Foreløbig udgave
FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT
P. PIKAMÄE
fremsat den 22. februar 2024 (1)
Sag C-693/22
I. sp. z o. o.
mod
M.W.
(anmodning om præjudiciel afgørelse indgivet af Sąd Rejonowy dla m. st. Warszawy w Warszawie (retten i første instans i Warszawa by, Polen))
»Præjudiciel forelæggelse – beskyttelse af personoplysninger – forordning (EU) 2016/679 – salg af en database, der indeholder personoplysninger, som led i en tvangsfuldbyrdelsesprocedure – artikel 4, nr. 7) – begrebet »dataansvarlig« – artikel 5, stk. 1, litra b) – formålsbegrænsning – artikel 6, stk. 1, 3 og 4 – lovlig behandling – overholdelse af en retlig forpligtelse, som påhviler den dataansvarlige – udførelse af en opgave i samfundets interesse – artikel 23, stk. 1, litra j) – håndhævelse af civilretlige krav – nødvendig og forholdsmæssig foranstaltning«
1. Kan salg af en database, der indeholder personoplysninger, som led i en tvangsfuldbyrdelsesprocedure være i overensstemmelse med bestemmelserne i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (herefter »databeskyttelsesforordningen«) (2), når de registrerede ikke har givet deres samtykke til et sådant salg?
2. Dette er det væsentligste spørgsmål, som Sąd Rejonowy dla m. st. Warszawy w Warszawie (retten i første instans i Warszawa by, Polen) har forelagt Domstolen i forbindelse med denne præjudicielle forelæggelse.
3. Domstolen skal således undersøge en særlig situation i lyset af databeskyttelsesforordningen og tage stilling til visse centrale elementer i denne forordning, såsom begrebet »dataansvarlig«, lovlig behandling og rækkevidden af princippet om formålsbegrænsning.
Retsforskrifter
EU-retten
4. Databeskyttelsesforordningens artikel 4 fastsætter følgende:
»I denne forordning forstås ved:
1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); [...]
2) »behandling«: enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse
[...]
7) »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret
[...]«
5. Forordningens artikel 5 med overskriften »Principper for behandling af personoplysninger« bestemmer i stk. 1 og 2:
»1. Personoplysninger skal:
a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)
b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; [...]
c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)
[...]
2. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«
6. Nævnte forordnings artikel 6 med overskriften »Lovlig behandling« har følgende ordlyd:
»1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:
a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
[...]
c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
[...]
e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
[...]
3. Grundlaget for behandling i henhold til stk. 1, litra c) og e), skal fremgå af:
a) EU-retten, eller
b) medlemsstaternes nationale ret, som den dataansvarlige er underlagt.
Formålet med behandlingen skal være fastlagt i dette retsgrundlag eller for så vidt angår den behandling, der er omhandlet i stk. 1, litra e), være nødvendig for udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. [...] EU-retten eller medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges.
4. Når behandling til et andet formål end det, som personoplysningerne er indsamlet til, ikke er baseret på den registreredes samtykke eller EU-retten eller medlemsstaternes nationale ret, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i artikel 23, stk. 1, tager den dataansvarlige, for at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til, bl.a. hensyn til følgende:
a) enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den påtænkte viderebehandling
b) den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige
c) personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles, jf. artikel 9, eller om personoplysninger vedrørende straffedomme og lovovertrædelser behandles, jf. artikel 10
d) den påtænkte viderebehandlings mulige konsekvenser for de registrerede
e) tilstedeværelse af fornødne garantier, som kan omfatte kryptering eller pseudonymisering.«
7. Databeskyttelsesforordningens artikel 23 med overskriften »Begrænsninger« fastsætter i stk. 1:
»1. EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige eller databehandleren er underlagt, kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 12-22 og 34 samt artikel 5, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 12-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:
[...]
j) håndhævelse af civilretlige krav.«
Polsk ret
8. Artikel 299 i ustawa Kodeks spółek handlowych (lov om selskaber) af 15. september 2000 (Dz. U. af 2022, pos. 1467, herefter »selskabsloven«) har følgende ordlyd:
»§ 1. Hvis tvangsfuldbyrdelse over for selskabet viser sig at være uden virkning, hæfter bestyrelsesmedlemmerne solidarisk for dets forpligtelser.
§ 2. Et bestyrelsesmedlem kan frigøre sig fra det i § 1 omhandlede ansvar, hvis vedkommende beviser, at der rettidigt er indgivet konkursbegæring, eller at der samtidig er truffet afgørelse om indledning af en rekonstruktionsbehandling eller om godkendelse af et akkordforlig i proceduren for godkendelse af akkordforlig, eller at en manglende indgivelse af konkursbegæring ikke skyldes bestyrelsesmedlemmet, eller at kreditor trods den manglende indgivelse af konkursbegæring og den manglende afgørelse om indledning af en rekonstruktionsbehandling eller om godkendelse af et akkordforlig i proceduren for godkendelse af akkordforlig ikke har lidt noget tab.«
9. Artikel 796, § 1, i ustawa Kodeks postępowania cywilnego (lov om den civile retspleje) af 17. november 1964 (Dz. U. af 2021, pos. 1805), som ændret (herefter »den civile retsplejelov«), har følgende ordlyd:
»En anmodning om tvangsfuldbyrdelse indgives til retten eller fogeden afhængigt af kompetence. En anmodning til fogeden kan indgives på en officiel blanket.«
10. Artikel 799, § 1, første punktum, i den civile retsplejelov bestemmer:
»En anmodning om indledning af tvangsfuldbyrdelse eller en begæring om tvangsfuldbyrdelse af egen drift giver mulighed for tvangsfuldbyrdelse efter alle tilladte måder, med undtagelse af tvangsfuldbyrdelse mod fast ejendom. […]«
11. Denne lovs artikel 824, § 1, nr. 3, har følgende ordlyd:
»Det fastslås ex officio, at tvangsfuldbyrdelsesproceduren helt eller delvis ophører:
[…]
3) når det klart fremgår, at der ved tvangsfuldbyrdelsen ikke vil blive opnået et beløb, der er højere end omkostningerne ved dens gennemførelse.«
12. Artikel 831 i nævnte lov fastsætter:
»§ 1 Følgende kan ikke gøres til genstand for tvangsfuldbyrdelse:
[...]
