DOMSTOLENS DOM (Sjette Afdeling)
7. marts 2024 (*)
»Præjudiciel forelæggelse – beskyttelse af personoplysninger – forordning (EU) 2016/679 – artikel 2, 4, 6, 10 og 86 – oplysninger, som en domstol er i besiddelse af vedrørende en fysisk persons straffedomme – mundtlig meddelelse af sådanne oplysninger til et kommerciel selskab som følge af en udvælgelsesprøve, som dette selskab organiserer – begrebet »behandling af personoplysninger« – national lovgivning, der regulerer adgangen til de nævnte oplysninger – forening af offentlighedens ret til aktindsigt i officielle dokumenter med beskyttelse af personoplysninger«
I sag C-740/22,
angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Itä-Suomen hovioikeus (appeldomstolen for Østfinland, Finland) ved afgørelse af 30. november 2022, indgået til Domstolen den 2. december 2022, i sagen
Endemol Shine Finland Oy
har
DOMSTOLEN (Sjette Afdeling),
sammensat af afdelingsformanden, T. von Danwitz (refererende dommer), og dommerne P.G. Xuereb og I. Ziemele,
generaladvokat: T. Ćapeta,
justitssekretær: A. Calot Escobar,
på grundlag af den skriftlige forhandling,
efter at der er afgivet indlæg af:
– den finske regering ved A. Laine og M. Pere, som befuldmægtigede,
– den portugisiske regering ved P. Barros da Costa, J. Ramos og C. Vieira Guerra, som befuldmægtigede,
– Europa-Kommissionen ved A. Bouchagiar, H. Kranenborg og I. Söderlund, som befuldmægtigede,
og idet Domstolen efter at have hørt generaladvokaten har besluttet, at sagen skal pådømmes uden forslag til afgørelse,
afsagt følgende
Dom
1 Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 2, stk. 1, artikel 4, nr. 2), og artikel 86 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«).
2 Anmodningen er blevet indgivet i forbindelse med en sag vedrørende en national rets afslag på at videregive oplysninger om straffedomme afsagt over tredjemand til Endemol Shine Finland Oy.
Retsforskrifter
EU-retten
3 4., 10., 11., 15., 19. og 154. betragtning til databeskyttelsesforordningen har følgende ordlyd:
»(4) Behandling af personoplysninger bør have til formål at tjene menneskeheden. Retten til beskyttelse af personoplysninger er ikke en absolut ret; den skal ses i sammenhæng med sin funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincippet. Denne forordning overholder alle de grundlæggende rettigheder og følger de frihedsrettigheder og principper, der anerkendes i [Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«)] som forankret i traktaterne, navnlig respekten for privatliv og familieliv, [...] beskyttelsen af personoplysninger, retten til at tænke frit, til samvittigheds- og religionsfrihed, ytrings- og informationsfrihed, frihed til at oprette og drive egen virksomhed, adgang til effektive retsmidler og til en retfærdig rettergang [...].
[...]
(10) For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for [Den Europæiske Union] bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen. I forbindelse med behandling af personoplysninger for at overholde en retlig forpligtelse eller for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, bør medlemsstaterne kunne opretholde eller indføre nationale bestemmelser for yderligere at præcisere anvendelsen af denne forordnings bestemmelser. Sammen med generel og horisontal lovgivning om databeskyttelse til gennemførelse af [Europa-Parlamentet og Rådets] direktiv 95/46/EF [af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 1)] har medlemsstaterne flere sektorspecifikke love på områder, hvor der er behov for mere specifikke bestemmelser. Denne forordning indeholder også en manøvremargen, så medlemsstaterne kan præcisere reglerne heri, herunder for behandling af særlige kategorier af personoplysninger (»følsomme oplysninger«). Denne forordning udelukker således ikke, at medlemsstaternes nationale ret fastlægger omstændighederne i forbindelse med specifikke databehandlingssituationer, herunder mere præcis fastlæggelse af de forhold, hvorunder behandling af personoplysninger er lovlig.
(11) For at sikre effektiv beskyttelse af personoplysninger i Unionen er det nødvendigt at styrke og præcisere de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler og træffer afgørelse om behandling af personoplysninger, samt at der gives tilsvarende beføjelser til at føre tilsyn med og sikre overholdelse af reglerne om beskyttelse af personoplysninger og indføres tilsvarende sanktioner ved overtrædelser i medlemsstaterne.
[...]
(15) For at undgå at skabe en alvorlig risiko for omgåelse bør beskyttelsen af fysiske personer være teknologineutral og ikke afhænge af de anvendte teknikker. Beskyttelsen af fysiske personer bør gælde for både automatisk og manuel behandling af personoplysninger, hvis personoplysningerne er indeholdt eller vil blive indeholdt i et register. Sagsmapper eller samlinger af sagsmapper samt deres forsider, som ikke er struktureret efter bestemte kriterier, bør ikke være omfattet af denne forordnings anvendelsesområde.
[...]
