FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
MANUEL CAMPOS SÁNCHEZ-BORDONA
föredraget den 19 maj 2022(1)
Mål C‑180/21
VS
mot
Inspektor v Inspektorata kam Visshia sadeben savet,
ytterligare deltagare i rättegången:
Teritorialno otdelenie – Petrich kam Rayonna prokuratura – Blagoevgrad
(begäran om förhandsavgörande från Administrativen sad – Blagoevgrad (Förvaltningsdomstolen i Blagoevgrad, Bulgarien))
”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artiklarna 4 och 6 – Direktiv (EU) 2016/680 – Artiklarna 1, 2–4 och 9 – Laglig behandling av personuppgifter inom ramen för ett straffrättsligt förfarande – Behandling av ett brottsoffers personuppgifter för att senare kunna väcka åtal mot denne och för att åklagarmyndigheten ska kunna försvara sig i ett tvistemål – Begreppet andra ändamål än det ändamål för vilket de samlades in”
1. En grundläggande princip i förordning (EU) 2016/679,(2) vilken innehåller de allmänna bestämmelserna om skydd av personuppgifter, och i direktiv (EU) 2016/680(3) (lex specialis rörande samma område vid straffrättsliga förfaranden), är att insamlingen och behandlingen av personuppgifter bara får ske för de särskilda ändamål som föreskrivs i lag.
2. I förevarande mål ska EU-domstolen besvara den bulgariska domstolens frågor rörande tolkningen av den allmänna dataskyddsförordningen och av direktiv 2016/680, för att få klarlagt huruvida det föreligger en olaglig behandling av de uppgifter som åklagarmyndigheten i en medlemsstat förfogar över när
– dessa uppgifter har inhämtats från en person som inledningsvis framstod som målsägande, men som senare blev misstänkt i samma straffrättsliga förfarande, och
– åklagarmyndigheten till sitt försvar försöker använda sig av de uppgifter som erhållits i samband med olika straffrättsliga åtgärder, som bevisning för att försvara sig mot en civilrättslig talan i vilken käranden yrkar skadestånd på grund av att det straffrättsliga förfarandet har dragit ut för mycket på tiden.
A. Tillämpliga bestämmelser Unionsrätt
1. Den allmänna dataskyddsförordningen
3. I artikel 2, med rubriken ”Materiellt tillämpningsområde”, föreskrivs följande:
”1. Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
2. Denna förordning ska inte tillämpas på behandling av personuppgifter som
a) utgör ett led i en verksamhet som inte omfattas av unionsrätten,
…
d) behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
…”.
4. Artikel 4, med rubriken ”Definitioner”, har följande lydelse:
”I denna förordning avses med
…
2) behandling: en åtgärd eller kombination av åtgärder som utförs beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om det sker automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,
…
7) personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,
…”
5. I artikel 5, med rubriken ”Principer för behandling av personuppgifter”, föreskrivs följande:
”1. Vid behandling av personuppgifter ska följande gälla:
a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).
b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).
c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
…”
6. Artikel 6, med rubriken ”Laglig behandling av personuppgifter”, har följande lydelse:
”1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
…
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
…
e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.
…
3. Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med
a) unionsrätten, eller
b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning … Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
4. Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgiftsansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bland annat beakta följande:
a) Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen.
b) Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige.
c) Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10.
d) Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.
e) Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.”
2. Direktiv 2016/680
7. Artikel 1, med rubriken ”Syfte och mål”, har följande lydelse:
”1. I detta direktiv fastställs bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten
2. Enligt detta direktiv ska medlemsstaterna
a) skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter…
…”
8. I artikel 2, med rubriken ”Tillämpningsområde”, föreskrivs följande:
”1. Detta direktiv ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1.
…
3. Detta direktiv tillämpas inte på behandling av personuppgifter
a) som utgör ett led i en verksamhet som inte omfattas av unionsrätten,
…”
9. I artikel 3.1, 3.2 och 3.8 används de definitioner som finns i artikel 4.1, 4.2 och 4.7 i den allmänna dataskyddsförordningen.
10. I artikel 4, med rubriken ”Principer för behandling av personuppgifter”, föreskrivs följande:
”…
2. Behandling som utförs av samma eller en annan personuppgiftsansvarig för något annat ändamål som anges i artikel 1.1 än det för vilket personuppgifterna samlas in ska tillåtas om
a) den personuppgiftsansvarige i enlighet med unionsrätten eller medlemsstaternas nationella rätt är bemyndigad att behandla sådana personuppgifter för ett sådant ändamål, och
b) behandlingen är nödvändig och står i proportion till detta andra ändamål i enlighet med unionsrätten eller medlemsstaternas nationella rätt.
…”
11. Artikel 6, med rubriken ”Åtskillnad mellan olika kategorier av registrerade”, har följande lydelse:
”Medlemsstaterna ska föreskriva att den personuppgiftsansvarige, i tillämpliga fall och så långt det är möjligt, ska göra en klar åtskillnad mellan personuppgifter som rör olika kategorier av registrerade, såsom
a) personer avseende vilka det finns tungt vägande skäl att anta att de har begått eller är på väg att begå ett brott,
b) personer som dömts för brott,
c) brottsoffer eller personer avseende vilka det finns vissa omständigheter som ger anledning att anta att de kan vara brottsoffer, och
d) andra som berörs av ett brott, såsom personer som kan komma att kallas att vittna i samband med brottsutredningar eller senare straffrättsliga förfaranden, personer som kan ge information om brott eller personer med kontakter med eller band till någon av de personer som avses i a och b.”