3) ikke-overdragelige rettigheder, medmindre deres overdragelse er udelukket ved aftale, og genstanden er eksigibel, eller udøvelsen af retten kan overdrages til en anden person.«
13. Ustawa o komornikach sądowych (lov om fogeder) af 22. marts 2018 (Dz. U. af 2022, pos. 1168), som ændret (herefter »fogedloven«), regulerer fogeders status og virksomhed. Lovens artikel 3, §§ 1 og 3, er affattet således:
»Fogeden er en offentlig myndighed, som har til formål at udføre aktiviteter i forbindelse med tvangsfuldbyrdelses- og sikringssager. Disse aktiviteter udføres af en foged med forbehold af de undtagelser, der er fastsat i lovgivningen.
[...]
Fogeden har følgende opgaver:
1) fuldbyrdelse af retsafgørelser i sager om pengekrav og ikke-pengekrav samt sikkerhedsstillelse, herunder europæiske kendelser til sikring af bankindeståender, med forbehold af de undtagelser, der er fastsat i [den civile retsplejelov]
[...]«
14. Artikel 9, § 1, i denne lov bestemmer:
»Fogeden kan ikke afvise at modtage en anmodning om:
1) indledning af en tvangsfuldbyrdelse
[…]
hvilke handlinger han har kompetence til i henhold til bestemmelserne i [den civile retsplejelov].«
15. Nævnte lovs artikel 31, § 1, første punktum, har følgende ordlyd:
»1. Fordringer, der er tvangsfuldbyrdes fra en bankkonto, en andelslånekasses konto, eller mæglervirksomheds konto, og som er opnået som følge af debitors første betaling af den beslaglagte fordring, overføres af fogedretten til kreditor tidligst på den 7. dag og senest på den 14. dag fra dagen for deres modtagelse. […]«
16. Ustawa o ochronie baz danych (lov om beskyttelse af databaser) af 27. juli 2001 (Dz. U. af 2021, pos. 386) (herefter »lov om beskyttelse af databaser«) fastsætter følgende i artikel 2, stk. 1, nr. 1:
»I denne lovs forstand:
1) udgør en database en samling af data eller andet materiale og elementer, der er samlet efter en bestemt systematik eller metode, som er individuelt tilgængelige på enhver måde, herunder elektronisk, og som kræver en betydelig investering, hvad angår kvalitet eller kvantitet, for at sammensætte, kontrollere eller præsentere indholdet.«
17. Artikel 6, stk. 1, i lov om beskyttelse af databaser bestemmer:
»Databaseproducenten har en eksklusiv og overdragelig ret til at udtrække dataene og til at genanvende dem helt eller i væsentlige dele, hvad angår kvalitet eller kvantitet.«
Tvisten i hovedsagen, det præjudicielle spørgsmål og retsforhandlingerne for Domstolen
18. Selskabet I. (herefter »sagsøgeren« eller »kreditorselskabet«), der har hjemsted i Polen, har en fordring, som er bekræftet ved en endelig retsafgørelse, mod selskabet NMW, der er specialiseret i onlinesalg, i hvilket M.W. er bestyrelsesmedlem.
19. Efter anmodning fra sagsøgeren blev der indledt en tvangsfuldbyrdelsessag mod selskabet NMW med henblik på inddrivelse af denne fordring. Denne sag førte til en afgørelse fra fogeden om at indstille tvangsfuldbyrdelsen med den begrundelse, at selskabet NMW ikke rådede over aktiver, som kunne være genstand for en sådan tvangsfuldbyrdelse. Under disse omstændigheder anlagde sagsøgeren sag mod M.W. ved Sąd Rejonowy dla m. st. Warszawy w Warszawie (retten i første instans i Warszawa by) på grundlag af selskabslovens artikel 299, § 1, som fastsætter, at et bestyrelsesmedlem i debitorselskabet har et økonomisk ansvar i tilfælde af, at det ikke er muligt at dække en fordring ved hjælp af dette selskabs aktiver.
20. M.W. nedlagde påstand om, at søgsmålet skulle forkastes med den begrundelse, at selskabet NMW ejede aktiver, som hver især havde en værdi, der oversteg beløbet for sagsøgerens fordring, nemlig en kildekode til en software til onlineshopping kombineret med en quasi cashback-tjeneste (herefter »platformen M.«) samt to databaser med oplysninger om platformens brugere.
21. Den forelæggende ret har imidlertid påpeget, at salget af selve platformen M. uden disse databaser ikke er lige så attraktivt på markedet som salget af hele »pakken«.
22. Ifølge den forelæggende ret er det derfor nødvendigt at få besvaret spørgsmålet om, hvorvidt de databaser, som NMW har oprettet, kan overdrages som led i en tvangsfuldbyrdelsesprocedure. En bekræftende besvarelse vil nemlig føre til, at søgsmålet i hovedsagen forkastes.
23. I denne henseende har den forelæggende ret præciseret, at selv om den ikke er bundet af den værdiansættelse af de omhandlede aktiver, som M.W. har støttet sig på – så meget desto mere som denne værdiansættelse ikke blev foretaget af en sagkyndig – er svaret på det ovennævnte spørgsmål fortsat nødvendigt for at afgøre tvisten i hovedsagen, for så vidt som de bestemmelser, der regulerer den polske civile retspleje, ikke gør det muligt at optage et sådant bevis uden først at fastslå, at det er relevant for sagen.
24. Den forelæggende ret er af den opfattelse, at de omhandlede databaser er omfattet af begrebet »database« som omhandlet i artikel 1 i Europa-Parlamentets og Rådets direktiv 96/9/EF af 11. marts 1996 om retlig beskyttelse af databaser (3), således at indehaveren heraf, selskabet NMW, har en ejendomsret til at overdrage disse databaser i henhold til dette direktivs artikel 7. Der kan nemlig indledes tvangsfuldbyrdelsessager mod enhver ejendomsret, medmindre der er en udtrykkelig bestemmelse, der udelukker dette. Den polske lovgiver har ikke fastsat nogen regel, der forbyder tvangsfuldbyrdelse af en database som den i den foreliggende sag omhandlede.