(19) Beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskyttelsen mod og forebyggelsen af trusler mod den offentlige sikkerhed og den frie udveksling af sådanne oplysninger, er genstand for en specifik EU-retsakt. Denne forordning bør derfor ikke gælde for behandlingsaktiviteter med disse formål. Behandling af personoplysninger af offentlige myndigheder, som er omfattet af denne forordning, med henblik på disse formål bør imidlertid være genstand for en mere specifik EU-retsakt, Europa-Parlamentets og Rådets direktiv (EU) 2016/680 [af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT 2016, L 119, s. 89)]. Medlemsstater kan overdrage opgaver, der ikke nødvendigvis foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, til de kompetente myndigheder som omhandlet i direktiv (EU) 2016/680, således at behandling af personoplysninger til disse andre formål, for så vidt som de er omfattet af EU-retten, falder ind under denne forordnings anvendelsesområde.
Med hensyn til disse kompetente myndigheders behandling af personoplysninger til formål, der er omfattet af anvendelsesområdet for denne forordning, bør medlemsstaterne kunne opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af reglerne i denne forordning. Sådanne bestemmelser kan mere præcist fastlægge specifikke krav til disse kompetente myndigheders behandling af personoplysninger til disse andre formål under hensyntagen til den forfatningsmæssige, organisatoriske og administrative struktur i den pågældende medlemsstat. Når behandling af personoplysninger foretaget af private organer er omfattet af denne forordnings anvendelsesområde, bør forordningen give medlemsstaterne mulighed for på særlige betingelser ved lov at begrænse visse forpligtelser og rettigheder, når en sådan begrænsning udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund for at sikre bestemte vigtige interesser, herunder den offentlige sikkerhed og forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed. Dette er f.eks. relevant inden for rammerne af bekæmpelse af hvidvaskning af penge eller kriminaltekniske laboratoriers aktiviteter.
[...]
(154) Denne forordning giver mulighed for, at der ved anvendelsen af denne forordning[…] kan tages hensyn til princippet om aktindsigt i officielle dokumenter. Aktindsigt i officielle dokumenter kan anses for at være i samfundets interesse. Personoplysninger i dokumenter, der opbevares af en offentlig myndighed eller et offentligt organ, bør kunne offentliggøres af denne myndighed eller dette organ, hvis dette er fastsat i EU-retten eller medlemsstaternes nationale ret, som den offentlige myndighed eller det offentlige organ er underlagt. Sådanne regler bør forene aktindsigt i officielle dokumenter og videreanvendelse af den offentlige sektors information med retten til beskyttelse af personoplysninger og kan derfor indeholde den nødvendige forening med retten til beskyttelse af personoplysninger i henhold til denne forordning. Offentlige myndigheder og organer bør i denne sammenhæng omfatte alle myndigheder eller andre organer, der er omfattet af medlemsstaternes nationale ret om aktindsigt. Europa-Parlamentets og Rådets direktiv 2003/98/EF [af 17. november 2003 om videreanvendelse af den offentlige sektors informationer (EUT 2003, L 345, s. 90)] opretholder og griber på ingen måde ind i beskyttelsesniveauet for fysiske personer med hensyn til behandling af personoplysninger i henhold til EU-retten og medlemsstaternes nationale ret, og det ændrer navnlig ikke de forpligtelser og rettigheder, der er fastsat i denne forordning. Dette direktiv bør navnlig ikke gælde for dokumenter, hvortil adgang er udelukket eller begrænset i henhold til aktindsigtsordningerne under henvisning til beskyttelse af personoplysninger, og dele af dokumenter, der i henhold til disse ordninger er adgang til, og som indeholder personoplysninger, hvis videreanvendelse ifølge lovgivningen er uforenelig med lovgivningen om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.«
4 Databeskyttelsesforordningens artikel 2, der har overskriften »Materielt anvendelsesområde«, bestemmer:
»1. Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
2. Denne forordning gælder ikke for behandling af personoplysninger:
a) under udøvelse af aktiviteter, der falder uden for EU-retten
b) som foretages af medlemsstaterne, når de udfører aktiviteter, der falder inden for rammerne af afsnit V, kapitel 2, i [EU-traktaten]
c) som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter
d) som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed.
3. [Europa-Parlamentets og Rådets] [f]orordning (EF) nr. 45/2001 [af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og ‑organerne og om fri udveksling af sådanne oplysninger (EFT 2001, L 8, s. 1)] finder anvendelse på behandling af personoplysninger, som Unionens institutioner, organer, kontorer og agenturer foretager. Forordning (EF) nr. 45/2001 og andre EU-retsakter, der finder anvendelse på sådan behandling af personoplysninger, tilpasses til principperne og bestemmelserne i nærværende forordning i overensstemmelse med artikel 98.
4. Denne forordning berører ikke anvendelsen af [Europa-Parlamentets og Rådets] direktiv 2000/31/EF [af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked (»direktivet om elektronisk handel«) (EFT 2000, L 178, s. 1)], navnlig reglerne om formidleransvar for tjenesteydere, der er fastsat i artikel 12-15 i nævnte direktiv.«
5 Databeskyttelsesforordningens artikel 4 med overskriften »Definitioner« bestemmer følgende i nr. 1), 2), 6) og 7):
»I denne forordning forstås ved:
1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
2) »behandling«: enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse
[...]