12. Artikel 8, med rubriken ”Laglig behandling av personuppgifter”, har följande lydelse:
”1. Medlemsstaterna ska föreskriva att behandling ska vara laglig endast om och i den mån behandlingen är nödvändig för att utföra en uppgift som utförs av en behörig myndighet för de ändamål som anges i artikel 1.1 och som sker på grundval av unionsrätt eller medlemsstaternas nationella rätt.
2. Medlemsstaternas nationella rätt som reglerar behandling inom tillämpningsområdet för detta direktiv ska åtminstone specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål.”
13. I artikel 9, med rubriken ”Särskilda villkor för uppgiftsbehandling”, föreskrivs följande:
”1. Personuppgifter som samlas in av behöriga myndigheter för de ändamål som anges i artikel 1.1. ska inte behandlas för andra ändamål än de som anges i artikel 1.1 såvida inte sådan behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt. När personuppgifter behandlas för andra ändamål ska förordning (EU) 2016/679 tillämpas, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten.
2. Om de behöriga myndigheterna enligt medlemsstaternas nationella rätt anförtros utförandet av andra uppgifter än de som utförs för de ändamål som anges i artikel 1.1, ska förordning (EU) 2016/679 vara tillämplig på behandlingen för dessa ändamål, inklusive för arkivändamål av allmänt intresse, för historiska eller vetenskapliga forskningsändamål eller för statistiska ändamål, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten.
…”
B. Nationell rätt
1. Republiken Bulgariens författning(4)
14. I artikel 127 i Republiken Bulgariens författning föreskrivs att åklagarmyndigheten har exklusiv behörighet att leda utredningar, åtala brott och väcka åtal vid domstol för brott som omfattas av allmänt åtal.
2. Lagen om skydd av personuppgifter (5)
15. Artikel 1 har följande lydelse:
”1) I denna lag regleras de allmänna förhållandena rörande skyddet för fysiska personers rättigheter när det gäller behandling av deras personuppgifter, i den mån de inte regleras i [den allmänna dataskyddsförordningen].
2) Denna lag innehåller vidare bestämmelser för skyddet för fysiska personer när det gäller de behöriga myndigheternas behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
…”
16. I artikel 17 föreskrivs följande:
”1) Tillsynsmyndigheten vid Högsta rättsrådet säkerställer kontrollen och iakttagandet av [den allmänna dataskyddsförordningen], denna lag och de rättsakter som rör skydd av personuppgifter i fråga om behandling av personuppgifter av
1. domstolar när de utför sina uppgifter som rättsvårdande myndigheter, och
2. åklagarmyndigheten och de brottsutredande myndigheterna när de utför sina uppgifter som rättsvårdande myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.
…”
17. Artikel 42 har följande lydelse:
”1) Reglerna i detta kapitel ska tillämpas när de behöriga myndigheterna behandlar personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
2) Personuppgifter som samlas in för de ändamål som anges i punkt 1 får inte behandlas för andra ändamål, om inte annat föreskrivs i unionsrätten eller i Republiken Bulgariens lagstiftning.
3) När de behöriga myndigheterna i enlighet med punkt 1 behandlar personuppgifter för andra ändamål än de som anges i punkt 1, samt i de fall som avses i punkt 2, ska [den allmänna dataskyddsförordningen] och de relevanta bestämmelserna i denna lag som innehåller åtgärder för lagens tillämpning.
4) Med 'behörig myndighet' i den mening som avses i punkt 1 avses varje myndighet som är behörig att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
5) Om inte annat föreskrivs i lag, är en personuppgiftsansvarig, i den mening som avses i detta kapitel, för de ändamål som avses i punkt 1, en behörig myndighet i den mening som avses i punkt 4 eller den administrativa enhet som denna myndighet utgör en del av, som själv eller tillsammans med andra myndigheter fastställer ändamålen och medlen för behandlingen av personuppgifter.”
18. I artikel 45 föreskrivs följande:
”…
2) Behandling av personuppgifter av den personuppgiftsansvarige som ursprungligen samlade in uppgifterna eller av en annan personuppgiftsansvarig för något av de ändamål som avses i artikel 42.1 som är ett annat ändamål än det för vilket uppgifterna ursprungligen samlades in är tillåten, förutsatt att
1. den personuppgiftsansvarige har rätt att behandla personuppgifter för detta andra ändamål i enlighet med unionsrätten och Republiken Bulgariens lagstiftning, och
2. behandlingen är nödvändig och står i proportion till det andra ändamålet i enlighet med unionsrätten eller Republiken Bulgariens lagstiftning.
