FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
MELCHIOR WATHELET
föredraget den 10 december 2013(1)
Mål C‑288/12
Europeiska kommissionen
mot
Ungern
”Fördragsbrott – Direktiv 95/46/EG – Skydd för enskilda personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter – Artikel 28.1 – Nationella tillsynsmyndigheter – Nationell lagstiftning enligt vilken datatillsynsmannens mandattid om sex år kan bringas att upphöra innan den har löpt ut – Inrättande av en nationell tillsynsmyndighet för uppgiftsskydd och informationsfrihet samt utnämnande av en annan person än datatillsynsmannen till ordförande för nämnda myndighet för en mandattid om nio år”
I – Inledning
1. I en ansökan av den 24 maj 2012 har Europeiska kommissionen begärt att domstolen ska fastställa att Ungern har underlåtit att fullgöra sina skyldigheter enligt Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter,(2) genom att bringa datatillsynsmyndighetens mandattid att upphöra i förtid. Kommissionen har hävdat att Ungern härigenom har åsidosatt det oberoende som åvilar datatillsynsmyndigheten enligt artikel 28.1 andra stycket i direktivet.
2. I likhet med målet kommissionen mot Tyskland och målet kommissionen mot Österrike, i vilka domstolen meddelade dom den 9 mars 2010,(3) respektive den 16 oktober 2012,(4) rör förevarande mål räckvidden av den skyldighet som medlemsstaterna har att i enlighet med artikel 28.1 andra stycket i direktiv 95/46 tillse att det utses en eller flera myndigheter med uppgift att övervaka skyddet för personuppgifter, vilka ”fullständigt oberoende ska utöva de uppgifter som åläggs dem”.
II – Unionsrättsliga bestämmelser
3. Direktivet som antogs med stöd av artikel 100a i EG‑fördraget (artikel 95 EG i ändrad lydelse, sedermera artikel 114 FEUF) syftar till att harmonisera de nationella lagstiftningarna om behandling av personuppgifter.
4. I skäl 62 i direktivet anges följande:
”För skyddet av enskilda personer med avseende på behandlingen av personuppgifter är det av avgörande betydelse att medlemsstaterna inrättar oberoende tillsynsmyndigheter”.
5. I artikel 28.1 i direktivet, med rubriken ”Kontrollmyndighet”, föreskrivs följande:
”Varje medlemsstat skall tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av detta direktiv.
Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som åläggs dem.”
III – Ungerska bestämmelser och bakgrund
6. Fram till den 31 december 2011 och i överensstämmelse med lag nr LXIII av år 1992 om skydd för personuppgifter och tillgång till uppgifter av allmänt intresse (nedan kallad den gamla uppgiftsskyddslagen) var tillsynsmannen för uppgiftsskydd(5) (nedan kallad datatillsynsmannen) den i artikel 28 i direktivet föreskrivna datatillsynsmyndigheten i Ungern. I artikel 23 i den gamla uppgiftsskyddslagen föreskrevs att datatillsynsmannen skulle väljas av det ungerska parlamentet och i artiklarna 24 och 25 i den gamla uppgiftsskyddslagen angavs hans uppgifter. Uppdragets varaktighet och upphörande reglerades i lag nr LIX av år 1993 angående den av parlamentet utsedde tillsynsmannen för medborgerliga rättigheter (nedan kallad lag nr LIX av år 1993). I artikel 4.5 i denna lag föreskrevs, i dess senaste lydelse som var i kraft till och med den 31 december 2011, att datatillsynsmannen skulle väljas på sex år och att han kunde väljas om en gång. I artikel 15 i lagen reglerades uppdragets upphörande.
7. Med stöd av den gamla uppgiftsskyddslagen, utsågs András Jóri till datatillsynsman och trädde i tjänst den 29 september 2008. Hans mandattid var sex år och borde således ha varat till och med september 2014.
8. Enligt artikel VI.3 i Ungerns grundlag, vilken trädde i kraft den 1 januari 2012 (nedan kallad grundlagen) ska ”en oberoende myndighet som inrättats genom en lag av högre dignitet övervaka iakttagandet av de rättigheter som rör skyddet för personuppgifter och tillgången till uppgifter av allmänt intresse”.