6) »register«: enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag
7) »dataansvarlig« en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret.«
6 Denne forordnings artikel 5 med overskriften »Principper for behandling af personoplysninger« har følgende ordlyd:
»1. Personoplysninger skal:
a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)
b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; [...] (»formålsbegrænsning«)
c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)
d) være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt til at sikre, at personoplysninger, der er ukorrekte i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)
e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; [...] (»opbevaringsbegrænsning«)
f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).
[...]«
7 Den nævnte forordnings artikel 6 med overskriften »Lovlig behandling« fastsætter i stk. 1-3:
»1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:
a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.
c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
d) Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.
e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
f) Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.
Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.
2. Medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af denne forordnings bestemmelser om behandling med henblik på overholdelse af stk. 1, litra c) og e), ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling, herunder for andre specifikke databehandlingssituationer som omhandlet i kapitel IX.
3. Grundlaget for behandling i henhold til stk. 1, litra c) og e), skal fremgå af:
a) EU-retten, eller
b) medlemsstaternes nationale ret, som den dataansvarlige er underlagt.
Formålet med behandlingen skal være fastlagt i dette retsgrundlag eller for så vidt angår den behandling, der er omhandlet i stk. 1, litra e), være nødvendig for udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Dette retsgrundlag kan indeholde specifikke bestemmelser med henblik på at tilpasse anvendelsen af bestemmelserne i denne forordning, bl.a. de generelle betingelser for lovlighed af den dataansvarliges behandling, hvilke typer oplysninger der skal behandles, berørte registrerede, hvilke enheder personoplysninger må videregives til, og formålet hermed, formålsbegrænsninger, opbevaringsperioder og behandlingsaktiviteter samt behandlingsprocedurer, herunder foranstaltninger til sikring af lovlig og rimelig behandling såsom i andre specifikke databehandlingssituationer som omhandlet i kapitel IX. EU-retten eller medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges.«
8 Databeskyttelsesforordningens artikel 10 med overskriften »Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser« bestemmer:
»Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger på grundlag af artikel 6, stk. 1, må kun foretages under kontrol af en offentlig myndighed, eller hvis behandling har hjemmel i EU-retten eller medlemsstaternes nationale ret, som giver passende garantier for registreredes rettigheder og frihedsrettigheder. Ethvert omfattende register over straffedomme må kun føres under kontrol af en offentlig myndighed.«
9 Forordningens artikel 23 med overskriften »Begrænsninger« er affattet således:
»1. EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige eller databehandleren er underlagt, kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 12-22 og 34 samt artikel 5, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 12-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:
[...]
f) beskyttelse af retsvæsenets uafhængighed og retssager
[...]«
10 Nævnte forordnings artikel 85 med overskriften »Behandling og ytrings- og informationsfriheden« fastsætter følgende i stk. 1:
»Medlemsstaterne forener ved lov retten til beskyttelse af personoplysninger i henhold til denne forordning med retten til ytrings- og informationsfrihed, herunder behandling i journalistisk øjemed og med henblik på akademisk, kunstnerisk eller litterær virksomhed.«
11 Databeskyttelsesforordningens artikel 86 med overskriften »Behandling og aktindsigt i officielle dokumenter« bestemmer:
»Personoplysninger i officielle dokumenter, som en offentlig myndighed eller et offentligt eller privat organ er i besiddelse af med henblik på udførelse af en opgave i samfundets interesse, må videregives af myndigheden eller organet i overensstemmelse med EU-retten eller medlemsstaternes nationale ret, som den offentlige myndighed eller organet er underlagt, for at forene aktindsigt i officielle dokumenter med retten til beskyttelse af personoplysninger i henhold til denne forordning.«
Finske retsforskrifter
Lov om beskyttelse af personoplysninger (1050/2018)
12 Tietosuojalaki (1050/2018) (lov om beskyttelse af personoplysninger (1050/2018)) bestemmer i § 1:
»Denne lov præciserer og supplerer databeskyttelsesforordningen og gennemførelsen heraf på nationalt plan.«
13 Lovens § 28 har følgende ordlyd:
»Bestemmelserne om offentliggørelse af offentlige myndigheders virksomhed finder anvendelse på retten til aktindsigt og andre former for videregivelse af personoplysninger fra personregistre, der føres af offentlige myndigheder.«
Lov om offentlighed i offentlige myndigheders virksomhed (621/1999)
14 § 13 i laki viranomaisten toiminnan julkisuudesta (621/1999) (lov om offentlighed i offentlige myndigheders virksomhed (621/1999)) bestemmer:
»En anmodning om meddelelse af oplysninger om indholdet af en akt skal være tilstrækkelig præcis til, at de offentlige myndigheder kan fastlægge det dokument, anmodningen vedrører. Den, der anmoder om en oplysning, skal ved hjælp af retsbogen og andre fortegnelser bistås ved identificeringen af den akt, hvorfra vedkommende anmoder om oplysninger. Den, der anmoder om en oplysning, behøver hverken at oplyse sin identitet eller at begrunde sin anmodning, medmindre dette er nødvendigt for, at myndigheden kan udøve sit skøn, eller med henblik på afklaring af, om rekvirenten har ret til oplysninger om indholdet af akten.
