utöva ett uppdrag för den registrerades räkning. Den hävdade att tillsynsmyndigheten inte inom ramen för artikel 17 i direktiv 2016/680 kan avgöra huruvida en akt av den personuppgiftsansvarige är ändamålsenlig och den kan inte göra en avvägning av berörda intressen när den delger relevant information. Myndigheten påstod att om detta inte vore fallet skulle den tvingas inta den personuppgiftsansvariges plats vilket skulle äventyra dess oberoende.
73. I detta avseende bör inte tillsynsmyndighetens skönsmässiga bedömning enligt artikel 17 i direktiv 2016/680 uppfattas som en befogenhet att inta den personuppgiftsansvariges plats och ge automatisk tillgång till den information som den personuppgiftsansvarige har vägrat att avslöja. I kraft av sitt oberoende deltar tillsynsmyndigheten i en konfidentiell dialog med den personuppgiftsansvarige för att kontrollera behandlingens laglighet. Såsom kommissionen har angett följer det av den personuppgiftsansvariges skyldighet enligt artikel 15.4 i direktiv 2016/680 – att göra de sakliga och rättsliga grunderna för beslutet att begränsa rätten till tillgång tillgängliga för tillsynsmyndigheten – att de ska ha en sådan dialog.
74. Om tillsynsmyndigheten i samband med dialogen får uppfattningen att begränsningarna av den registrerades rättigheter inte är motiverade ska den ge den personuppgiftsansvarige tillfälle att rätta till denna situation. Efter denna dialog ger artikel 17.3 tillsynsmyndigheten ett utrymme för skönsmässig bedömning beträffande omfattningen av den information som den kan röja för den registrerade rörande resultatet av sin kontroll. Bestämmandet av omfattningen av den information som den kan avslöja ska bedömas från fall till fall i enlighet med proportionalitetsprincipen. Tillsynsmyndigheten ska dessutom kunna säkerställa efterlevnad av bestämmelserna i direktiv 2016/680 och utöva de befogenheter som anges i artikel 47 i direktivet. Denna bestämmelse innehåller inte någon begränsning när dessa befogenheter utövas i samband med artikel 17 i detta direktiv. Tillsynsmyndighetens effektiva befogenheter är tvärtom en nödvändig och stark motvikt mot begränsning av den registrerades rätt till tillgång.
c) Rangordning av rättsmedel
75. Tillsynsmyndigheten för polisiär information och den tjeckiska regeringen har framfört ett argument rörande rangordningen av rättsmedel. De har i huvudsak påstått att rätten att begära rättslig prövning, när rättigheter utövasindirekt genom tillsynsmyndigheten, ska utövas mot den personuppgiftsansvarige enligt artikel 54 i direktiv 2016/680 snarare än mot tillsynsmyndigheten såvida denna inte underlåter att agera.
76. I detta avseende ska det konstateras att det inte framgår av någon bestämmelse i direktiv 2016/680 att de rättsmedel som anges i detta direktiv utesluter varandra. Det framgår i stället av ordalydelsen i artiklarna 52, 53 och 54 i direktiv 2016/680, vilka nämnts ovan,(32) att dessa bestämmelser erbjuder olika rättsmedel för personer som hävdar att denna reglering har överträtts, varvid det är underförstått att vart och ett av dessa rättsmedel ska kunna utövas ”utan att det påverkar” de övriga.(33) Det erinras om att domstolen, med avseende på förhållandet mellan de rättsmedel som anges i förordning (EU) 2016/679,(34) i domen i målet Nemzeti har förklarat att denna förordning ”inte föreskriver någon prioriterad eller exklusiv behörighet eller någon regel om företräde för den bedömning som gjorts av den myndighet eller de domstolar som avses däri av huruvida de rättigheter som följer av denna förordning har åsidosatts”.(35)
77. Till skillnad från den inställning som intas av den franska regeringen och tillsynsmyndigheten för polisiär information är det min uppfattning att synsättet i domen i målet Nemzeti är analogt tillämpligt med avseende på de rättsmedel som anges i direktiv 2016/680. För det första är de rättsmedel som är tillgängliga för den registrerade mot tillsynsmyndigheten och den personuppgiftsansvarige enligt förordning 2016/679 och direktiv 2016/680 lika. För det andra anger skäl 7 i direktiv 2016/680 att effektivt skydd av personuppgifter i hela unionen kräver förstärkning av de registrerades rättigheter.(36) Att göra ett antal rättsmedel tillgängliga stärker målet som också anges i skäl 85 i direktiv 2016/680 att garantera rätten till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan för varje registrerad person som anser att hans eller hennes rättigheter enligt de bestämmelser som antas i enlighet med detta direktiv har kränkts.