9. Den 1 januari 2012 trädde lag nr CXII av år 2011 om självbestämmande på informationsområdet och om informationsfrihet (nedan kallad den nya om uppgiftsskydd) i kraft. Genom denna lag upphävs den gamla lagen om uppgiftsskydd och inrättas samtidigt den nationella myndigheten med ansvar för uppgiftsskydd och informationsfrihet (nedan kallad myndigheten). Genom den nya lagen om uppgiftsskydd överförs datatillsynsmannens uppgifter till myndigheten. Enligt artikel 40.1 och 40.3 i den nya lagen om uppgiftsskydd utses myndighetens ordförande av republikens president på uppdrag av premiärministern för en mandattid om nio år.
10. Myndigheten inledde sin verksamhet den 1 januari 2012.
11. András Jóris uppdrag, som ursprungligen skulle löpa ut i september 2014, upphörde den 31 december 2011 med tillämpning av artikel 16 i grundlagens övergångsbestämmelser där det anges att ”[i] och med denna lags ikraftträdande upphör [datatillsynsmannens] uppdrag …”.
12. András Jóri blev inte vald till ordförande för myndigheten. På förslag av premiärministern utnämndes Attila Péterfalvi av republikens president till myndighetens ordförande på nio år.
IV – Det administrativa förfarandet och förfarandet vid domstolen
13. Den 17 januari 2012 översände kommissionen en formell underrättelse till Ungern. Enligt denna skrivelse anser kommissionen att Ungern har överträtt artikel 28.1 och 28.2 i direktivet på tre punkter. För det första har Ungern bringat datatillsynsmannens mandattid att upphöra i förtid. För det andra har Ungern inte rådfrågat datatillsynsmannen angående det nya lagförslag om uppgiftsskydd som denna medlemsstat var skyldig att göra. För det tredje erbjuder den nya lagen om uppgiftsskydd alltför stora möjligheter att bringa mandattiden för myndighetens ordförande att upphöra och den roll som republikens president och premiärministern har i samband med uppdragets upphörande gör det dessutom möjligt för den verkställande makten i landet att utöva inflytande över myndighetens ordförande.
14. Kommissionen anmodade Ungern att lämna sitt svar inom en månad.
15. Ungern bestred i sitt svar av den 17 februari 2012 den påstådda överträdelse som bestod i att datatillsynsmannens mandattid hade bringats att upphöra i förtid och framhöll särskilt att detta var en följd av det ändrade ungerska systemet. Ungern uppgav att datatillsynsmannen, enligt hans uttalanden som hade publicerats i pressen, inte hade någon önskan att bli myndighetens ordförande. Vidare preciserade medlemsstaten att eftersom myndighetens ordförande redan hade utsetts var det inte längre möjligt för datatillsynsmannen att inneha samma ämbete innan den förstnämndes mandattid hade löpt ut den 31 december 2020. Det skulle nämligen strida mot de rättsregler som garanterar den nuvarande ordförandens oberoende om hans mandattid bringades att upphöra i förtid.
16. Ungern hävdade att samråd faktiskt hade skett med datatillsynsmannen och översände handlingar i detta ämne till kommissionen.
17. Vad angår de möjliga skälen till att mandattiden för myndighetens ordförande bringades att upphöra, bestred Ungern den påstådda överträdelsen men föreslog att den nya uppgiftsskyddslagen skulle ändras i syfte att beakta den oro som kommissionen hade gett uttryck för härvidlag. Närmare bestämt erbjöd sig Ungern att upphäva bestämmelserna om att myndighetens ordförande kunde tvingas att gå i pension och avsättas ex officio samt att föreskriva en möjlighet till rättsmedel i alla de fall där myndighetens ordförande bestrider ett beslut av republikens president på förslag av premiärministern att bringa hans mandattid att upphöra.
18. Den 7 mars 2012 översände kommissionen ett motiverat yttrande till Ungern i vilket den upprepade att den var bekymrad över att datatillsynsmannens mandattid hade bringats att upphöra i förtid och den uppmanade Ungern att efterkomma detta yttrande inom två månader efter delgivningen av detsamma. Kommissionen drog däremot tillbaka sina reservationer vad gällde samrådet med datatillsynsmannen, vilket ägde rum innan förslaget till ny lag lades fram. Vad slutligen beträffar de möjliga skälen till att mandattiden för myndighetens ordförande hade bringats att upphöra, uppgav kommissionen att om Ungern inom den i det motiverade yttrandet fastställda fristen antog de lagändringar som föreslagits i dess svar på den formella underrättelsen, skulle kommissionen anse att överträdelsen i det avseendet hade upphört.
19. Den 30 mars 2012 besvarade Ungern kommissionens motiverade yttrande och vidhöll sin ståndpunkt angående upphörandet av datatillsynsmannens mandattid, vilket föranledde kommissionen att väcka förevarande talan.