25. Den forelæggende ret har udtrykt tvivl om, hvorvidt sådanne databaser kan være genstand for en tvangsfuldbyrdes, da de indeholder personoplysninger om hundredtusindvis af brugere af platformen M., og da der ikke er noget bevis for, at brugerne af denne platform har givet deres samtykke til behandling af deres personoplysninger i form af overdragelse heraf til tredjeparter ud over platformen. Den har i denne henseende præciseret, at de omhandlede oplysninger ikke er omfattet af de særlige kategorier af personoplysninger i databeskyttelsesforordningens artikel 9.
26. Den forelæggende ret er ligeledes i tvivl om forholdet mellem de begrænsninger i behandlingen af personoplysninger, der er fastsat i databeskyttelsesforordningen, og retten til frit at benytte en database i henhold til direktiv 96/9/EF og national ret, herunder ifølge den forelæggende ret retten til at overdrage en database inden for rammerne af en tvangsfuldbyrdelsesprocedure.
27. På denne baggrund har Sąd Rejonowy dla m. st. Warszawy w Warszawie (retten i første instans i Warszawa by) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:
»Skal [databeskyttelsesforordningens] artikel 5, stk. 1, litra a), sammenholdt med forordningens artikel 6, stk. 1, litra a), c) og e), [og] artikel 6, stk. 3, […] fortolkes således, at bestemmelserne er til hinder for en national retsregel, der tillader salg af en database som defineret i artikel 1, stk. 2, i [direktiv 96/9], der indeholder personoplysninger, som led i en tvangsfuldbyrdelsessag, når de registrerede ikke har givet deres samtykke til et sådant salg?«
28. Den polske regering og Europa-Kommissionen har indgivet skriftlige indlæg. Samme procesdeltagere og sagsøgeren har afgivet mundtlige indlæg i retsmødet den 16. november 2023.
Bedømmelse
Formaliteten
29. Der skal som det første tages stilling til to spørgsmål, som vedrører det foreliggende præjudicielle spørgsmåls antagelse til realitetsbehandling.
30. For det første har sagsøgeren i hovedsagen i retsmødet udtrykt tvivl om dette spørgsmåls relevans. Ifølge denne part indstillede selskabet NMW allerede sin økonomiske aktivitet for flere år siden. Dette selskab har nærmere bestemt ikke længere nogen bestyrelse eller direktion og har ikke leveret tjenester til brugerne af platformen M. siden april 2019 (4). Det har således nødvendigvis indstillet enhver behandling af personoplysninger i forbindelse med udøvelsen af sin virksomhed. Under disse omstændigheder kræver princippet om formålsbegrænsning og princippet om opbevaringsbegrænsning, at de pågældende oplysninger slettes, idet selve eksistensen af de i hovedsagen omhandlede databaser ellers ville være ulovlig. På denne baggrund er den forelæggende rets spørgsmål, som vedrører lovligheden af salget af disse inden for rammerne af en tvangsfuldbyrdelsesprocedure, ikke relevant for afgørelsen af tvisten i hovedsagen.
31. Det skal nævnes, at personoplysninger (5) i henhold til databeskyttelsesforordningens artikel 5, stk. 1, litra e), skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles. Det følger heraf, at en behandling af oplysninger, der oprindeligt var lovlig, med tiden kan blive uforenelig med databeskyttelsesforordningen, når disse oplysninger ikke længere er nødvendige af hensyn til de formål, hvortil de er blevet indsamlet (6). I så fald skal oplysningerne slettes (7). I den foreliggende sag er de omhandlede oplysninger med sikkerhed blevet indsamlet med henblik på NMW’s virksomhed med onlinesalg. Hvis sidstnævnte havde indstillet denne virksomhed i april 2019, er der næppe tvivl om, at disse oplysninger ikke længere var nødvendige for udøvelsen af denne virksomhed og således skulle have været slettet. Uden en sådan sletning er eksistensen af de omhandlede databaser ikke i overensstemmelse med databeskyttelsesforordningen, og det er åbenbart, at det foreliggende præjudicielle spørgsmål ikke er relevant for afgørelsen af tvisten i hovedsagen.
32. Når dette er sagt, skal det anføres, at det følger af fast praksis, at Domstolen alene har kompetence til at udtale sig om fortolkningen af EU-retten på baggrund af de faktiske og retlige omstændigheder, som den nationale ret har ansvaret for at fastlægge, og ikke kan rejse tvivl herom eller efterprøve deres rigtighed (8).
33. Det fremgår imidlertid ikke af noget punkt i forelæggelsesafgørelsen, at selskabet NMW indstillede sine aktiviteter i april 2019, således som sagsøgeren har gjort gældende.
34. For det andet er den forelæggende ret i tvivl om, hvorvidt databeskyttelsesforordningen finder anvendelse, henset til bestemmelserne i direktiv 96/9.
35. Det skal indledningsvis nævnes, at formålet med direktiv 96/9 er gennem en tilnærmelse af de nationale lovgivninger at fjerne de forskelle, der gælder i henhold til disse på området for retlig beskyttelse af databaser, og som har negativ indvirkning på det indre markeds funktion, på den frie bevægelighed for varer og tjenesteydelser inden for Unionen og på udviklingen af et informationsmarked i denne (9). I henhold til direktivets artikel 1, stk. 1, vedrører dette direktiv den retlige beskyttelse af databaser, uanset deres form, idet det præciseres, at denne artikels stk. 2 definerer en »database« som »en samling af værker, data eller andet selvstændigt materiale, der er struktureret systematisk eller metodisk og kan konsulteres individuelt ved brug af elektronisk udstyr eller på anden måde«.