…”
19. I artikel 47 återges artikel 6 i direktiv 2016/680.
20. Artikel 49 har följande lydelse:
”Behandlingen av personuppgifter är laglig när den är nödvändig för att utöva de befogenheter som tilldelats den behöriga myndigheten för de ändamål som avses i artikel 42.1 i enlighet med unionsrätten, eller i en lag som fastställer behandlingens ändamål och kategorierna av de personuppgifter som behandlingen avser.”
II. Bakgrund, målen vid den nationella domstolen och tolkningsfrågorna
21. Under ledning av Rayonna prokuratura – Petritsj (den lokala åklagarmyndigheten i Petritsj, Bulgarien) genomfördes en förundersökning (nr 252/2013 hos polismyndigheten i Petritsj)(6) för att utreda en brottslig gärning(7) som begicks den 18 april 2013.
22. Under denna förundersökning samlades först personuppgifter in rörande VS i hans egenskap av brottsoffer.
23. Genom åklagarens beslut av den 4 och 5 april 2018, väcktes åtal mot fyra personer (däribland VS) för denna gärning.
24. Den 10 november 2020 avskrev Rayonen sad Petritsj (Distriktsdomstolen i Petritsj) brottmålet på grund av preskription.
25. Till följd av flera anmälningar mot VS, inledde den lokala åklagarmyndigheten i Petritsj år 2016 och 2017 flera förundersökningar,(8) vilka inte ledde fram till något åtal eftersom brott inte kunde styrkas.
26. År 2018 väckte VS talan i ett tvistemål(9) mot Prokuratura na Republika Bulgaria (åklagarmyndigheten i Republiken Bulgarien) vid Okrazhen sad – Blagoevgrad (Regiondomstolen i Blagoevgrad, Bulgarien), och yrkade ersättning för den skada han lidit till följd av att förundersökning nr 252/2013 hade tagit orimligt lång tid.
27. Som försvar mot skadeståndstalan, yrkade åklagarmyndigheten att akterna nr 517/2016 och nr 1872/2016 vid den lokala åklagarmyndigheten i Petritsj skulle läggas till handlingarna i målet.
28. Genom beslut av den 15 oktober 2018 förpliktade Okrazhen sad – Blagoevgrad (Regiondomstolen i Blagoevgrad, Bulgarien) den lokala åklagarmyndigheten i Petritsj att överlämna bestyrkta kopior av innehållet i åklagarmyndighetens akter nr 517/2016 och nr 1872/2016.
29. Den 12 mars 2020 ingav VS ett klagomål till Inspektorata kam Visshia sadeben savet (Tillsynsmyndigheten vid Högsta rättsrådet) (nedan kallad IVSS) avseende det som han ansåg vara en dubbel olaglig behandling av hans personuppgifter av åklagarmyndigheten, som hade använt följande på ett olagligt sätt:
– Uppgifter om VS som hade samlats in i hans egenskap av brottsoffer och som senare användes mot honom som misstänkt i förundersökning nr 252/2013.
– Uppgifter om VS som hade samlats in i akterna nr 517/2016 och nr 1872/2016 och som senare användes av åklagarmyndigheten i tvistemål nr 144/2018.
30. Den 22 juni 2020 ogillade IVSS VS båda klagomålen.
31. VS har överklagat IVSS beslut till Administrativen sad Blagoevgrad (Förvaltningsdomstolen i Blagoevgrad, Bulgarien), som har hänskjutit följande tolkningsfrågor till EU-domstolen:
”1) Ska artikel 1.1 i [direktiv 2016/680] tolkas så, att begreppen förebygga, förhindra, utreda, avslöja eller lagföra brott, inom ramen för direktivets ändamål, ska anses utgöra en uppräkning av aspekter av ett övergripande ändamål?
2) Är bestämmelserna i [förordning 2016/679] tillämpliga på Republiken Bulgariens åklagarmyndighet i det hänseendet att upplysningar om en person, som åklagarmyndigheten i dess egenskap av personuppgiftsansvarig enligt artikel 3.8 i [direktiv 2016/680] samlat in till en akt som upprättats avseende denna person för att utreda en misstanke om brott, får användas av åklagarmyndigheten inom ramen för dess försvar som part i ett tvistemålsförfarande, genom att uppge att denna akt upprättats, eller genom att lämna ut innehållet i akten?
2.1 Om denna fråga besvaras jakande:
Ska begreppet berättigat intresse i artikel 6.1 led f i [förordning 2016/679] tolkas så, att det omfattar helt eller delvis utlämnande av personuppgifter som har samlats in till en akt vid åklagarmyndigheten, vilken upprättats i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott, om utlämnandet sker inom ramen för den personuppgiftsansvariges försvar i ett tvistemålsförfarande, utan den registrerades samtycke?”
III. Förfarandet vid EU-domstolen
32. Begäran om förhandsavgörande inkom till domstolens kansli den 23 mars 2021.
33. VS, IVSS, den bulgariska, den tjeckiska och den nederländska regeringen samt Europeiska kommissionen har deltagit och inkommit med skriftliga yttranden.