20. Domstolens ordförande beslutade den 8 januari 2013 att tillåta Europeiska datatillsynsmannen att intervenera till stöd för kommissionens yrkanden.
21. Kommissionen, Ungern och Europeiska datatillsynsmannen yttrade sig muntligen vid förhandlingen den 15 oktober 2013.
V – Talan
A – Upptagande till sakprövning
1. Parternas argument
22. Ungern har gjort gällande att förevarande talan ska avvisas.
23. Det enda möjliga sättet att råda bot på den påstådda rättsstridigheten skulle enligt Ungern vara att bringa mandattiden för myndighetens ordförande att upphöra i förtid och ersätta honom på detta ämbete med datatillsynsmannen, vilket väsentligen skulle utgöra ett upprepat fördragsbrott. Ungern har gjort gällande att kommissionen inte kan begära att domstolen meddelar en fastställelsedom avseende ett fördragsbrott som den berörda medlemsstaten endast kan följa genom att åsidosätta unionsrätten. Ungern har tillagt att vidtagandet av en sådan åtgärd även skulle leda till en grundlagsstridig situation till följd av åsidosättandet av den princip om myndighetens oberoende som slås fast i grundlagen.
24. Ungern har för övrigt anfört att förändringen av institutionerna med ansvar för skyddet av personuppgifter med nödvändighet innebar att så snart datatillsynsmannens tjänst hade avskaffats skulle även det uppdrag upphöra som innehavaren av denna tjänst hade utövat. Enligt Ungern kan emellertid inte den omständigheten att mandattiden för den nuvarande ordföranden för myndigheten bringas att upphöra utan att det sker någon institutionell förändring inte berättigas av liknande normativa skäl.
25. Ungern har även hävdat att den nya lagen om uppgiftsskydd fullt ut garanterar att myndighetens ordförande är oberoende och således uppfyller direktivets krav på området. Även om det antas att den omständigheten att datatillsynsmannens mandattid bringas att upphöra utgör ett underlåtet iakttagande av kravet på oberoende, har denna underlåtenhet enligt Ungern inte någon inverkan på datatillsynsmannens verksamhet, lika litet som den hindrar myndighetens ordförande från att bedriva sin verksamhet i skydd av varje inverkan utifrån. Rätten till skydd av personuppgifter har i överensstämmelse med direktivets syften kontinuerligt och i varje ögonblick garanterats i Ungern såväl före, som efter den 1 januari 2012. Ungern har med tillfredsställelse noterat att även kommissionen erkänner detta, eftersom den har nämnt att den ungerska lagstiftningen har säkerställt den rättsliga kontinuiteten genom att anförtro myndigheten de ärenden som var anhängiga hos datatillsynsmannen. Följaktligen anser Ungern att om någon underlåtenhet har förekommit, så har den i vart fall inte haft några rättsverkningar som kräver åtgärder.
26. Ungern har vidare gjort gällande att det påstådda fördragsbrottet redan hade haft alla sina verkningar den dag då fristen i det motiverade yttrandet löpte ut och att det inte haft någon inverkan efter den 1 januari 2012 på myndighetens sätt att fungera, i synnerhet inte på dess oberoende. Kommissionen talan saknar således föremål och kan inte tas upp till sakprövning.
27. Ungern anser att ett godtagande av kommissionens argument skulle innebära att alla beslut som den nuvarande ordföranden för myndigheten har fattat sedan den 1 januari 2012 är oförenliga med unionsrätten och skulle leda till att rättssäkerhetsprincipen åsidosätts.
28. Ungern har tillagt, tvärtemot kommissionens argument som redogörs för ovan i punkt 33, att denna medlemsstat under förevarande förfarande vid domstolen klart uttryckte att den önskade att ett eventuellt fastställande av att det begåtts ett fördragsbrott inte skulle påverka uppdraget för den ordförande för myndigheten som för närvarande är i tjänst, även om uttrycket ”begränsning av verkningarna i tiden” inte förekommer i svarsinlagan.
29. Kommissionen har gjort gällande att förevarande talan ska tas upp till sakprövning.
30. Kommissionen bedömer att det inte alls är omöjligt att råda bot på fördragsbrottet och den anser att Ungern ska vidta nödvändiga åtgärder för att András Jóri på nytt ska kunna inneha det ämbete som avses artikel 28 i direktivet fram till dess att den normala mandattiden går ut, det vill säga till september 2014. Det sätt på vilket Ungern lät fördragsbrottet bestå i sin lagstiftning omfattas enligt kommissionen av denna medlemsstats behörighet och saknar relevans för förevarande talan. Dessutom har kommissionen gjort gällande att Ungern inte kan åberopa det oberoende som åvilar myndighetens ordförande för att motsätta sig att András Jóri ånyo installeras i sitt ämbete. Härigenom skulle medlemsstaten åberopa det egna fördragsbrottet till sitt försvar.