36. Det nævnte direktiv kræver, at samtlige medlemsstater i deres nationale ret fastsætter en beskyttelse af databaser ved en sui generis-ret. Nærmere bestemt sikrer artikel 7, stk. 1, i direktiv 96/9 fremstilleren af en database, der ud fra et kvalitativt og kvantitativt synspunkt har krævet en væsentlig investering, ret til at forbyde udtræk og/eller genanvendelse af hele basens indhold eller en væsentlig del deraf. Denne ret kan overdrages i henhold til direktivets artikel 7, stk. 3.
37. Ifølge den forelæggende ret opfylder de databaser, som tilhører selskabet NMW, betingelserne for at opnå beskyttelse i henhold til lov om beskyttelse af databaser og direktiv 96/9, idet førstnævnte gennemfører sidstnævnte i den polske retsorden. Lovens artikel 6 bestemmer bl.a., at producenten har en eksklusiv og overdragelig ret til at udtrække dataene og til at genanvende dem helt eller i væsentlige dele. Der er således ifølge den forelæggende ret tale om en ejendomsret, der er absolut af natur og som har virkning erga omnes. I henhold til polsk ret kan der indledes tvangsfuldbyrdelsessager mod enhver ejendomsret, medmindre andet udtrykkeligt er fastsat ved lov. Den polske lovgiver har imidlertid ikke fastsat nogen regel, der forbyder tvangsfuldbyrdelse med hensyn til databaser. Det følger heraf, at fogeden i den foreliggende sag har en ret til at overdrage databaserne på kreditors vegne, hvilket skyldes, at producenten, mod hvem tvangsfuldbyrdelsesproceduren er indledt, har ret til at råde over databaserne. Påberåbelsen af denne ret kan være til hinder for anvendelsen af databeskyttelsesforordningens bestemmelser i en sag som den foreliggende og således medføre, at det foreliggende spørgsmål ikke kan antages til realitetsbehandling.
38. Det skal først påpeges, at den forelæggende ret ikke har identificeret den sui generis-ret, der er anerkendt i dette direktivs artikel 7, korrekt. Der er i realiteten tale om en ret til at modsætte sig handlinger, der bl.a. består i at genfremstille databasen eller en væsentlig del heraf til en brøkdel af de omkostninger, der er nødvendige for at udvikle den selvstændigt (10), idet det formål, som EU-lovgiver således forfølger, er at sikre den person, som har taget initiativet til og påtaget sig risikoen ved at foretage en væsentlig investering i indsamling, kontrol eller præsentation af en databases indhold, udbyttet af hans investering ved at beskytte databasen mod uretmæssig tilegnelse af resultaterne af denne investering (11).
39. Hvad desuden og navnlig angår forholdet mellem direktiv 96/9 og databeskyttelsesforordningen fremgår det af direktivets artikel 13, at det ikke berører forskrifter vedrørende f.eks. beskyttelse af personoplysninger og privatlivets fred, og af 48. betragtning til direktivet, at dets bestemmelser ikke berører anvendelsen af databeskyttelsesreglerne i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (12), som databeskyttelsesforordningen har erstattet (13).
40. Efter min opfattelse bør Domstolen derfor træffe afgørelse om realiteten i den foreliggende sag.
Realiteten
41. Med sit spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 5, stk. 1, litra a), og artikel 6, stk. 1, første afsnit, litra a), c) og e), og artikel 6, stk. 3, skal fortolkes således, at bestemmelserne er til hinder for en national retsregel, der giver en foged tilladelse til som led i en tvangsfuldbyrdelsessag at sælge en database, der indeholder personoplysninger, når de registrerede ikke har givet deres samtykke til et sådant salg.
42. Min retlige bedømmelse vil forløbe som følger. Hvad angår databeskyttelsesforordningen vil jeg se på spørgsmålet om denne forordnings anvendelse i den foreliggende sag og spørgsmålet om identifikation af den pågældende dataansvarlige, inden jeg fokuserer på fortolkningen af de regler, der regulerer lovligheden af en sådan databehandling.
43. Ræsonnementet i dette forslag til afgørelse vil vise, at de EU-retlige bestemmelser, som Domstolen skal tage hensyn til, kun delvist falder sammen med dem, der er nævnt i det præjudicielle spørgsmål. Den foreslåede besvarelse vil derfor vedrøre disse bestemmelser (14).
Spørgsmålet, om der er tale om behandling, og om identifikation af den dataansvarlige
44. Således som det fremgår af tiende betragtning til databeskyttelsesforordningen, har denne bl.a. til formål at sikre et højt niveau for beskyttelse af fysiske personer inden for Unionen og med henblik herpå at sikre en konsekvent og ensartet anvendelse af reglerne for beskyttelse af disse personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger overalt i Unionen (15).
45. I henhold til forordningens artikel 2, stk. 1, finder denne forordning anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling, når disse oplysninger er eller vil blive indeholdt i et register.
46. Denne artikels stk. 2 fastsætter en række undtagelser fra forordningens anvendelsesområde, som er baseret på den type aktivitet, i forbindelse med hvilken behandlingen udføres. Det fremgår af Domstolens praksis, at det, henset til nødvendigheden af at fortolke disse undtagelser indskrænkende, er nødvendigt, at denne aktivitet figurerer blandt de aktiviteter, der udtrykkeligt er nævnt i databeskyttelsesforordningens artikel 2, stk. 2, eller at den kan henføres til samme kategori som disse. Karakteriseringen af en aktivitet som statens eller en offentlig myndigheds er således ikke tilstrækkelig til, at den omhandlede behandling kan anses for at være foretaget i forbindelse med en aktivitet, der ikke er omfattet af EU-rettens anvendelsesområde som omhandlet i undtagelsen i databeskyttelsesforordningens artikel 2, stk. 2, litra a) (16).
47. I denne sammenhæng er det særlig relevant at fastslå, at behandling, der foretages i forbindelse med tvangsfuldbyrdelse af et civilretligt krav, ikke falder uden for denne forordnings anvendelsesområde.