34. EU-domstolen har inte ansett det nödvändigt att hålla muntlig förhandling och ingen av parterna har yrkat det.
IV. Bedömning
A. Inledande överväganden om tillämplig unionsrätt
35. Den allmänna dataskyddsförordningen och direktiv 2016/680 utgör ett sammanhängande system där
– den allmänna dataskyddsförordningen innehåller allmänna bestämmelser för att skydda fysiska personer i samband med behandling av deras personuppgifter,
– direktiv 2016/680 innehåller särskilda bestämmelser för behandling av sådana uppgifter på områdena för straffrättsligt samarbete och polissamarbete.
36. Det system som utgörs av dessa båda rättsakter ger ett skydd som bygger på principerna om laglighet, rättvisa och insyn samt, i det här aktuella sammanhanget, principen om att personuppgifter bara ska samlas in och behandlas för lagstadgade ändamål.(10)
37. Närmare bestämt föreskrivs i artikel 5.1 b i den allmänna dataskyddsförordningen att personuppgifter ”ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”.(11) Vad beträffar lex specialis återfinns samma formulering i artikel 4.1 b i direktiv 2016/680.
38. Personuppgifter får således inte samlas in eller behandlas generellt, utan bara för vissa ändamål(12) och på vissa laglighetsvillkor som fastställts av unionslagstiftaren.
39. Principen om att det ska finnas ett strikt samband mellan, å ena sidan, insamling och behandling av personuppgifter och, å andra, sidan ändamålen för denna insamling och behandling är inte absolut. Såväl den allmänna dataskyddsförordningen som direktiv 2016/680 medger en viss flexibilitet, vilket jag ska återkomma till senare.
40. I det nationella målet ska förvaltningsdomstolen pröva huruvida tillsynsmyndigheten (IVSS)(13) handlade rättsenligt då den ogillade VS klagomål om att den bulgariska åklagarmyndigheten hade behandlat hans personuppgifter på ett olagligt sätt.
41. Dessa uppgifter hade som nämnts samlats in i två olika sammanhang:
– I samband med en förundersökning som åklagarmyndigheten inledde år 2013 och som rörde brott där VS antogs vara brottsoffer. Dessa uppgifter användes senare mot VS när han i stället misstänktes för att ha begått brott i samma straffrättsliga förfarande.
– I samband med andra förundersökningar, år 2016 och 2017, som samma åklagarmyndighet inledde till följd av olika anmälningar som bland annat riktades mot VS avseende andra brott än de som var aktuella år 2013.(14) I det här fallet begärde åklagarmyndigheten (vilket godtogs av den behöriga domstolen) att få använda de uppgifter som fanns i dessa förundersökningar för att försvara sig i det tvistemål som VS hade anhängiggjort där han yrkade skadestånd.
42. Den hänskjutande domstolens frågor avser således följande:
– Huruvida det var tillåtet att använda VS personuppgifter i två på varandra följande skeden i samma straffrättsliga förfarande (tolkningsfråga 1).
– Huruvida det var tillåtet att använda VS personuppgifter, vilka hade samlats in i samband med en förundersökning som åklagarmyndigheten hade inlett, inom ramen för ett tvistemål där VS väckt talan mot åklagarmyndigheten (tolkningsfråga 2).
43. Jag anser liksom den hänskjutande domstolen och samtliga parter i detta mål, att den behandling av personuppgifter som fråga 1 avser, omfattas av direktiv 2016/680.
44. Enligt artikel 1.1 och artikel 2.1 i direktiv 2016/680, ska det direktivet tillämpas vid behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott. I förevarande fall samlades uppgifterna om VS in och behandlades i samband med en brottsutredning.
45. Vad beträffar överföringen av personuppgifter till det tvistemål där talan väckts mot åklagarmyndigheten (tolkningsfråga 2), ska emellertid den allmänna dataskyddsförordningen tillämpas om denna överföring utgör en behandling av personuppgifter som sker för andra ändamål än de som anges i artikel 1.1 i direktiv 2016/680, men som ingår i en verksamhet som omfattas av unionsrättens tillämpningsområde.
B. Tolkningsfråga 1: Internt hänförande till ett annat ändamål av personuppgifter som samlats in för ändamål som omfattas av tillämpningsområdet för direktiv 2016/680
46. Enligt artikel 4.2 i direktiv 2016/680 ska ”[b]ehandling som utförs av samma eller en annan personuppgiftsansvarig för något annat ändamål som anges i artikel 1.1(15) än det för vilket personuppgifterna samlas in … tillåtas om
a) den personuppgiftsansvarige … är bemyndigad att behandla sådana personuppgifter för ett sådant ändamål, och
b) behandlingen är nödvändig och står i proportion till detta andra ändamål i enlighet med unionsrätten eller medlemsstaternas nationella rätt.
47. Direktiv 2016/680 medger således ett internt hänförande till andra ändamål av personuppgifter som samlats in med stöd av direktivet. Uppgifter som samlats in för något av de ändamål som anges i artikel 1.1 i direktivet, får även, på vissa villkor, användas för ett eller flera andra ändamål som anges där.
48. Den frågeställning som aktualiseras i den första tolkningsfrågan är huruvida personuppgifterna rörande VS, som inhämtats när han förmodades ha utsatts för brottet i fråga, senare får behandlas mot honom i egenskap av misstänkt, eller tilltalad, i samma straffrättsliga förfarande.