31. Huruvida fördragsbrott föreligger ska enligt kommissionen bedömas mot bakgrund av den situation som rådde i medlemsstaten vid utgången av den frist som angavs i det motiverade yttrandet. Enligt domstolens praxis pågår fördragsbrottet fortfarande i den mån verkningarna av de åtgärder som vidtagits i strid med unionsrätten kvarstår vid utgången av denna frist. I förevarande fall består fördragsbrottet av att datatillsynsmannens mandattid bringades att upphöra i förtid och fördragsbrottet kvarstår genom att András Jóri inte har återinsatts i tjänst efter det att fristen löpt ut.
32. Ungern har genom det argument som det redogjorts för ovan i punkt 23 anfört att om kommissionens talan ansågs kunna tas upp till sakprövning, detta skulle innebära att mandattiden för myndighetens ordförande bringades att upphöra i förtid, vilket även skulle kunna leda till en grundlagsstridig situation. Kommissionen har härvidlag erinrat om att enligt principen om unionsrättens företräde är det unionsrätten som har högre dignitet än bestämmelserna i medlemsstaternas grundlagar. Vidare anser inte kommissionen att reformen av datatillsynsmyndigheten på något sätt rättfärdigar att datatillsynsmannens mandattid bringas att upphöra i förtid. Kommissionen har tillagt att Ungern inte bestred i sin svarsinlaga att det hade varit fullt möjligt att föreskriva i ett internrättsligt instrument, antingen att det nya systemet inte skulle tillämpas förrän mandattiden för den datatillsynsman som då var i tjänst hade löpt ut, eller att datatillsynsmannen skulle vara myndighetens första ordförande under resten av sin mandattid.
33. Kommissionen har hävdat att det argument från Ungerns sida som det redogörs för ovan i punkt 27, enligt vilket fastställandet av ett fördragsbrott i förevarande fall likaledes skulle få den verkan att de åtgärder som myndigheten vidtagit sedan den 1 januari 2012 blev oförenliga med unionsrätten, inte borde studeras av domstolen i samband med frågan om talans upptagande till sakprövning. Här ställs i realiteten frågan huruvida tillämpningen i tiden av en dom varigenom en överträdelse fastställs ska innefatta tiden innan domen meddelades eller ej. Enligt kommissionen är det endast om särskilda omständigheter föreligger som domstolen med tillämpning av rättssäkerhetsprincipen har begränsat möjligheten för de berörda att åberopa en bestämmelse som den tolkat för att ifrågasätta rättsförhållanden som har ingåtts i god tro. Kommissionen har hävdat att Ungern inte begärde i sin svarsinlaga att domstolen skulle begränsa verkningarna i tiden av sin dom i vilken det fastställs att ett fördragsbrott har begåtts i förevarande mål. Enligt kommissionen har Ungern dessutom inte visat att de villkor som rättpraxis uppställer i detta hänseende var uppfyllda.
34. Kommissionen anser att den omständigheten att datatillsynsmannen ånyo installerades i sitt ämbete eller utnämndes till myndighetens ordförande, inte skulle innebära att beslut som myndighetens ordförande fattat efter den 1 januari 2012 stred mot unionsrätten.
35. Europeiska datatillsynsmannen har inte uttalat sig i frågan huruvida talan kan tas upp till sakprövning.
2. Bedömning
36. Jag kan inte godta Ungerns argument att det skulle vara omöjligt att verkställa en dom i vilken det påstådda fördragsbrottet fastställs. Detta argument kan delas upp i två delar.
37. Ungern har för det första anfört att det påstådda fördragsbrottet redan hade haft sina verkningar den dag då den av kommissionen i det motiverade yttrandet fastställda fristen löpte ut. Det anser inte jag.
38. Av fast rättspraxis följer att förekomsten av ett fördragsbrott ska bedömas mot bakgrund av den situation som rådde i medlemsstaten vid utgången av denna frist.(6)
39. Eftersom datatillsynsmannens mandattid inte skulle löpa ut förrän i september 2014 i enlighet med lag nr LIX av år 1993,(7) anser jag att det påstådda fördragsbrottet inte hade uttömt sina verkningar den dag då den av kommissionen i det motiverade yttrandet fastställda fristen löpte ut(8) och att det än i dag ger upphov till rättsverkningar.