78. Det ska också framhållas att rättsmedlet mot tillsynsmyndigheten och rättsmedlet mot den personuppgiftsansvarige har olika syften. Å ena sidan, som kommissionen riktigt konstaterat, är syftet med en talan mot den personuppgiftsansvariges beslut att begränsa den registrerades rättigheter att få till stånd en rättslig prövning av huruvida artikel 13.3, artikel 15.3 och artikel 16.4 i direktiv 2016/680 har tillämpats riktigt. Å andra sidan är syftet med en talan mot tillsynsmyndigheten att få till stånd en rättslig prövning av huruvida artikel 17 och artikel 46.1 g i direktiv 2016/680 har tillämpats riktigt, vilket innefattar en prövning av huruvida tillsynsmyndigheten riktigt har utfört sin uppgift att kontrollera behandlingens laglighet.
79. Det ska också noteras att systemet för domstolsskydd skulle bli inkonsekvent och ofullständigt om den registrerade endast kunde angripa tillsynsmyndighetens inaktivitet medan dess agerande och det sätt varpå myndigheten fullgjorde sina skyldigheter vore undantagna från rättslig prövning.
80. I vart fall förefaller det vara omöjligt att föra talan mot den personuppgiftsansvarige i det nationella målet. Det framgår av beslutet om hänskjutande att de registrerade inte kan väcka talan mot den personuppgiftsansvarige, eftersom utövandet av alla deras rättigheter har anförtrotts tillsynsmyndigheten för polisiär information. Ligue des droits humains har dessutom påstått att det i det belgiska systemet för databaser är mycket svårt för den registrerade att ens identifiera vem som är personuppgiftsansvarig. Under sådana omständigheter riskerar de registrerade att fullständigt berövas ett effektivt domstolsskydd då de inte vet vem som är personuppgiftsansvarig och även om detta var känt har de inte rätt att direkt vända sig till den personuppgiftsansvarige. Härutöver kan de inte angripa agerandet av tillsynsmyndigheten för polisiär information. Det förefaller mig som om den registrerade står inför ett system där ”alla dörrar är stängda” för honom eller henne, vilket står i strid med direktiv 2016/680.
81. Med hänsyn till ovanstående överväganden anser jag att artikel 17 i direktiv 2016/680, i förening med artikel 46.1 g i detta direktiv och mot bakgrund av artiklarna 47 och 8.3 i stadgan, ska tolkas på så sätt att den kräver att den registrerade ska ha tillgång till rättslig prövning mot en oberoende tillsynsmyndighet när den registrerade utövar sina rättigheter genom den myndigheten i den omfattning som detta rättsmedel avser denna tillsynsmyndighets uppgift att kontrollera behandlingens laglighet.
Den andra frågan
82. Genom sin andra fråga vill den hänskjutande domstolen i huvudsak få klarhet i huruvida artikel 17 i direktiv 2016/680 är förenlig med artiklarna 8.3 och 47 i stadgan i den omfattning som den föreskriver att tillsynsmyndigheten ska underrätta den registrerade endast om i) ”att alla nödvändiga kontroller eller en översyn genom tillsynsmyndigheten har ägt rum” och ii) om ”hans eller hennes rätt att begära rättslig prövning” medan sådan information inte tillåter prövning i efterhand av tillsynsmyndighetens åtgärder och tillsynsmyndighetens bedömning rörande den registrerade mot bakgrund av den personuppgiftsansvariges skyldigheter.