Rekvirenten skal, medmindre andet er særskilt bestemt, ved anmodningen om oplysninger fra en fortrolig akt, en myndigheds personregister eller en anden akt, hvorfra der kun må meddeles oplysninger under bestemte betingelser, angive det formål, oplysningerne skal anvendes til, anføre de øvrige omstændigheder, der er nødvendige for at afklare, om betingelserne for videregivelse af oplysningerne er opfyldt, og om nødvendigt oplyse, hvorledes beskyttelsen af oplysningerne vil blive sikret.«
15 Denne lovs § 16 bestemmer:
»Aktindsigt i indholdet af et dokument, som en offentlig myndighed ligger inde med, gives mundtligt eller ved at stille det til rådighed ved den offentlige myndighed med henblik på konsultation, kopi eller aflytning eller ved at udlevere en kopi eller udskrift af dokumentet. Oplysninger om det offentlige indhold af en akt skal meddeles på den ønskede måde, medmindre dette på grund af det store antal akter eller vanskeligheden ved at kopiere eller af en øvrig hermed sammenlignelig grund vil medføre urimelige byrder for myndighedens virksomhed.
[...]
Medmindre andet særskilt er fastsat i loven, kan personoplysninger, der stammer fra et personregister, der føres af en offentlig myndighed, videregives i form af en kopi, udskrift eller i elektronisk form, når modtageren i henhold til de gældende regler om beskyttelse af personoplysninger har ret til at opbevare og anvende disse oplysninger. Personoplysninger må dog kun videregives med henblik på direkte markedsføring og menings- eller markedsundersøgelser, hvis dette er specifikt fastsat, eller hvis den registrerede har givet sit samtykke.
[...]«
Lov om offentlighed i sager ved de almindelige domstole (370/2007)
16 § 1 i laki oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007) (lov om offentlighed i sager ved de almindelige domstole (370/2007)) har følgende ordlyd:
»Sager og sagsakter er offentlige, medmindre andet er fastsat i denne lov eller i en anden lov.«
Lov om behandling af personoplysninger i straffesager og i forbindelse med opretholdelsen af den nationale sikkerhed (1054/2018)
17 § 1 i laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018) (lov om behandling af personoplysninger i straffesager og med henblik på opretholdelse af den nationale sikkerhed (1054/2018)) bestemmer i stk. 1, at denne lov finder anvendelse ved kompetente myndigheders behandling af personoplysninger, når der bl.a. er tale om en straffesag for en ret. I henhold til dennes stk. 4 finder nævnte lov kun anvendelse på en behandling af personoplysninger som omhandlet i stk. 1, der er helt eller delvis automatiseret, eller hvor de behandlede oplysninger udgør eller er bestemt til at udgøre et register eller en del heraf.
18 Denne lovs § 2, stk. 2, har følgende ordlyd:
»Bestemmelserne om offentlighed i myndigheders virksomhed anvendes på retten til aktindsigt og til at modtage oplysninger fra en myndigheds personregister og på øvrig videregivelse af personoplysninger fra en myndigheds personregister.«
Tvisten i hovedsagen og de præjudicielle spørgsmål
19 Sagsøgeren i hovedsagen, Endemol Shine Finland, anmodede mundtligt Etelä-Savon käräjäoikeus (retten i første instans i Syd-Savo, Finland) om oplysninger vedrørende eventuelle verserende eller allerede afsluttede straffesager vedrørende en fysisk person, der deltog i en udvælgelsesprøve afholdt af dette selskab, med henblik på at fastslå, om denne person tidligere havde været genstand for en straffesag.
20 Etelä-Savon käräjäoikeus (retten i første instans i Syd-Savo) tog ikke sagsøgeren i hovedsagens påstand til følge, idet den fandt, at anmodningen vedrørte offentlige afgørelser eller oplysninger som omhandlet i lov om offentlighed i sager ved de almindelige domstole. Ifølge denne ret udgjorde den begrundelse, som sagsøgeren i hovedsagen havde påberåbt sig, ikke en grund vedrørende behandlingen af straffedomme eller lovovertrædelser som omhandlet i § 7 i lov om beskyttelse af personoplysninger. Den omstændighed, at der ville blive foretaget søgninger i den nævnte rets informationssystemer, ville også udgøre en behandling af personoplysninger, hvorfor de anmodede oplysninger heller ikke ville kunne videregives mundtligt.
21 Sagsøgeren i hovedsagen har iværksat appel til prøvelse af denne dom ved Itä-Suomen hovioikeus (appeldomstolen for Østfinland, Finland), som er den forelæggende ret, idet sagsøgeren har gjort gældende, at den mundtlige meddelelse af de oplysninger, som denne har anmodet om, ikke udgør behandling af personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2).