40. För det andra har Ungern pläderat för att kommissionens talan inte ska tas upp till sakprövning med motiveringen att det skulle bli omöjligt för medlemsstaten att verkställa en fastställeseldom avseende ett fördragsbrott utan att upprepa samma rättsstridiga handlande som konstaterats i domen. Jag delar inte heller denna uppfattning.
41. Om domstolens fastställer att en medlemsstat har begått ett fördragsbrott ska denna stat enligt själva ordalydelsen i artikel 260 FEUF vidta de åtgärder som krävs för att följa domstolens dom.
42. Även om domstolen inte genom en ren fastställelsedom kan förplikta en medlemsstat, vars fördragsbrott den har konstaterat, att vidta vissa bestämda åtgärder(9), är alla organ i den berörda medlemsstaten, däribland de lagstiftande och de rättsskipande organen samt förvaltningsorganen skyldiga att säkerställa att domstolens dom följs inom deras respektive kompetensområden,(10) vilket bland annat innebär en skyldighet att underlåta att tillämpa lagbestämmelser som strider mot unionsrätten och en skyldighet att vidta samtliga åtgärder som är nödvändiga för att underlätta att unionsrättens fulla verkan säkerställs.(11)
43. En förlängning av bestämmelsers giltighet vilka förklarats vara oförenliga med unionsrätten i en dom meddelad av domstolen utgör ett klart åsidosättande av den samarbetsskyldighet som åligger medlemsstaterna enligt artikel 4.3 FEU, vilket bland annat innebär att de ska avstå från varje åtgärd som kan äventyra fullgörandet av Europeiska unionens mål.(12)
44. Konstaterandet av ett fördragsbrott i förevarande mål skulle följaktligen, trots att det rör sig om en fastställelsedom, medföra betydande rättsverkningar som med nödvändighet skulle påverka den ställning som den nuvarande ordföranden för myndigheten har, vilket Ungern för övrigt har understrukit (även om syftet endast var att opponera sig mot det eventuella konstaterandet av en överträdelse).
45. Med hänsyn till det rättsliga och faktiska sammanhang som beskrivs ovan i punkterna 6–12 hade den omständigheten att datatillsynsmannens mandattid bringades att upphöra i förtid den 31 december 2011 i realiteten ett nära samband med utnämnandet av myndighetens ordförande den 1 januari 2012. Om domstolen skulle konstatera att Ungern genom att bringa datatillsynsmannens mandattid att upphöra i förtid gjorde sig skyldig till ett åsidosättande av artikel 28.1 andra stycket i direktivet, följer härav att utnämningen av myndighetens ordförande, i enlighet med vad kommissionen har hävdat också är rättsstridig. Det är nämligen i strid med unionsrätten som den nuvarande ordföranden sedan den 1 januari 2012 innehar sitt ämbete.
46. Under dessa förhållanden anser jag att påståendena om det omöjliga i att verkställa en dom i vilken ett eventuellt fördragsbrott fastställs är grundlösa eftersom, i likhet med vad kommissionen har anfört, verkställigheten av en sådan dom varigenom ett påstått fördragsbrott konstateras, i förevarande fall, skulle kunna ske antingen genom att András Jóri ånyo installeras i sitt ämbete som datatillsynsman för återstoden av den ursprungliga mandattiden eller genom att han utnämns till ordförande för myndigheten.
47. Frågan huruvida den nya lagen om uppgiftsskydd uppfyller direktivets kriterier eller om myndigheten agerar självständigt och om verkställigheten av den dom varigenom fördragsbrottet konstateras innebär att den således konstaterade överträdelsen upprepas,(13) påverkar på intet sätt frågan huruvida det var i strid med artikel 28.1 andra stycket i direktivet(14) som datatillsynsmannens mandattid bringades att upphöra.
48. Om inte den slutsatsen drogs skulle en medlemsstat kunna undvika varje konstaterande av att vissa av dess beslut var oförenliga med unionsrätten, under förevändning att andra senare beslut som inte hade möjliggjorts förrän efter överträdelsen skulle överensstämma med unionsrätten och endast skulle kunna ändras genom att samma överträdelse begicks på nytt.
49. Jag låter mig inte heller övertygas av Ungerns argument om att rättssäkerhetsprincipen utgör hinder mot att förevarande talan tas upp till sakprövning, då det i förevarande fall påstådda fördragsbrottet skulle göra alla beslut som myndighetens ordförande fattat sedan den 1 januari 2012 oförenliga med unionsrätten.