48. Databeskyttelsesforordningens anvendelsesområde afgrænses af definitionen af begrebet »behandling«. I henhold til forordningens artikel 4, nr. 2), omfatter dette begreb enhver aktivitet med eller uden brug af automatisk behandling, som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. »genfinding«, »søgning«, »brug« og »enhver anden form for overladelse« af disse oplysninger. EU-lovgiver har således haft til hensigt at give begrebet en vid rækkevidde (17).
49. Er der tale om behandling af personoplysninger i den foreliggende sag?
50. En indledende præcisering er på sin plads. De aktiviteter vedrørende personoplysningerne, som selskabet NMW udførte med henblik på at udøve sin virksomhed med onlinesalg via platformen M., er ikke omfattet af den forelæggende rets spørgsmål. Dette spørgsmål vedrører udelukkende den tvangsfuldbyrdelsesprocedure, der er indledt med henblik på tvangssalg af de omhandlede databaser. Ifølge den forelæggende ret indebærer en sådan procedure en behandling i henhold til databeskyttelsesforordningen, som fogeden er ansvarlig for.
51. De præciseringer, som den polske regering er fremkommet med i retsmødet vedrørende den opgave, som fogeden har i forbindelse med en sådan tvangsfuldbyrdelsesprocedure, efterlader efter min opfattelse ingen tvivl om, at denne fortolkning er korrekt.
52. Denne regering har forklaret, at den omhandlede procedure indledes med en beslaglæggelse af databasen, hvorved fogeden får adgang til de personoplysninger, der er indeholdt heri, med henblik på at foretage en værdiansættelse af databasen og angive denne værdi i beslaglæggelsesrapporten. Med henblik på en sådan værdiansættelse gennemfører fogeden en række aktiviteter, herunder genfinding, søgning og brug af disse oplysninger (18). Tvangsfuldbyrdelsesproceduren afsluttes ved, at databasen overdrages ved offentlig auktion. Når auktionen er afsluttet, og den fulde pris er betalt, overlader fogeden den nævnte database til køberen.
53. Det fremgår heraf, at de personoplysninger, der er indeholdt i databaser som de i hovedsagen omhandlede, i det mindste er genstand for fogedens genfinding, søgning og brug i forbindelse med værdiansættelsen af databaserne og derefter overlades til køberen. I denne henseende skal det nævnes, at en behandling af personoplysninger kan bestå af en eller flere operationer, som hver især omfatter en af de forskellige faser, som en behandling kan indeholde (19). I den foreliggende sag skal disse operationer derfor anses for at udgøre en »behandling« som omhandlet i databeskyttelsesforordningen.
54. Dernæst skal den dataansvarlige identificeres.
55. Jeg minder om, at begrebet »dataansvarlig« i henhold til databeskyttelsesforordningens artikel 4, nr. 7), omfatter fysiske eller juridiske personer, offentlige myndigheder, institutioner eller andre organer, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger (20). Det fremgår ligeledes af denne bestemmelse, at hvis formålene med og hjælpemidlerne til behandlingen er fastlagt i en medlemsstats nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i denne ret. En sådan bred definition af begrebet »dataansvarlig« har i henhold til fast retspraksis til formål at sikre en effektiv og fuldstændig beskyttelse af de berørte personer (21).
56. Såfremt fastlæggelsen af formålene med og hjælpemidlerne til behandlingen sker i national ret, skal det i henhold til den seneste retspraksis undersøges, om denne nationale ret udpeger den dataansvarlige eller fastsætter de specifikke kriterier for udpegelsen af denne. Udpegelsen af den dataansvarlige i henhold til national ret kan ikke blot være eksplicit, men også implicit. I sidstnævnte tilfælde kræves det ikke desto mindre, at denne fastlæggelse følger tilstrækkeligt klart af den rolle, den opgave og de beføjelser, som er tillagt den pågældende person eller enhed (22).
57. I den foreliggende sag følger det af fogedlovens artikel 3, stk. 1, at fogeden er en offentlig myndighed, som med forbehold af de undtagelser, der er fastsat i lovgivningen, udfører aktiviteter i forbindelse med bl.a. tvangsfuldbyrdelsessager. Som nævnt ovenfor fremgår det desuden af sagsakterne, at når tvangsfuldbyrdelsen vedrører databaser, består disse aktiviteter bl.a. i genfinding, søgning og brug af personoplysningerne i databaserne i forbindelse med værdiansættelsen af disse databaser med henblik på overdragelse ved offentlig auktion samt i overladelse til køberen, når auktionen er afsluttet. Det forekommer mig, at polsk ret således i det mindste implicit har fastsat formålene med og hjælpemidlerne til den behandling af personoplysninger, som fogeden foretager.
58. Det følger heraf, at fogeden i den foreliggende sag i sin egenskab af offentlig myndighed med ansvar for at gennemføre enhver tvangsfuldbyrdelsesprocedure, herunder den, der vedrører en database, kan anses for at være den ansvarlige for behandlingen af de heri indeholdte personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7).
59. Den forelæggende ret har ikke henvist til nogen bestemmelse i polsk ret, der pålægger debitorselskabet NMW en pligt til at samarbejde med fogeden for at gøre det muligt for denne at værdiansætte de omhandlede databaser med henblik på deres tvangssalg.
60. Det kan ikke udelukkes, at en sådan pligt ville indebære udførelse af en anden behandling i databeskyttelsesforordningens forstand, som dette selskab ville være ansvarlig for. Det skal i denne forbindelse anføres, at Domstolen i dommen i sagen Valsts ieņēmumu dienests (Behandling af personoplysninger til skatteformål) fastslog, at en erhvervsdrivendes fremsendelse og overladelse af personoplysninger til en medlemsstats skatte- og afgiftsmyndighed, som den erhvervsdrivende er retligt forpligtet til at levere, indebærer en sådan behandling, som kommer oven i den behandling, som denne myndighed foretog gennem den anmodning, hvorved den anmodede om fremsendelse og overladelse af disse oplysninger (23).