22 Den forelæggende ret stiller spørgsmålstegn ved, om databeskyttelsesforordningens artikel 2, stk. 1, og artikel 4, nr. 2), skal fortolkes således, at en mundtlig meddelelse af oplysninger om eventuelle verserende eller allerede afsluttede straffesager vedrørende en fysisk person udgør en behandling af personoplysninger i forordningens forstand. I denne henseende har den forelæggende ret anført, at den behandling af personoplysninger, der foretages af de finske offentlige myndigheder, er reguleret af lov om beskyttelse af personoplysninger. De begrænsninger, der normalt er knyttet til behandlingen af sådanne oplysninger, finder imidlertid ikke anvendelse på grund af den offentlige karakter af de oplysninger, som disse myndigheder er i besiddelse af, men ligeledes på grund af § 28 og § 2, stk. 2, i lov om behandling af personoplysninger i straffesager og i forbindelse med opretholdelsen af den nationale sikkerhed (1054/2018).
23 For at forene beskyttelsen af personoplysninger med offentlighedens ret til aktindsigt begrænser § 16 i lov om offentlighed i offentlige myndigheders virksomhed videregivelsen af personoplysninger (621/1999), der stammer fra et personregister, der føres af en offentlig myndighed i form af en kopi, udskrift eller i elektronisk form. Da denne bestemmelse imidlertid ikke finder anvendelse på mundtlig meddelelse af personoplysninger fra personregistre, som de offentlige myndigheder er i besiddelse af, bør det undersøges, på hvilken måde en sådan forening skal sikres, og der skal tages hensyn til vigtige betragtninger vedrørende beskyttelsen af personoplysninger, når sådanne oplysninger i offentlige myndigheders registre vedrørende personer videregives mundtligt.
24 Under disse omstændigheder har Itä-Suomen hovioikeus (appeldomstolen for Østfinland) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:
»1) Udgør en mundtlig overførsel af personoplysninger en behandling af personoplysninger som omhandlet i [databeskyttelsesforordningens] artikel 2, stk. 1, og artikel 4, nr. 2), […]?
2) Kan aktindsigt i offentlige dokumenter forenes med retten til beskyttelse af personoplysninger på den måde, der omhandles i [databeskyttelsesforordningens] artikel 86, ved at der fra en rets personregister gives ubegrænset adgang til oplysninger om en fysisk persons strafferetlige domfældelser eller strafbare handlinger, hvis der anmodes om, at oplysningerne overføres mundtligt til rekvirenten?
3) Har det betydning for besvarelsen af det andet spørgsmål, om rekvirenten er et selskab eller en privatperson?«
Om de præjudicielle spørgsmål
Det første spørgsmål
25 Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 2, stk. 1, og artikel 4, nr. 2), skal fortolkes således, at mundtlig videregivelse af oplysninger om eventuelle verserende eller allerede afsluttede straffesager vedrørende en fysisk person udgør behandling af personoplysninger som omhandlet i denne forordnings artikel 4, nr. 2), og, i bekræftende fald, om denne behandling er omfattet af nævnte forordnings materielle anvendelsesområde som defineret i forordningens artikel 2, stk. 1.
26 Indledningsvis bemærkes for det første, at der ved fortolkningen af disse EU-retlige bestemmelser ikke blot skal tages hensyn til deres ordlyd, men også til den sammenhæng, hvori de indgår, og til de mål, der forfølges med den lovgivning, som de udgør en del af (dom af 12.1.2023, Österreichische Post (Oplysninger om modtagere af personoplysninger), C-154/21, EU:C:2023:3, præmis 29).
27 For det andet skal det fremhæves, at det i tvisten i hovedsagen er ubestridt, at de oplysninger, som sagsøgeren i hovedsagen har anmodet om videregivelse af, udgør personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1).
28 Denne forordnings artikel 4, nr. 2), definerer begrebet »behandling« som »enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for«.
29 Det følger bl.a. af udtrykket »enhver aktivitet«, at EU-lovgiver havde tiltænkt begrebet »behandling« et bredt anvendelsesområde, hvilket bekræftes af den ikke-udtømmende karakter, som udtrykket »f.eks.« giver udtryk for, af de behandlinger, der er opregnet i denne bestemmelse (jf. i denne retning dom af 24.2.2022, Valsts ieņēmumu dienests (Behandling af personoplysninger til skatteformål), C-175/20, EU:C:2022:124, præmis 35, og af 22.6.2023, Pankki S, C-579/21, EU:C:2023:501, præmis 46).
30 Denne opregning omfatter bl.a. videregivelse ved transmission, formidling og »enhver anden form for overladelse«, som kan være automatisk eller ikkeautomatisk. I denne henseende opstiller databeskyttelsesforordningens artikel 4, nr. 2), ingen betingelser med hensyn til formen af den »ikkeautomatiske« behandling. Begrebet »behandling« omfatter derfor mundtlig kommunikation.