50. Rättssäkerhetsprincipen är en för alla medlemsstaters rättsordningar gemensam princip och den ska i vart fall iakttas av de organ i den berörda medlemsstaten som har till uppgift att säkerställa verkställigheten av en dom i vilken det konstateras att denna medlemsstat har åsidosätt unionsrätten genom att göra sig skyldig till ett fördragsbrott. Utan att emellertid ta ställning till huruvida den uppfattningen är välgrundad, enligt vilken konstaterandet av det påstådda fördragsbrottet skulle medföra att alla beslut som myndigheten fattat sedan den 1 januari 2012 förlorade sin giltighet, räcker det att framhålla att det inte ankommer på domstolen,(15) utan eventuellt på de nationella ungerska domstolarna att pröva huruvida denna princip har åsidosatts i konkreta fall och att vidta lämpliga åtgärder utan att hindra att domstolens dom verkställs på ett effektivt sätt.
51. I förbigående tillägger jag att domstolen konstaterade att Förbundsrepubliken Tyskland(16) och Republiken Österrike(17) hade åsidosatt sina skyldigheter enligt artikel 28.1 andra stycket i direktivet oaktat de rättsverkningar som detta eventuellt kunde medföra för de av ifrågavarande myndigheter vidtagna åtgärderna.
52. I den del av mitt förslag till avgörande som ägnas åt grunden för talan(18) kommer jag att pröva Ungerns begäran om att verkningarna av en dom varigenom det påstådda fördragsbrottet konstateras ska begränsas.
53. Enligt min uppfattning ska talan således tas upp till sakprövning.
B – Saken
1. Parternas argument
54. Kommissionen har inte ifrågasatt Ungerns rätt att ändra det sätt på vilket tillsynen över skyddet för personuppgifter bedrivs under förutsättning att det säkerställs att den myndighet som utövar tillsynen arbetar fullständigt oberoende, vilket såsom rättspraxis visar(19) går utöver ett enbart funktionellt oberoende och utesluter varje form av underordnande i såväl institutionellt, personligt som materiellt hänseende.
55. Kommissionen anser med stöd av Europeiska datatillsynsmannen att det är oundgängligt att en medlemsstat, när den väl har fastställt hur lång myndighetens mandattid ska vara, iakttar denna utan att kunna bringa den att upphöra i förtid utom av allvarliga och objektivt verifierbara skäl. Om mandattiden bringas att upphöra i förtid finns det risk för otillbörlig påverkan på myndighetens sätt att utföra sina uppgifter vilket skadar dess oberoende. Enligt kommissionen bekräftas den tolkningen av en jämförelse med de regler om Europeiska datatillsynsmannen som införts genom Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter.(20)
56. Kommissionen anser att reformen av den ungerska tillsynsmyndigheten inte gjorde det berättigat att bringa datatillsynsmannens mandattid att upphöra. Det skulle ha varit fullt möjligt för Ungern att i sin interna rätt föreskriva antingen att det nya systemet endast skulle tillämpas efter det att mandattiden löpt ut för den datatillsynsman som då innehade ämbetet, eller att den första ordföranden för myndigheten inte skulle vara någon annan än datatillsynsmannen under återstoden av hans mandattid vilket skulle ha bevarat det oberoende som datatillsynsmyndigheten ska ha. Ungern har i andra avseenden säkerställt kontinuiteten mellan den gamla och den nya tillsynsmyndigheten särskilt vad beträffar löpande ärenden och behandling av uppgifter.
57. Fortfarande enligt kommissionen, skulle ett medgivande av att det var nödvändigt att få datatillsynsmannens mandattid att upphöra därför att vederbörandes ämbete ”inte längre existerade” betyda att ett hot om att mandattiden när som helst kan bringas att upphöra skulle hänga över varje tillsynsmyndighet i unionen genom en lagstiftningsåtgärd som avskaffar den befintliga myndigheten och i dess ställe skapar en ny myndighet som anförtros samma uppgifter, såsom de definieras i artikel 28.1 i direktivet. Det kan inte uteslutas att politiska organ använder sig av sådana reformer för att kontrollera och bestraffa tillsynsmyndigheter som de inte kommer överens med. Kommissionen har anfört att enligt domstolens praxis är enbart risken för ett sådant inflytande oförenlig med tillsynsmyndigheters fullständiga oberoende.(21)
58. Kommissionen anser att Ungern inte har visat att datatillsynsmannen hade vägrat att leda myndigheten och den bedömer att datatillsynsmannens uttalanden härvidlag under samtal som publicerats i den ungerska pressen inte är relevanta. Kommissionen har erinrat om att datatillsynsmannens avgång skulle enligt artikel 15.3 i lag nr LIX av år 1993 ha delgetts det ungerska parlamentets ordförande skriftligen. Då så inte blev fallet, var det omöjligt för Ungern att med stöd av vaga uttalanden som förekommit i pressen utgå ifrån att datatillsynsmannen inte längre önskade utföra sitt uppdrag såsom föreskrivs i artikel 28 i direktivet. Kommissionen har tillagt att Ungern aldrig erbjöd András Jóri den nya tjänsten och aldrig försäkrade honom om att övergångsbestämmelser skulle antas så att han skulle kunna förlänga sin mandattid så att den varade den normala perioden ut.