83. Det bör inledningsvis påpekas att unionsrättsakter, enligt allmänna tolkningsprinciper och så långt det är möjligt, ska tolkas på ett sätt som inte påverkar deras giltighet och i överensstämmelse med primärrätten i dess helhet, i synnerhet bestämmelserna i stadgan. När en bestämmelse i unionens sekundärrätt kan tolkas på flera sätt, ska en tolkning som gör bestämmelsen förenlig med primärrätten ges företräde framför en tolkning som gör bestämmelsen oförenlig med primärrätten.(37)
84. Såsom förklarades i samband med de inledande synpunkterna och i bedömningen av den första frågan föreskriver artikel 17 i direktiv 2016/680 att indirekt utövande av den registrerades rättigheter är möjligt genom den behöriga tillsynsmyndigheten för det fall som den registrerades rättigheter har begränsats enligt artikel 13.3, artikel 15.3 och artikel 16.4 i direktiv 2016/680. Begränsningarna av den registrerades rättigheter är tillåtna endast i den utsträckning och så länge som en sådan åtgärd är nödvändig och proportionell i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att skydda ett specifikt allmänt intresse som anges i dessa bestämmelser.
85. Den ställda frågan gäller i vad mån innehållet i den information som tillhandahålls av tillsynsmyndigheten när den indirekt utövar den registrerades rättigheter tillåter att den registrerade utövar sin rätt till ett effektivt rättsmedel enligt artikel 47 första stycket i stadgan.
86. I detta avseende har det redan i bedömningen av den första frågan erinrats om att rätten till ett effektivt rättsmedel som fastställs i artikel 47 i stadgan ska tillerkännas varje person som gör gällande rättigheter eller friheter som garanteras i unionsrätten, mot en rättsakt som går denna emot på så sätt att personens rättigheter eller friheter kan inskränkas.(38)
87. Det ska emellertid erinras om att rätten till ett effektivt domstolsskydd inte utgör någon absolut rättighet och att utövandet av denna rättighet enligt artikel 52.1 i stadgan kan begränsas, under förutsättning att i) begränsningarna föreskrivs i lag, ii) att de är förenliga med det väsentliga innehållet i dessa rättigheter och friheter och att de, iii) med beaktande av proportionalitetsprincipen, endast görs om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.(39)
88. När det gäller indirekt utövande av rättigheter genom tillsynsmyndigheten ska det påpekas att möjligheten av indirekt utövande utlöses av begränsningen av den registrerades rättigheter. Tillsynsmyndigheten har i uppgift att agera i en situation när en rättighet till följd av ett undantag är begränsad, inbegripet när, beroende på omständigheterna, information avseende skälen för denna begränsning har utelämnats av den personuppgiftsansvarige.(40) Som utförligt visats i bedömningen av den första frågan är tillsynsmyndighetens roll när den utför denna uppgift inte att agera som endast ”budbärare” utan snarare att säkerställa behandlingens laglighet.
89. Nivån på den information som tillsynsmyndigheten kan lämna ut till den registrerade beror med nödvändighet på de skäl som föranledde begränsningen av rätten till tillgång. Ju allvarligare skälen för begränsning och eventuellt utelämnande av information är desto mindre information kan tillsynsmyndigheten tillhandahålla. Till skillnad från det antagande som ligger bakom formuleringen av giltighetsfrågan framgår det inte av artikel 17.3 i direktiv 2016/680 att tillsynsmyndigheten ”endast” och under alla förhållanden kan bekräfta att alla nödvändiga kontroller har genomförts. Enligt denna bestämmelse underrättar tillsynsmyndigheten den registrerade ”åtminstone” om att alla nödvändiga kontroller eller en översyn genom tillsynsmyndigheten har ägt rum.