49. Det ska med andra ord klarläggas huruvida VS personuppgifter behandlades för samma ändamål som motiverade den inledande insamlingen av dem eller om de behandlades för två olika ändamål, vilka dock omfattas av tillämpningsområdet för direktiv 2016/680. Om det förhåller sig på det sistnämnda sättet, ska behandlingen omfattas av de särskilda villkoren i artikel 4.2 i direktivet.
50. Den hänskjutande domstolen har formulerat sin första fråga något vagt när det gäller tvisteföremålet. Den vill veta huruvida artikel 1.1 i direktiv 2016/680 ska tolkas så ”att begreppen förebygga, förhindra, utreda, avslöja eller lagföra brott, inom ramen för direktivets ändamål, ska anses utgöra en uppräkning av aspekter av ett övergripande ändamål”.
51. Mot bakgrund av den hänskjutande domstolens redogörelse, kan det möjligen vara lämpligt att omformulera dess första fråga, vilket parterna och de övriga deltagarna i målet har föreslagit. Det som verkligen är viktigt (och som VS klagomål i själva verket handlade om) är inte det abstrakta förhållandet mellan det allmänna och det särskilda ändamålet, utan huruvida det ändamål som, inom ramen för ett straffrättsligt förfarande som omfattas av direktiv 2016/680, gjorde att uppgifter om en person samlades in i dennes egenskap av förmodat brottsoffer, kvarstår när dessa uppgifter leder till att han senare blir misstänkt för brottet i samma förfarande.
52. En bokstavstolkning av artikel 1.1 i direktiv 2016/680 talar för att tre typer av ändamål kan urskiljas i direktivet, vilka avser olika tidpunkter och verksamheter.
– Dels att ”förebygga” brott, vilket innefattar att förhindra hot mot den allmänna säkerheten.
– Dels att (i vid mening) ”utreda” straffbara gärningar, vilket innefattar att avslöja, utreda i egentlig mening samt lagföra brott.
– Avslutningsvis att ”verkställa straffrättsliga påföljder”.
53. En systematisk eller kontextuell tolkning av artikel 4.2 i direktiv 2016/680, talar för att vart och ett av dessa ändamål ska betraktas separat. Om så inte vore fallet skulle, såsom den nederländska regeringen har påpekat, bestämmelsen förlora sitt innehåll, eftersom den hänvisar just till ”något annat ändamål som anges i artikel 1.1 än det för vilket personuppgifterna samlas in …”.
54. Mot bakgrund av detta ska jag försöka förklara varför de omtvistade uppgifterna i förevarande mål samlades in och behandlades för ett av de ändamål (”utreda”) som nämns i artikel 1.1 i direktiv 2016/680, vilket innebär att den ska tillämpas och att behandlingen är laglig.
55. Om det däremot förhåller sig så att insamlingen och behandlingen skedde för två olika ändamål, av dem som nämns i artikel 4.2 i direktiv 2016/680, kan dess laglighet inte heller ifrågasättas.
1. Ett och samma ändamål
56. I en brottsutredning går det inte alltid att redan från början avgöra vilken processrättslig ställning de inblandade personerna har. Under brottsutredningen försöker man, i många fall, att identifiera och därmed ”kategorisera” de personer som inledningsvis förefaller vara gärningsmän, brottsoffer eller vittnen till brottet.
57. Under denna förberedande fas är det logiskt att kategoriseringen är något flytande. Genom utredningen och de resultat som efter hand framkommer, kan det så småningom närmare fastställas vilka roller de olika personerna kommer att få när det hela går till rättegång.
58. Så förhåller det sig i synnerhet i fall som det här aktuella. Enligt den hänskjutande domstolen var det ett antal olika personer som misshandlade varandra. En av dem, som först framstod som brottsoffer, kom så småningom att bli misstänkt för misshandeln, som gärningsman.
59. Mot bakgrund av detta motsvarar den utövade verksamheten som helhet begreppet ”utredning” i artikel 1.1 i direktiv 2016/680. Det fanns således bara ett enda syfte med denna verksamhet och det motsvarar ett av de ”ändamål” för vilka personuppgifter får behandlas.
60. Den hänskjutande domstolen undrar emellertid huruvida en sådan tolkning av artikel 1.1 i direktiv 2016/680 är förenlig med skäl 31 i direktivet.(16)
61. Jag anser liksom merparten av parterna att det skälet, samt artikel 6 i direktiv 2016/680 där det återges, saknar betydelse för att avgöra om ändamålet har ändrats på det sätt som avses i artikel 4.2 i direktivet.
62. Enligt artikel 6 i direktiv 2016/680 ska en klar åtskillnad mellan personuppgifter som rör olika kategorier av registrerade göras, ”i tillämpliga fall och så långt det är möjligt”. Av de ovan beskrivna skälen är det i en förundersökning gällande brott, som det här begångna, inte lätt att redan från början klart identifiera ”olika kategorier av registrerade”. Dessutom kan en och samma person som medverkat i brottet ha ställning både som brottsoffer och som gärningsman.
63. Även om den som är ansvarig för behandlingen av de personuppgifter som inhämtats under förundersökningen, redan från början och under förundersökningens gång, skulle kunna göra klar åtskillnad mellan brottsoffer, misstänkta och vittnen, påverkar det inte det bakomliggande ändamålet (utredning) för insamlingen och behandlingen av dessa uppgifter.