59. Ungern anser att den omständigheten att datatillsynsmannens mandattid bringades att upphöra i förtid, eftersom det inte hade något samband med den förändrade institutionella strukturen, inte utgör inte ett åsidosättande av artikel 28.1 andra stycket i direktivet. Det framgår av rättspraxis på området att både artikel 28 i direktivet och artikel 44 i förordning nr 45/2001 kräver att de nationella och europeiska myndigheter som ansvarar för skyddet av personuppgifter ska vara fullständigt oberoende ”i sin tjänsteutövning”, det vill säga ur funktionell synvinkel. Enligt Ungern ingår alla faktorer i det ”funktionella oberoendet” som kan säkerställa att tillsynsmyndigheten utövar det uppdrag som den ålagts utan att utsättas för någon påverkan utifrån, vare sig direkt eller indirekt påverkan, vilket även inbegriper faktorer som säkerställer det organisatoriska, det budgetära och det personliga oberoende som denna myndighet ska åtnjuta i sin tjänsteutövning.
60. Ungern har understrukit att det i förevarande fall är ostridigt att myndigheten precis som sin föregångare åtnjuter en rättslig miljö som skyddar den från all yttre påverkan i dess tillsynsverksamhet över uppgiftsskyddet och att myndigheten i varje avseende uppfyller det i artikel 28 i direktivet föreskrivna kravet på oberoende. Ungern anser att det inte går att dra någon som helst parallell mellan den aktuella situationen i förevarande mål och de situationer som låg till grund för domarna i de ovannämnda målen kommissionen mot Tyskland och kommissionen mot Österrike, vilka meddelades den 9 mars 2010. Ungern har betonat att tvärtemot vad som är fallet i förevarande mål, hade det i den tyska och den österrikiska lagstiftningen inte uteslutits att risken för att deras nationella myndigheter med ansvar för tillsynen över uppgiftsskyddet påverkas när ”de ska utöva de uppgifter som åläggs dem”.
61. Enligt Ungern är oberoendets existensberättigande enligt artikel 28 i direktivet att det alltid i varje medlemsstat finns en datatillsynsmyndighet som inte utsätts för yttre påverkan i sin tjänsteutövning. Ungern anser att begreppet oberoende inte tillerkänner den person som leder myndigheten en subjektiv rätt att utöva detta uppdrag. Med hänsyn till den institutionella förändring som genomförts är det inte motiverat att förvänta sig av den nya lagstiftningen att den per automatik ska ge datatillsynsmannen uppdraget att vara myndighetens ordförande. Eftersom tillsynsmyndighetens funktionella oberoende inte påverkas, har det föga betydelse att den person som leder myndigheten byts ut, till och med innan hans ursprungliga mandattid löpt ut.
62. Ungern har gjort gällande att det ankommer på medlemsstaterna att fastställa den organisatoriska strukturen i de nationella tillsynsmyndigheterna för skydd av personuppgifter. Detta innebär att valet av enhet eller person med ansvar för att utöva myndighetens befogenheter inom den valda organisatoriska modellen, likaledes omfattas av medlemsstaternas behörighet. Ungern har påpekat att lagstiftningen angående datatillsynsmannen helt och hållet har ersatts – på grundval av nya bestämmelser i grundlagen – med ny lagstiftning som överfört de uppdrag som datatillsynsmannen tidigare utförde till en ny myndighet med ansvar för uppgiftsskyddet. Trots de likheter som finns mellan stadgan för datatillsynsmannen och stadgan för myndighetens ordförande, vilka förklaras av kravet på oberoende, rör det sig om två offentliga institutioner som är tydligt åtskilda från varandra.