90. Följaktligen kan inte den information som tillsynsmyndigheten ska tillhandahålla bestämmas i förväg. Med andra ord är det minsta innehållet som anges i artikel 17.3 inte det enda möjliga innehållet. Som kommissionen har framhållit ska nivån på informationen bestämmas från fall till fall och kan variera beroende på omständigheterna och på avvägningen av berörda intressen mot bakgrund av proportionalitetsprincipen. För att ge ett exempel skulle det vara utan problem att, som riktigt konstaterats i juridisk doktrin(41), tillsynsmyndigheten för den registrerade uppger att en felaktig stavning orsakade att den registrerades namn återfinns i polisens databas.
91. Det ska påpekas att kommissionens förslag till direktiv om brottsbekämpning föreskrev att tillsynsmyndigheterna i tillägg till minimiinformationen ska vara skyldiga att underrätta den registrerade ”om resultatet när det gäller huruvida den berörda behandlingen är tillåten”.(42) Sistnämnda information (det vill säga resultatet avseende behandlingens laglighet) togs inte in i artikel 17 i direktiv 2016/680. Detta betyder emellertid inte att eventuella överträdelser av dataskyddsbestämmelserna kan tolereras. I min bedömning av den första frågan framhöll jag att tillsynsmyndigheten deltar i en konfidentiell dialog med den personuppgiftsansvarige. Om tillsynsmyndigheten anser att behandlingen är olaglig ger myndigheten den personuppgiftsansvarige tillfälle att rätta till situationen. Om situationen emellertid inte rättas till har tillsynsmyndigheten verkställighetsbefogenheter enligt artikel 47 i direktiv 2016/680 som ska utövas. I en sådan situation är det enligt min uppfattning inte tillräckligt att tillsynsmyndigheten meddelar det nationella parlamentet som tillsynsmyndigheten för polisiär information föreslog vid förhandlingen. Den ska utöva sin befogenhet att underrätta de rättsliga myndigheterna om överträdelser av dataskyddsbestämmelserna och i förekommande fall inleda eller på annat sätt delta i rättsliga förfaranden enligt artikel 47.5 i direktiv 2016/680.
92. Den tolkning enligt vilken tillsynsmyndigheten har ett utrymme för skönsmässig bedömning när den indirekt utövar den registrerades rättigheter stöds också av den konstitutionella betydelsen av oberoende tillsynsmyndigheters roll som fastläggs i artikel 8.3 i stadgan.
93. Det kan föreligga omständigheter under vilka tillsynsmyndigheten anser att den inte kan gå längre än att lämna ut minimiinformationen, det vill säga att alla nödvändiga kontroller har genomförts. Under sådana omständigheter skulle det vara omöjligt att genomföra en rättslig prövning, såvida inte den domstol som anförtrotts prövningen av tillsynsmyndighetens beslut kan granska samtliga grunder för detta beslut samt den personansvariges beslut att begränsa tillgången.
94. I detta avseende ska det först påpekas att artikel 15.4 i direktiv 2016/680 föreskriver att den personuppgiftsansvarige ska dokumentera de sakliga och rättsliga grunderna för beslutet om begränsning av rätten till tillgång och göra denna information tillgänglig för tillsynsmyndigheterna. Som Europaparlamentet har påpekat måste det godtas att om denna information är tillgänglig för tillsynsmyndigheten bör den också göras tillgänglig för den rättsliga myndighet vid vilken den registrerade utövar sin rätt att begära prövning av den personuppgiftsansvariges beslut och/eller tillsynsmyndighetens beslut.