64. Att en person som figurerar i en brottsutredning successivt tillskrivs olika ställningar (brottsoffer, vittne, gärningsman), innebär med andra ord inte nödvändigtvis att ändamålen ändras, i den mening som avses i artikel 4.2 i direktiv 2016/680.
2. Två samtidiga ändamål
65. I andra hand, för det fallet att den omständighet skulle föreligga som avses i artikel 4.2 i direktiv 2016/680, har behandlingen av de omtvistade personuppgifterna skett i enlighet med de laglighetsvillkor som föreskrivs i det direktivet. Detta har den bulgariska och den tjeckiska regeringen påpekat och jag delar deras uppfattning.
66. Även om det ankommer på den hänskjutande domstolen att klarlägga om så är fallet, förefaller det inte råda något tvivel om att det enligt nationell lagstiftning är den bulgariska åklagarmyndigheten som är ansvarig vid behandling av VS personuppgifter ”för något annat ändamål som anges i artikel 1.1 än det för vilket personuppgifterna samlas in”. Således är det första villkoret i artikel 4.2 a i direktiv 2016/680 uppfyllt.
67. Vad beträffar det andra villkoret som återfinns i artikel 4.2 b (att ”behandlingen är nödvändig och står i proportion till detta andra ändamål”), anser jag följande:
– Behandlingen är nödvändig på grund av den osäkerhet och oklarhet som är utmärkande för en förundersökning.
– Bedömningen av huruvida behandlingen är proportionerlig ska göras av den hänskjutande domstolen, vilken ska pröva om den inskränker sig till vad som var strängt nödvändigt för att uppå det eftersträvade målet.
68. Om villkoren i artikel 4.2 i direktiv 2016/680 tillämpas i förevarande fall är de av begränsad betydelse och den omständigheten att det bara finns ett enda ändamål med insamlingen av de omtvistade personuppgifterna bekräftas. Det finns en logisk kontinuitet mellan den inledande behandlingen och den behandling som senare gav upphov till att personen i fråga misstänktes för brottet.
69. Det är således inte nödvändigt att få bekräftat att en ny personuppgiftsansvarig är behörig (det är hela tiden en och samma) och det är inte svårt att visa att det är nödvändigt med en andra behandling (som görs inom ramen för ett och samma förfarande), när proportionalitetsprincipen ska tillämpas på all behandling, enligt vad som följer av de principer som anges i artikel 4.1 i direktiv 2016/680.
C. Tolkningsfråga 2: Externt hänförande till ett annat ändamål av de insamlade personuppgifterna.
70. Enligt artikel 9.1 i direktiv 2016/680 får personuppgifter som samlats in med stöd av direktivet, externt hänföras till ett annat ändamål.
71. Utgår man, som huvudregel, från att dessa uppgifter ”inte [ska] behandlas för andra ändamål än de som anges i artikel 1.1”, föreskrivs i artikel 9.1 i direktiv 2016/680 ett undantag enligt vilket behandling för andra ändamål än de som anges i artikel 1.1 är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt. I det fallet ska den allmänna dataskyddsförordningen tillämpas (under förutsättning att verksamheten omfattas av unionsrättens tillämpningsområde).
72. Med sin andra tolkningsfråga vill den hänskjutande domstolen få klarlagt följande:
– Ska den allmänna dataskyddförordningen tillämpas i ett fall där den information som har samlats in under en förundersökning som inletts av åklagarmyndigheten, senare används av samma myndighet för att försvara sig i ett tvistemål där den registrerade har väckt talan mot myndigheten.
– För det fall denna fråga besvaras jakande, huruvida uttrycket ”berättigade intressen” i artikel 6.1 f i den allmänna dataskyddsförordningen, innefattar att åklagarmyndigheten åberopar de omtvistade uppgifterna till sitt försvar i det ovannämnda tvistemålet.
1. Huruvida frågan kan tas upp till sakprövning
73. IVSS har gjort gällande att den andra tolkningsfrågan ska avvisas på grund av att VS klagomål tidigare avvisats för att det framställdes för sent.
74. Jag delar inte denna uppfattning.
75. En begäran från en nationell domstol kan bara avvisas av domstolen då det är uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller föremålet för tvisten vid den nationella domstolen eller då frågorna är hypotetiska eller unionsdomstolen inte förfogar över de uppgifter om sakförhållandena eller de rättsliga förhållandena som är nödvändiga för att frågorna ska kunna besvaras på ett ändamålsenligt sätt.(17)
76. IVSS invändning avser en omständighet som det uteslutande ankommer på den hänskjutande domstolen att pröva. Det ankommer uteslutande på den att på eget ansvar fastställa den faktiska och rättsliga bakgrunden till den tolkningsfråga som ställts till EU-domstolen.(18)
77. Bedömningen av IVSS påstående om att klagomålet framställdes för sent och dess betydelse för förevarande mål, är omständigheter som det uteslutande ankommer på den hänskjutande domstolen att bedöma. I förevarande mål har den hänskjutande domstolen vidhållit att frågan är relevant för att avgöra det nationella målet, trots att IVSS gjort gällande att klagomålet framställdes för sent.(19)
78. Denna bedömning kan inte prövas av EU-domstolen, vilken i princip ska hålla sig till de nationella domstolarnas tolkning och tillämpning av den nationella processrätten och materiella rätten, när de fastställer bakgrunden till begäran om förhandsavgörande.