61. Det er mindre sandsynligt, omend abstrakt tænkeligt, at fogeden og debitorselskabet NMW kan anses for i fællesskab at være ansvarlige for behandlingerne af de omhandlede personoplysninger med henblik på tvangssalget. Denne konklusion kan i henhold til dommen i sagen État belge (Oplysninger behandlet af en statstidende) komme i betragtning, når de forskellige behandlingsaktiviteter forenes af formål og hjælpemidler, der er fastlagt i national ret, og når denne nationale ret fastsætter de respektive forpligtelser for hver af de fælles dataansvarlige (24).
62. Når dette er sagt, hviler nedenstående bedømmelse på den forudsætning, at fogeden, henset til omstændighederne i den foreliggende sag, er den eneste ansvarlige for den i hovedsagen omhandlede behandling.
63. Som dataansvarlig er fogeden ikke blot ansvarlig for overholdelsen af principperne for behandling af personoplysninger (25), men pålægges også et betydeligt antal forpligtelser, som de registreredes rettigheder svarer til (26). Den nationale lovgiver kan kun begrænse disse forpligtelser på de betingelser, der er fastsat i databeskyttelsesforordningens artikel 23. Adspurgt i retsmødet, om der findes sådanne lovbestemmelser i national ret, har den polske regering alene anført databeskyttelseslovens artikel 4. Denne artikel begrænser imidlertid kun rækkevidden af de forpligtelser, der påhviler den dataansvarlige, som udfører en offentlig opgave i henhold til databeskyttelsesforordningens artikel 14, stk. 1, 2 og 4 (»Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede«).
Lovligheden af den omhandlede behandling af personoplysninger
64. Som Domstolen gentagne gange har fastslået, skal enhver behandling af personoplysninger bl.a. være i overensstemmelse med de principper for behandling af oplysninger, der er fastsat i databeskyttelsesforordningens artikel 5, stk. 1, og, henset til princippet om behandlingens lovlighed, opfylde de betingelser for lovlighed, der er anført i denne forordnings artikel 6 (27).
65. Nævnte forordnings artikel 6, stk. 1, første afsnit, opstiller en udtømmende og fuldstændig liste over de forhold, hvorunder behandling af personoplysninger kan kvalificeres som lovlig. En sådan kvalificering indebærer, at behandlingen foregår under et af disse forhold. Det skal imidlertid nævnes, at den pågældende behandling ikke foregår under det vigtigste forhold, der er fastsat i denne bestemmelse, nemlig det forhold, hvor den registrerede har givet samtykke til behandling til et eller flere specifikke formål (28). Som det fremgår af forelæggelsesafgørelsen, er der i hovedsagen ingen beviser for, at de personer, hvis personoplysninger er indsamlet i de omhandlede databaser, har givet deres samtykke til, at deres oplysninger overføres til tredjemand ud over aktiviteter, der er forbundet med platformen M., navnlig at de sælges som led i en tvangsfuldbyrdelsesprocedure.
66. Ifølge den forelæggende ret kan fogedens behandling være omfattet af databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c) (behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige) eller af denne forordnings artikel 6, stk. 1, første afsnit, litra e) (behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt) (29).
67. Som den forelæggende ret har anført, giver fogedlovens artikel 3 fogeden status som offentlig myndighed. Det ville efter min opfattelse vanskeligt kunne hævdes, at de aktiviteter, som fogeden er blevet betroet i forbindelse med gennemførelsen af en tvangsfuldbyrdelse, der har til formål at fyldestgøre kreditor, ikke er udtryk for udførelse af en opgave, der henhører under offentlig myndighedsudøvelse, som denne foged har fået pålagt.
68. Det ville desuden være vanskeligt at fastslå, at det forhold, der er omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra c), gør sig gældende for situationen i den foreliggende sag. Det skal i denne forbindelse nævnes, at denne bestemmelses anvendelsesområde er strengt afgrænset. Som det fremgår af udtalelse 6/2014 fra »Artikel 29«-gruppen (30), skal den retlige forpligtelse, som påhviler den dataansvarlige, være tilstrækkelig klar med hensyn til den behandling af personoplysninger, som den kræver. Dette indebærer navnlig, at der findes retsforskrifter, der udtrykkeligt nævner behandlingens karakter og formål (31).
69. I den foreliggende sag er det ikke min opfattelse, at de bestemmelser, som den forelæggende ret har henvist til, nemlig fogedlovens artikel 3, stk. 1, artikel 9, stk. 1, nr. 1, og artikel 31, stk. 1, første punktum, samt den civile retsplejelovs artikel 796, § 1, og artikel 799, § 1, første punktum, kan kvalificeres som sådanne, for så vidt som det af disse bestemmelser alene fremgår, at fogeden i sin egenskab af offentlig myndighed er forpligtet til at behandle enhver anmodning om tvangsfuldbyrdelse efter alle tilladte måder. Nærmere bestemt synes polsk ret ikke at pålægge fogeden en retlig forpligtelse til tvangssalg af en database, der indeholder personoplysninger. I denne henseende påpeges det, at den civile retsplejelovs artikel 831, § 1, nr. 3, udelukker »ikke-overdragelige rettigheder« fra tvangsfuldbyrdelse, hvilket kan forstås som et forbud mod overdragelse af en database i det tilfælde, hvor denne er uforenelig med databeskyttelsesforordningen.
70. Det er under alle omstændigheder ikke nødvendigt at udelukke, at sidstnævnte forhold også er relevant i den foreliggende sag. Selv om det er tilstrækkeligt, at behandlingen foregår under et af de lovlige forhold, hvilket bekræftes af ordlyden af databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, har Domstolen nemlig anerkendt, at en og samme behandling kan foregå under flere af disse forhold (32).
71. Den omhandlede behandling foregår således efter min opfattelse under det lovlige forhold, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra e).
72. Det skal nævnes, at dette forhold indebærer, at der skal tages hensyn til en anden betingelse for lovlig behandling. Databeskyttelsesforordningens artikel 6, stk. 3, præciserer nemlig, at grundlaget for behandling i henhold til artikel 6, stk. 1, første afsnit, litra e), skal fremgå af EU-retten eller af medlemsstaternes nationale ret, som den dataansvarlige er underlagt, og skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges (33).