31 Denne fortolkning af begrebet »behandling« understøttes af formålet med databeskyttelsesforordningen, der, således som det fremgår af dens artikel 1 og første og tiende betragtning, bl.a. tilsigter at sikre et højt beskyttelsesniveau for fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til privatliv i forbindelse med behandlingen af personoplysninger, som er fastsat i artikel 8, stk. 1, i chartret og i artikel 16, stk. 1, TEUF (jf. i denne retning dom af 4.5.2023, Bundesrepublik Deutschland (Jernbaneservicefaciliteter), C-60/22, EU:C:2023:373, præmis 64). Muligheden for at omgå anvendelsen af denne forordning ved at videregive personoplysninger mundtligt i stedet for skriftligt er nemlig åbenbart uforenelig med dette formål.
32 Under disse omstændigheder omfatter begrebet »behandling« i databeskyttelsesforordningens artikel 4, nr. 2), nødvendigvis mundtlig videregivelse af personoplysninger.
33 Spørgsmålet er imidlertid, om en sådan behandling er omfattet af databeskyttelsesforordningens materielle anvendelsesområde. Forordningens artikel 2, som fastlægger dette anvendelsesområde, bestemmer i stk. 1, at nævnte forordning finder anvendelse på behandling, »der helt eller delvis foretages ved hjælp af automatisk databehandling«, og på »ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register«.
34 I denne henseende fremgår det af ordlyden af sidstnævnte bestemmelse og af 15. betragtning til databeskyttelsesforordningen, at denne forordning både finder anvendelse på automatisk behandling af personoplysninger og på den manuelle behandling af sådanne oplysninger med henblik på ikke at gøre den beskyttelse, som denne forordning giver de personer, hvis oplysninger behandles, afhængig af de anvendte teknikker og for at undgå alvorlige risici for omgåelse af denne beskyttelse. Det fremgår imidlertid ligeledes deraf, at denne forordning kun finder anvendelse på ikkeautomatisk behandling af personoplysninger, når de behandlede oplysninger »er eller vil blive indeholdt i et register« (jf. analogt dom af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 53).
35 Eftersom mundtlig kommunikation som sådan udgør en ikkeautomatisk behandling, skal de oplysninger, der er genstand for denne behandling, derfor være »indeholdt« eller »[ville] blive indeholdt« i et »register«, for at den nævnte behandling er omfattet af databeskyttelsesforordningens materielle anvendelsesområde.
36 Hvad angår begrebet »register« bestemmer databeskyttelsesforordningens artikel 4, nr. 6), at det omfatter »enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt eller decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag«.
37 I denne henseende har Domstolen allerede fastslået, at denne bestemmelse i overensstemmelse med det formål, der er nævnt i nærværende doms præmis 34, definerer begrebet »register« bredt, bl.a. ved at henvise til »enhver« struktureret samling af personoplysninger. Kravet om, at samlingen af personoplysninger skal være »struktureret efter bestemte kriterier«, har udelukkende til formål at gøre det muligt let at finde frem til oplysninger om en person. Bortset fra dette krav fastsætter databeskyttelsesforordningens artikel 4, nr. 6), hverken den måde, hvorpå et register skal være struktureret, eller den form, det skal fremtræde under. Det fremgår navnlig ikke af denne bestemmelse eller af nogen anden bestemmelse i denne forordning, at de omhandlede personoplysninger skal indgå i registre eller konkrete fortegnelser eller i et andet søgesystem, for at det kan konkluderes, at der foreligger et register som omhandlet i denne forordning (jf. analogt dom af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 56-58).
38 I det foreliggende tilfælde fremgår det af anmodningen om præjudiciel afgørelse, at de oplysninger, som sagsøgeren i hovedsagen har anmodet om, er indeholdt i »en rets personregister«. Disse oplysninger synes således at være indeholdt i et register som omhandlet i databeskyttelsesforordningens artikel 4, nr. 6), hvilket det imidlertid tilkommer den forelæggende ret at efterprøve, uden at det har nogen betydning, om de nævnte oplysninger er indeholdt i elektroniske databaser eller i fysiske sagsakter eller registre.
39 Under disse omstændigheder skal det første spørgsmål besvares med, at databeskyttelsesforordningens artikel 2, stk. 1, og artikel 4, nr. 2), skal fortolkes således, at mundtlig videregivelse af oplysninger om eventuelle verserende eller allerede afsluttede straffesager vedrørende en fysisk person udgør behandling af personoplysninger som omhandlet i denne forordnings artikel 4, nr. 2), og denne behandling er omfattet af nævnte forordnings materielle anvendelsesområde, når disse oplysninger er eller vil blive indeholdt i et register.
Det andet og det tredje spørgsmål
40 Med det andet og det tredje spørgsmål, som skal behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens bestemmelser, bl.a. dennes artikel 86, skal fortolkes således, at de er til hinder for, at oplysninger om straffedomme afsagt over en fysisk person i et register, der føres af en domstol, kan videregives mundtligt til enhver person med henblik på at sikre aktindsigt i officielle dokumenter, uden at den person, der anmoder om oplysningerne, skal godtgøre en særlig interesse i at få de nævnte oplysninger, og om svaret på dette spørgsmål er forskelligt, alt efter om denne person er et kommercielt selskab eller en privatperson.
41 Dette spørgsmål udspringer af den i hovedsagen omhandlede nationale lovgivning, for så vidt som den ikke kræver overholdelse af de nationale bestemmelser om beskyttelse af personoplysninger, når sådanne oplysninger videregives mundtligt.