95. Det ska vidare påpekas att den behöriga nationella domstolen i den berörda medlemsstaten, i de undantagsfall i vilka den personuppgiftsansvarige inte tillhandahåller information beträffande skälen för vägran eller för begränsningen av den registrerades rättigheter och tillsynsmyndigheten endast lämnar minimiinformationen, det vill säga att alla nödvändiga kontroller har genomförts, ska ha tillgång till och använda sig av tillvägagångssätt och processuella regler som gör det möjligt att förena, å ena sidan, berättigade hänsyn till statens säkerhet eller allmänintresset när det gäller arten av och källorna till de uppgifter som har beaktats vid antagandet av beslutet och, å andra sidan, nödvändigheten av att i tillräcklig utsträckning säkerställa den enskildes processuella rättigheter, såsom rätten att yttra sig och principen om ett kontradiktoriskt förfarande.(43)
96. I detta syfte och i enlighet med synsättet i den rättspraxis som följer av domen av den 4 juni 2013, ZZ (C‑300/11, EU:C:2013:363), är medlemsstaterna skyldiga att, för det första, föreskriva en effektiv domstolsprövning både av förekomsten av och det välgrundade i de skäl som åberopats av den nationella myndigheten och, för det andra, föreskriva tillvägagångssätt och regler avseende domstolsprövning, såsom angetts i föregående punkt.(44)
97. Vid förhandlingen har den franska regeringen hävdat att bakgrunden till domen i målet ZZ var en annan än i det nationella målet, eftersom domen i målet ZZ rörde rättslig prövning av ett beslut varigenom en unionsmedborgare nekades tillträde till en medlemsstat med hänsyn till allmän säkerhet. I detta avseende ska det framhållas att domstolens synsätt i dess praxis som en följd av domen i målet ZZ, som grundas på domen i målet Kadi(45), grundas på kravet att åstadkomma en lämplig balans mellan kraven som följer av statens säkerhet och kraven på en rätt till ett effektivt domstolsskydd. När ombudet för den franska regeringen tillfrågades vid förhandlingen godtog ombudet att det av denna rättspraxis i huvudsak följer att det inte föreligger någon sekretess inför domaren. Jag anser därför att denna rättspraxis också bör vara tillämplig i samband med direktiv 2016/680 när de behöriga myndigheterna har uppfattningen att hänsyn till statens säkerhet eller andra hänsyn till allmänintresset som kan motivera en begränsning av den registrerades rättigheter hindrar exakt och fullständigt utlämnande av grunderna för ett sådant beslut att tillämpa en begränsning.
98. Det följer av det ovanstående att artikel 17 i direktiv 2016/680 är förenlig med artiklarna 8.3 och 47 i stadgan eftersom i) tillsynsmyndigheten beroende på omständigheterna kan gå längre än att meddela att alla nödvändiga kontroller har genomförts och ii) den registrerade har tillgång till rättslig prövning av den vidtagna åtgärden och den bedömning som gjorts av tillsynsmyndigheten rörande den registrerade mot bakgrund av den personuppgiftsansvariges skyldigheter.
99. Med hänsyn till det ovanstående har det inte framkommit någon omständighet som kan påverka giltigheten av artikel 17 i direktiv 2016/680.
III. Förslag till avgörande
100. Mot bakgrund av föregående överväganden föreslår jag att domstolen ska ge följande svar till Cour d’Appel de Bruxelles (Appellationsdomstolen, Bryssel, Belgien):
(1) Artikel 17 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, i förening med artikel 46.1 g i detta direktiv och mot bakgrund av artiklarna 47 och 8.3 i Europeiska unionens stadga om de grundläggande rättigheterna,
ska tolkas på det sättet att den registrerade ska ha rätt till rättslig prövning mot en oberoende tillsynsmyndighet när den registrerade utövar sina rättigheter genom denna myndighet i den omfattning som detta rättsmedel rör denna tillsynsmyndighets uppgift att kontrollera behandlingens laglighet.
(2) Giltigheten av artikel 17 i direktiv 2016/680 påverkas inte.