2. Prövning i sak
79. Det framgår av de skäl som den hänskjutande domstolen har anfört i motiveringen till sin andra tolkningsfråga, att det som verkligen intresserar denna domstol är att EU-domstolen klargör huruvida överföringen av de omtvistade uppgifterna utgör en ”behandling av uppgifter” i den mening som avses i artikel 4.1 och 4.2 i den allmänna dataskyddsförordningen(20) och huruvida behandlingen var laglig enligt artikel 6 i samma förordning.
a) Huruvida det föreligger en behandling av uppgifter
80. I artikel 4.1 och 4.2 i den allmänna dataskyddsförordningen och i artikel 3.1 och 3.2 i direktiv 2016/680, definieras begreppen ”personuppgifter” och ”behandling” på samma sätt.
81. I enlighet med dessa definitioner drar jag slutsatsen att åklagarmyndigheten hade för avsikt att till sitt försvar i tvistemålsdomstolen, använda sig av ”upplysningar som avser en identifierad fysisk person” vilka innefattade VS ”personuppgifter”.
82. Vid överföringen av dessa uppgifter till tvistemålet, har flera av de åtgärder som utgör en ”behandling av uppgifter” utförts, utan den registrerades samtycke. Åklagarmyndigheten har åtminstone behövt läsa dem själv, för att bedöma om de kunde vara till användning för att försvara myndighetens ståndpunkt i tvistemålet. Det kan vidare antas att uppgifterna, i samma syfte, har organiserats, strukturerats, bearbetats eller ändrats och naturligtvis utlämnats och spridits, om än i minimal omfattning, när det begärdes att de skulle överföras till tvistemålet.(21)
83. När åklagarmyndigheten registrerade uppgifterna, förde in dem i sina arkiv, lagrade dem, läste dem och yrkade att tvistemålsdomstolen skulle godkänna den information som fanns i förundersökningen som bevis, behandlade den VS personuppgifter.
84. IVSS och kommissionen har gjort gällande att åklagarmyndigheten bara kan vara ”personuppgiftsansvarig” i egenskap av behörig myndighet för de ändamål, av straffrättslig karaktär, som omfattas av tillämpningsområdet för direktiv 2016/680.
85. Det innebär inte, enligt min uppfattning, att den andra tolkningsfrågan saknar föremål, vilket IVSS har gjort gällande. Däremot innebär det att lagligheten av behandlingen, i enlighet med artikel 9.1 i direktiv 2016/680, ska prövas mot bakgrund av den allmänna dataskyddsförordningen.
86. Den domstol som är behörig att avgöra tvistemålet blir personuppgiftsansvarig i det målet när uppgifterna förs över dit. Tillsynsmyndigheten är inte behörig att utöva tillsyn över dess avgöranden, enligt artikel 55.3 i den allmänna dataskyddsförordningen, när de fattas i dess dömande verksamhet.(22)
87. Den hänskjutande domstolen frågar bara om den allmänna dataskyddsförordningen är tillämplig när åklagarmyndigheten försöker använda den information som den har samlat in som personuppgiftsansvarig, i den mening som avses i direktiv 2016/680, för att försvara sig i tvistemålet.
88. Mot bakgrund av det ovan anförda anser jag att den allmänna dataskyddsförordningen är tillämplig, på grund av att åklagarmyndighetens försvar i ett tvistemål inte ingår i de ändamål som nämns i artikel 1.1 i direktiv 2016/680.
b) Huruvida behandlingen är laglig mot bakgrund av den allmänna dataskyddsförordningen
89. Villkoren för att behandling av personuppgifter ska vara laglig anges i artikel 6.1 i den allmänna dataskyddsförordningen: ”Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt”, vilka därefter beskrivs. Uppräkningen är uttömmande.(23)
90. Jag anser att bland dessa villkor, är varken det som bygger på att den registrerade har lämnat sitt samtycke (led a) eller det som bygger på fullgörande av ett avtal (led b), varken det som bygger på fullgörande av en rättslig förpliktelse (led c)(24) eller det som bygger på skydd av intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person (led d), uppfyllt.
91. Enligt den hänskjutande domstolen är villkoret i artikel 6.1 f i den allmänna dataskyddsförordningen uppfyllt. Såsom kommissionen har gjort gällande utesluter emellertid det sista stycket i den punkten att det villkoret tillämpas i förevarande mål, eftersom det ”inte [ska] gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter”.(25)
92. Som svar på en fråga från EU-domstolen, vidhöll den bulgariska regeringen, som i detta avseende fick stöd från den tjeckiska och den nederländska regeringen, att villkoret i artikel 6.1 f i den allmänna dataskyddsförordningen är tillämpligt. Den bulgariska regeringen menar att hänsyn måste tas till hur ”den verksamhet som åklagarmyndigheten bedriver är beskaffad”. Även om det rör sig om en offentlig myndighet får den medverka i tvistemål som ”likställd part”.(26)
93. De ”berättigade intressen” som åklagarmyndigheten har åberopat, i egenskap av offentlig myndighet, i ett mål där ett yrkande om skadestånd har riktats mot den på grund av dess processrättsliga agerande, ingår inte i det fall som avses i artikel 6.1 f i den allmänna dataskyddsförordningen, eftersom detta föreskrivs uttryckligen i det sista stycket i den punkten.