42 Det skal for det første bemærkes, at i henhold til artikel 288, stk. 2, TEUF er en forordning bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat. Forordningers karakter og funktion i EU-rettens retskildesystem betyder således, at deres bestemmelser i almindelighed har umiddelbar virkning i de nationale retsordener, uden at det er nødvendigt for de nationale myndigheder at træffe gennemførelsesforanstaltninger (dom af 16.6.2022, Port de Bruxelles og Région de Bruxelles-Capitale, C-229/21, EU:C:2022:471, præmis 47, og af 30.3.2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C-34/21, EU:C:2023:270, præmis 77).
43 En national ret er således forpligtet til at anvende kravene i databeskyttelsesforordningen i sin helhed, selv om der ikke findes nogen specifik bestemmelse i den gældende nationale ret, der gør det muligt at tage hensyn til interesserne hos den person, hvis personoplysninger er omhandlet (jf. i denne retning dom af 2.3.2023, Norra Stockholm Bygg, C-268/21, EU:C:2023:145, præmis 44 og 59).
44 Det følger af ovenstående betragtninger, at mundtlig videregivelse af oplysninger vedrørende straffedomme afsagt over en fysisk person kun kan finde sted, hvis de betingelser, der er fastsat i databeskyttelsesforordningen, er opfyldt, når disse oplysninger er indeholdt eller vil blive indeholdt i et register.
45 Det skal i denne henseende bemærkes, at det følger af Domstolens faste praksis, at enhver behandling af personoplysninger dels skal foregå i overensstemmelse med de principper for behandling af oplysninger, der er fastsat i databeskyttelsesforordningens artikel 5, dels for så vidt angår særligt princippet om behandlingens lovlighed, som fremgår af stk. 1, litra a), i denne artikel, skal svare til en af betingelserne for lovlig behandling, som er opstillet i denne forordnings artikel 6 (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 96, og af 7.12.2023, SCHUFA Holding m.fl. (Scoring), C-634/21, EU:C:2023:957, præmis 67).
46 Navnlig kan den i hovedsagen omhandlede behandling af personoplysninger, dvs. mundtlig videregivelse til offentligheden af oplysninger vedrørende strafbare handlinger, henhøre under databeskyttelsesforordningens artikel 6, stk. 1, litra e), hvorefter behandlingen er lovlig, hvis og i det omfang den er »nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt« (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 99).
47 Hvad nærmere bestemt angår oplysninger om straffedomme og lovovertrædelser fastsætter databeskyttelsesforordningens artikel 10 desuden yderligere begrænsninger for behandlingen af disse oplysninger. I henhold til denne bestemmelse må behandling af disse oplysninger »kun foretages under kontrol af en offentlig myndighed«, medmindre behandlingen »har hjemmel i EU-retten eller medlemsstaternes nationale ret, som giver passende garantier for registreredes rettigheder og frihedsrettigheder« (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 100).
48 Domstolen har allerede fastslået, at hverken databeskyttelsesforordningens artikel 6, stk. 1, litra e), eller denne forordnings artikel 10 indeholder et generelt og absolut forbud mod, at en offentlig myndighed i henhold til national lovgivning bemyndiges, eller endda forpligtes, til at videregive personoplysninger til personer, som har fremsat anmodning herom (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 103).
49 Databeskyttelsesforordningen er således ikke til hinder for, at personoplysninger videregives til offentligheden, når denne videregivelse er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller henhører under offentlig myndighedsudøvelse som omhandlet i forordningens artikel 6, stk. 1, litra e). Det samme gælder, når de pågældende oplysninger henhører under databeskyttelsesforordningens artikel 10, forudsat at den lovgivning, som tillader denne videregivelse, fastsætter passende garantier for de berørte personers rettigheder og frihedsrettigheder (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 104).
50 I det foreliggende tilfælde fremgår det af forelæggelsesafgørelsen og af den finske regerings skriftlige indlæg, at den nationale lovgivning om offentlighed i offentlige myndigheders virksomhed og den om offentlighed i sager ved de almindelige domstole har til formål at udføre den opgave af almen interesse at sikre aktindsigt i officielle dokumenter.
51 Under disse omstændigheder ønsker den forelæggende ret nærmere bestemt oplyst, om den i hovedsagen omhandlede behandling af personoplysninger kan anses for lovlig, henset til proportionalitetsprincippet, bl.a. henset til den afvejning, der skal foretages mellem på den ene side offentlighedens ret til aktindsigt i officielle dokumenter som omhandlet i databeskyttelsesforordningens artikel 86, og på den anden side den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger, der er sikret ved chartrets artikel 7 og 8.
52 I sidstnævnte henseende skal det bemærkes, at de grundlæggende rettigheder til respekt for privatlivet og til beskyttelse af personoplysninger ikke er absolutte rettigheder som anført i fjerde betragtning til databeskyttelsesforordningen, men skal ses i sammenhæng med deres funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder. Der kan således indføres begrænsninger, forudsat at de i overensstemmelse med chartrets artikel 52, stk. 1, er fastlagt i lovgivningen og respekterer de grundlæggende rettigheders væsentligste indhold samt proportionalitetsprincippet. I medfør af sidstnævnte princip kan der kun indføres begrænsninger, såfremt disse er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder. De skal holdes inden for det strengt nødvendige, og den lovgivning, som indebærer indgrebet, skal fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af den pågældende foranstaltning (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 105).