73. Databeskyttelsesforordningens artikel 6, stk. 1, første afsnit, litra e), sammenholdt med forordningens artikel 6, stk. 3, kræver således et retsgrundlag, heriblandt i national ret, for den behandling af personoplysninger, som foretages af de dataansvarlige i forbindelse med bl.a. udførelsen af en opgave, som henhører under offentlig myndighedsudøvelse, såsom den, der udføres af fogeden i forbindelse med tvangsfuldbyrdelse i en virksomheds aktiver (34).
74. Efter min opfattelse består dette retsgrundlag i samtlige de bestemmelser i polsk ret, der er nævnt i første punktum i dette forslag til afgørelses punkt 69, hvoraf det fremgår, at fogeden i sin egenskab af offentlig myndighed er forpligtet til at behandle enhver anmodning om tvangsfuldbyrdelse efter alle tilladte måder.
75. Endelig kræver spørgsmålet om, hvorvidt den omhandlede behandling er i overensstemmelse med databeskyttelsesforordningen, at der tages stilling til en yderligere juridisk problemstilling, som er kernen i den foreliggende sag.
76. Jeg kan nemlig konstatere, at formålet med fogedens behandling af personoplysninger, nemlig tvangssalg af databaser over brugere af platformen M. med henblik på at fyldestgøre selskabet NMW’s kreditorer, adskiller sig fra det oprindelige formål med den behandling af personoplysninger, som dette selskab foretager, nemlig at gøre det muligt at bruge platformen M. i forbindelse med det nævnte selskabs virksomhed med onlinesalg.
77. Det skal i denne henseende nævnes, at personoplysninger i henhold til databeskyttelsesforordningens artikel 5, stk. 1, litra b), som fastsætter princippet om »formålsbegrænsning«, dels skal indsamles til udtrykkeligt angivne og legitime formål, dels ikke må viderebehandles på en måde, der er uforenelig med disse formål. Denne bestemmelse indeholder imidlertid ikke nogen angivelser om, under hvilke betingelser en viderebehandling af personoplysninger kan anses for at være forenelig med formålene med den oprindelige indsamling af disse oplysninger (35).
78. Det følger af databeskyttelsesforordningens artikel 6, stk. 4, sammenholdt med 50. betragtning til denne forordning (36), at undersøgelsen af en sådan forenelighed indebærer, at der tages hensyn til en ikke-udtømmende række kriterier, som er opregnet heri.
79. Det er indlysende, at en hensyntagen til disse kriterier i den foreliggende sag ikke kan føre til et bekræftende svar for så vidt angår de pågældende formåls forenelighed. Som Domstolen for nylig har præciseret, afspejler de nævnte kriterier nødvendigheden af en konkret, logisk og tilstrækkelig tæt sammenhæng mellem formålene med den oprindelige indsamling af personoplysninger og viderebehandlingen af disse oplysninger og gør det således muligt at sikre, at denne viderebehandling ikke afviger fra de registreredes legitime forventninger med hensyn til den senere anvendelse af deres oplysninger (37). Det kan imidlertid ikke fastslås, at der er en sådan sammenhæng i den foreliggende sag.
80. Under alle omstændigheder fremgår det af databeskyttelsesforordningens artikel 6, stk. 4, første punktum, at det kun er nødvendigt at vurdere formålenes forenelighed, »[n]år behandling til et andet formål end det, som personoplysningerne er indsamlet til, ikke er baseret på den registreredes samtykke eller EU-retten eller medlemsstaternes nationale ret, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i [databeskyttelsesforordningens] artikel 23, stk. 1«.
81. I den foreliggende sag ligger det fast, at brugerne af platformen M. ikke har givet deres samtykke til behandling til et andet formål end det, som deres personoplysninger er indsamlet til. Spørgsmålet er derfor, om en sådan behandling er baseret på national ret eller EU-retten, og om den kan anses for at være en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund for at nå et af de mål, der er anført i databeskyttelsesforordningens artikel 23, stk. 1.
82. I denne henseende finder jeg det nødvendigt at præcisere, at Domstolen har fortolket dette forhold som en egentlig undtagelse fra princippet om formålsbegrænsning. Med støtte i 50. betragtning til databeskyttelsesforordningen har Domstolen anført, at den dataansvarlige således kan viderebehandle de pågældende oplysninger, uafhængigt af, om den pågældende behandling er forenelig med de formål, som disse oplysninger oprindeligt blev indsamlet til, med henblik på at forfølge de vigtige mål i almenhedens interesse, der er fastsat i databeskyttelsesforordningens artikel 23, stk. 1. Den har således konkluderet, at denne forordnings artikel 6, stk. 4, første punktum, inden for rammerne af en civilretlig procedure finder anvendelse på edition af et dokument, der indeholder tredjemænds personoplysninger, der hovedsageligt er indsamlet med henblik på skattekontrol (38).
83. Selv om denne fortolkning måske ikke behager dem, der mener, at retten til beskyttelse af personoplysninger alene skal kunne begrænses ved nationale lovgivningsmæssige foranstaltninger, er den efter min opfattelse i fuld overensstemmelse med EU-lovgivers hensigt. Det skal nemlig anføres, at begrundelsen vedrørende Rådets holdning i forarbejderne til databeskyttelsesforordningen – måske endnu tydeligere end 50. betragtning til denne forordning – giver udtryk for, at den dataansvarlige kan gives en nøje afgrænset margen til at foretage en behandling, der er uforenelig med de formål, der er angivet på tidspunktet for indsamlingen af de personoplysninger, som er genstand for denne behandling (39).
84. Da det allerede er blevet fastslået, at der foreligger et retsgrundlag, som danner grundlag for den i den foreliggende sag omhandlede behandling, skal det herefter afgøres, om denne behandling tager hensyn til de mål, der er fastsat i databeskyttelsesforordningens artikel 23.