94. Myndigheter som utför uppgifter som de är ålagda enligt lag (i förevarande fall att väcka åtal och att företräda staten i mål där ett yrkande om skadestånd riktades mot den), är det relevanta intresset, i den mening som avses i artikel 6.1 i den allmänna dataskyddsförordningen, det allmänna intresse som de tillgodoser, enligt led e i den bestämmelsen.
95. Villkoret i led f rör tillgodoseendet av den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.
96. Det villkoret rör således inte i första hand myndighetens möjligheter till försvar – vilka kan tillgodoses genom villkoret i led e – utan huruvida den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre än den personuppgiftsansvariges eller en tredje parts intressen. Det är snarare tillämpligt vid tvister mellan (enskilda) parter, vars intressen inte är av offentlig karaktär.
97. Eftersom åklagarmyndigheten per definition handlar i sin egenskap av statlig inrättning, ska det bedömas huruvida den omtvistade behandlingen omfattas av artikel 6.1 e i den allmänna dataskyddsförordningen.
98. Så är fallet om behandlingen är ”nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning”.
99. Jag ska ta upp det första av dessa två ändamål (det finns inget behov av att behandla det andra)(27) för att klarlägga huruvida åklagarmyndighetens medverkan i det tvistemål i vilket talan väckts mot den på grund av dess agerande, innebär att den utför en uppgift av allmänt intresse.
100. Enligt den nationella lagstiftningen(28) ska åklagarmyndigheten företräda staten i mål om utomobligatoriskt skadeståndsansvar för de skador som dess dröjsmål har vållat. Åklagarmyndigheten ska även försvara statens allmänna (finansiella) intressen och den utför därmed en uppgift av allmänt intresse.(29)
101. Enligt artikel 9.1 i direktiv 2016/680 förutsätter ett externt hänförande till ett annat ändamål av de uppgifter som samlats in till akterna, att behandlingen av dem är tillåten enligt unionsrätten eller medlemsstatens nationella rätt. Såvitt här är av intresse, ankommer det på den hänskjutande domstolen att pröva om behandlingen är tillåten, med tanke på att åklagarmyndigheten fullgör sitt uppdrag av allmänt intresse att försvara statens ekonomiska intressen.
102. Enligt artikel 6.3 i den allmänna dataskyddsförordningen kan den rättsliga grund för behandlingen som anges i punkt 1 e, ”innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna” i själva den allmänna dataskyddsförordningen.(30) Om denna rättsliga grund föreskrivs i medlemsstatens nationella rätt som är tillämplig på den personuppgiftsansvarige, ankommer det på den nationella domstolen att finna den.(31)
103. Även om den hänskjutande domstolen inte skulle identifiera den relevanta rättsliga grunden, ska den omtvistade behandlingens förenlighet med det ändamål för vilket de ifrågavarande uppgifterna samlades in, prövas mot bakgrund av artikel 6.4 i den allmänna dataskyddsförordningen. Härvid ska det eventuella sambandet mellan de ursprungliga ändamålen och det senare uppkomna ändamålet beaktas, med hänsyn till det sammanhang i vilket personuppgifterna samlades in och deras karaktär, eventuella konsekvenser som den nya behandlingen får för den registrerade samt förekomsten av lämpliga garantier.
V. Förslag till avgörande
104. Mot bakgrund av vad som ovan anförts föreslår jag att domstolen ska besvara de tolkningsfrågor som Administrativen sad – Blagoevgrad (Förvaltningsdomstolen i Blagoevgrad, Bulgarien) har ställt på följande sätt:
1) Artikel 4.2 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF ska tolkas så, att uppgifter som har inhämtats från en person i hans förmodade egenskap av brottsoffer och som samlats in inom ramen för ett straffrättsligt förfarande, behandlas för samma ändamål som de som motiverade insamlingen av uppgifterna när den personen senare blir misstänkt för brott i samma straffrättsliga förfarande.
2) Artikel 9.1 i direktiv 2016/680 ska tolkas så, att Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, är tillämplig när åklagarmyndigheten använder sig av information som den har inhämtat i ett straffrättsligt förfarande för att försvara sig i ett tvistemål.
3) Ett utlämnande av personuppgifter som insamlats inom ramen för ett straffrättsligt förfarande, efter det att de har registrerats, lagrats och lästs, för att åklagarmyndigheten ska försvara sig i ett tvistemål i vilket skadeståndstalan väckts mot den på grund av dess agerande när den fullgjorde sina uppgifter, utgör en ”behandling av uppgifter” i den mening som avses i artikel 4.1 i förordning 2016/679.
4) Den behandlingen kan i princip anses vara laglig enligt artikel 6.1 e i förordning 2016/679.