53 For at afgøre, om en videregivelse til offentligheden af personoplysninger vedrørende straffedomme er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller henhører under offentlig myndighedsudøvelse som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, litra e), og om den lovgivning, der tillader en sådan videregivelse, fastsætter passende garantier for de berørte personers rettigheder og frihedsrettigheder som omhandlet i forordningens artikel 10, skal det dermed navnlig efterprøves, om videregivelsen, under hensyn til alvoren af det indgreb i retten til respekt for privatlivet og i retten til beskyttelse af personoplysninger, som denne videregivelse forårsager, er begrundet, og navnlig forholdsmæssig, med henblik på at nå de forfulgte mål (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 106).
54 Hvad angår alvoren af indgrebet i disse rettigheder har Domstolen allerede fastslået, at behandlingen af oplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger på grund af disse oplysningers særlige følsomhed kan udgøre et særligt alvorligt indgreb i de grundlæggende rettigheder til respekt for privatlivet og til beskyttelse af personoplysninger, som er sikret ved chartrets artikel 7 og 8. For så vidt som sådanne oplysninger vedrører adfærd, som medfører samfundets misbilligelse, kan indrømmelsen af indsigt i disse oplysninger nemlig stigmatisere den pågældende person og således udgøre et alvorligt indgreb i vedkommendes privat- eller arbejdsliv (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 74, 75 og 112).
55 Selv om aktindsigt i officielle dokumenter, som den forelæggende ret har henvist til, der følger af 154. betragtning til databeskyttelsesforordningen, udgør en offentlig interesse, som kan legitimere videregivelsen af personoplysninger, der er indeholdt i sådanne dokumenter, skal denne aktindsigt ikke desto mindre være forenelig med de grundlæggende rettigheder til respekt for privatlivet og til beskyttelse af personoplysninger, som det i øvrigt udtrykkeligt kræves i artikel 86 i databeskyttelsesforordningen. Henset bl.a. til følsomheden af oplysningerne om straffedomme og alvoren af indgrebet i de berørte personers grundlæggende rettigheder til respekt for privatlivet og til beskyttelse af personoplysninger, som videregivelsen af disse oplysninger indebærer, skal disse rettigheder anses for at gå forud for offentlighedens interesse i at få aktindsigt i officielle dokumenter (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 120).
56 Af samme grund kan den ret til informationsfrihed, som er omfattet af databeskyttelsesforordningens artikel 85, endvidere ikke fortolkes således, at den begrunder, at personoplysninger vedrørende straffedomme, kan videregives til enhver, der anmoder herom (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 121).
57 I denne henseende er det uden betydning, om den person, der anmoder om aktindsigt i oplysninger om straffedomme, er et kommercielt selskab eller en privatperson, eller om videregivelsen af sådanne oplysninger sker skriftligt eller mundtligt.
58 Henset til ovenstående betragtninger skal det andet og det tredje præjudicielle spørgsmål besvares med, at databeskyttelsesforordningens bestemmelser, bl.a. denne forordnings artikel 6, stk. 1, litra e), og artikel 10, skal fortolkes således, at de er til hinder for, at oplysninger om straffedomme afsagt over en fysisk person i et register, der føres af en domstol, kan videregives mundtligt til enhver person med henblik på at sikre aktindsigt i officielle dokumenter, uden at den person, der anmoder om oplysningerne, skal godtgøre en særlig interesse i at få de nævnte oplysninger, idet den omstændighed, at denne person er et kommercielt selskab eller en privatperson, er uden betydning i denne henseende.
Sagsomkostninger
59 Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.
På grundlag af disse præmisser kender Domstolen (Sjette Afdeling) for ret:
1) Artikel 2, stk. 1, og artikel 4, nr. 2), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
skal fortolkes således, at
mundtlig videregivelse af oplysninger om eventuelle verserende eller allerede afsluttede straffesager vedrørende en fysisk person udgør behandling af personoplysninger som omhandlet i denne forordnings artikel 4, nr. 2), og denne behandling er omfattet af nævnte forordnings materielle anvendelsesområde, når disse oplysninger er eller vil blive indeholdt i et register.
2) Bestemmelserne i forordning 2016/679, bl.a. artikel 6, stk. 1, litra e), og artikel 10,
skal fortolkes således, at
de er til hinder for, at oplysninger om straffedomme afsagt over en fysisk person i et register, der føres af en domstol, kan videregives mundtligt til enhver person med henblik på at sikre aktindsigt i officielle dokumenter, uden at den person, der anmoder om oplysningerne, skal godtgøre en særlig interesse i at få de nævnte oplysninger, idet den omstændighed, at denne person er et kommercielt selskab eller en privatperson, er uden betydning i denne henseende.
Underskrifter