85. Jeg skal nævne, at der blandt disse mål i henhold til denne bestemmelses stk. 1, litra j), er tale om »håndhævelse af civilretlige krav«. Det forekommer mig, at den omhandlede behandling af personoplysninger er egnet til at sikre opfyldelsen af dette mål. I denne henseende skal det anføres, at formålet med denne behandling ifølge den forelæggende ret følger af den civile retsplejelovs artikel 911, sammenholdt med fogedlovens artikel 31, stk. 1, første punktum, som giver fogeden ret til at sælge databasen og efterfølgende til at overdrage det beløb, der er opnået ved dette tvangssalg, til kreditor.
86. Spørgsmålet om, hvorvidt fogedens behandling i forbindelse med tvangsfuldbyrdelsesproceduren udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund for at nå målet om at sikre håndhævelsen af civilretlige krav, henhører under den forelæggende rets kompetence. Det tilkommer imidlertid Domstolen på grundlag af de til rådighed værende oplysninger at give denne ret alle de nødvendige oplysninger herom med henblik på EU-retten (40).
87. Hvad angår nødvendigheden er det ubestridt, at en foranstaltning er nødvendig, når det legitime mål, der forfølges, ikke kan nås ved hjælp af en foranstaltning, der er lige så egnet, men mindre indgribende. Er det med andre ord muligt at håndhæve kreditorselskabets krav ved hjælp af andre midler, der er lige så effektive, men mindre indgribende i den ret, som brugerne af platformen M. har til privatliv og beskyttelse af personoplysninger? I denne henseende skal jeg blot nævne, at det ifølge den forelæggende ret ikke er muligt at fyldestgøre kreditorselskabet med debitorselskabets aktiver uden at foretage et tvangssalg af de pågældende databaser.
88. Hvad angår forholdsmæssigheden kræver vurderingen af denne betingelse, at der foretages en afvejning af de foreliggende modstående interesser på grundlag af de konkrete omstændigheder i den sag, der undersøges.
89. I den foreliggende sag består den første af disse interesser, som er en grundlæggende rettighed, der er fastsat i artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) og i artikel 16 TEUF, i beskyttelse af brugerne af platformen M. i forbindelse med behandling af personoplysninger. Retten til respekt for privatliv, som er fastsat i chartrets artikel 7, er tæt forbundet hermed. Som det fremgår af fjerde betragtning til databeskyttelsesforordningen, er retten til beskyttelse af personoplysninger ikke en absolut ret, men skal ses i sammenhæng med sin funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincippet. En af disse rettigheder er ejendomsretten, der fremgår af chartrets artikel 17. Salget af en database tilhørende debitor som led i en tvangsfuldbyrdelsesprocedure bidrager efter min opfattelse til overholdelse af den ejendomsret, som indehaveren af en ved dom fastslået fordring har.
90. Det skal i denne forbindelse erindres, at chartrets artikel 17 svarer til artikel 1 i tillægsprotokollen til den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, undertegnet i Rom den 4. november 1950 (herefter »EMRK«), således at dens betydning og omfang i medfør af chartrets artikel 52, stk. 3, er de samme som dem, som EMRK tillægger i denne artikel 1.
91. I henhold til retspraksis fra Den Europæiske Menneskerettighedsdomstol indebærer ejendomsretten, at staterne er bundet af en positiv forpligtelse til at indføre en ordning for fuldbyrdelse af retsafgørelser, der er effektiv såvel praktisk som retligt, og som gør det muligt at sikre, at de procedurer, som er indført ved lovgivningen med henblik på fuldbyrdelse af endelige retsafgørelser, gennemføres uden unødig forsinkelse (41). Når kreditor er en privat aktør, er staten forpligtet til at yde kreditorerne den nødvendige bistand i forbindelse med fuldbyrdelsen af de pågældende retsafgørelser, f.eks. gennem en foged (42). Når myndighederne i denne forbindelse er forpligtet til at handle for at få en dom fuldbyrdet, og de afstår herfra, kan deres passivitet pådrage staten ansvar i henhold til bl.a. artikel 1 i tillægsprotokol nr. 1 til EMRK (43).
92. Ved vurderingen af denne afvejning mellem ejendomsretten på den ene side og retten til beskyttelse af personoplysninger og retten til privatlivets fred på den anden side kan der efter min opfattelse tages hensyn til et specifikt forhold, der fremgår af sagsakterne.
93. Det fremgår af forelæggelsesafgørelsen, at der ikke er nogen bestemmelser i polsk ret, der indfører subjektive begrænsninger med hensyn til køberen af en database, idet den eneste betingelse er fuld rets- og handleevne, hvilket indebærer, at den erhvervende tredjemand også kan være en enhed uden for Den Europæiske Union, der som sådan ikke er forpligtet til at overholde de regler for behandling af personoplysninger, der er fastsat i databeskyttelsesforordningen.
94. I en sådan situation forekommer det mig, at den omhandlede behandling i uforholdsmæssig høj grad tilsidesætter retten til beskyttelse af personoplysninger og således ikke kan anses for at være en forholdsmæssig foranstaltning. Til illustration heraf ville en national retsregel, der pålægger fogeden i de auktionsbetingelser, der udarbejdes med henblik på auktionen, at medtage en klausul, der pålægger den erhvervende tredjemand at overholde databeskyttelsesforordningens regler, gøre det muligt at undgå et sådant udfald.
Forslag til afgørelse
95. På baggrund af ovenstående betragtninger foreslår jeg Domstolen at besvare det af Sąd Rejonowy dla m. st. Warszawy w Warszawie (retten i første instans i Warszawa by, Polen) forelagte præjudicielle spørgsmål som følger:
»Artikel 6, stk. 1, første afsnit, litra e), artikel 6, stk. 3, og artikel 6, stk. 4, første punktum, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
skal fortolkes således, at
bestemmelsen ikke er til hinder for en national retsregel, der giver en foged tilladelse til som led i en tvangsfuldbyrdelsesprocedure at sælge en database, der indeholder personoplysninger, når de registrerede ikke har givet deres samtykke til et sådant salg, på betingelse af, at den pågældende fogeds behandling af de nævnte oplysninger udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til håndhævelsen af et civilretligt krav.«