63. Enligt Ungern skulle utnämningen av datatillsynsmannen till detta nya ämbete vara omotiverad och obegriplig, med tanke på flera offentliga uttalanden från honom som ger uttryck för ett principiellt motstånd mot den nya institutionella modellen och hans avsikt att inte godta en sådan utnämning.
2. Bedömning
a) Principerna
64. Det ska inledningsvis preciseras att kommissionen på intet sätt har ifrågasatt Ungerns rätt att ändra den institutionella strukturen på sin datatillsynsmyndighet för uppgiftsskydd genom att gå från en struktur som styrs av en enda person till en kollegial instans. Kommissionen anser emellertid att när Ungern gjorde dessa val underlät medlemsstaten att fullgöra sin skyldighet att respektera tillsynsmyndighetens oberoende ända till dess att mandattiden löpt ut.
65. Enligt fast rättspraxis framgår kravet att en oberoende myndighet ska övervaka efterlevnaden av de unionsrättsliga bestämmelserna om skydd för enskilda personer när det gäller behandling av personuppgifter(22) inte enbart av artikel 28.1 andra stycket i direktivet utan även av unionens primärrätt, bland annat artikel 8.3 i Europeiska unionens stadga om de grundläggande rättigheterna och artikel 16.2 FEUF.(23) De tillsynsmyndigheter som avses i artikel 28 i direktiv 95/46 är följaktligen dessa grundläggande fri- och rättigheters väktare och deras inrättande i medlemsstaterna anses således vara av avgörande betydelse för skyddet av enskilda personer med avseende på behandlingen av personuppgifter.(24)
66. I domen av den 9 mars 2010 i det ovannämnda målet kommissionen mot Tyskland och i det ovannämnda målet kommissionen mot Österrike gav domstolen formuleringen ”fullständigt oberoende” i artikel 28.1 andra stycket i direktivet en autonom(25) och vid tolkning(26) utifrån själva ordalydelsen i artikel 28.1 andra stycket i direktivet och noterade samtidigt att begreppet ”oberoende” förstärks av adjektivet ”fullständigt”. I sin tolkning tog domstolen även fasta på syftet att garantin för de nationella tillsynsmyndigheternas oberoende är avsedd att säkerställa en effektiv och tillförlitlig övervakning av att bestämmelserna om skydd för enskilda personer med avseende på behandling av personuppgifter följs.(27)
67. Domstolen har tydliggjort att garantin inte har införts för att dessa myndigheter själva och deras ombud ska ges en särskild ställning, utan för att förstärka skyddet av de personer och organ som berörs av deras beslut.(28) Härav följer att de tillsynsmyndigheter som är behöriga i fråga om övervakning av behandling av personuppgifter ska åtnjuta ett sådant oberoende att de kan utöva sina uppgifter utan påverkan utifrån. Domstolen preciserade i samma dom att tillsynsmyndigheterna inte får utsättas för någon påverkan utifrån, vare sig direkt eller indirekt, som kan inverka på deras beslutsfattande.(29)
68. Enbart riskan för sådan påverkan är i sig tillräcklig för att artikel 28.1 andra stycket i direktivet ska anses åsidosatt.(30)
69. Det framgår härvidlag av domen i det ovannämnda målet kommissionen mot Österrike att en åtgärd som kan leda till en ”föregripande hörsamhet”(31) från datatillsynsmyndighetens sida, inte iakttar det krav på ”fullständigt oberoende” som medlemsstaterna ska garantera att deras tillsynsorgan uppfyller enligt artikel 28.1 andra stycket i direktivet och unionens primärrätt.
70. Jag anser såsom kommissionen att även om det är tillåtet för varje medlemsstat att anta den institutionella modell som den anser vara bäst lämpad för sitt land och följaktligen att senare ändra den, är det på villkor att detta antagande eller denna senare ändring inte utgör ett hot mot det tvingande kravet på ”fullständigt oberoende” i artikel 28.1 andra stycket i direktivet.
71. I likhet med kommissionen finner jag att datatillsynsmannens oberoende ”absolut förutsätter ett uppdrag med en i förväg fastställd mandattid”(32) och att datatillsynsmannen är oavsättlig ända till dess att mandattiden löpt ut, med förbehåll för allvarliga skäl förbundna med hans uppträdande eller förmåga att utöva sitt ämbete och som i förväg fastställts i lag samt är objektivt verifierbara.
72. Det inneboende sambandet mellan oavsättbarheten ända till dess att uppdragstiden löpt ut och kravet på ”fullständigt oberoende” är obestridligt.(33) Analogt kan det inte anses att en domares oberoende respekteras om hans förordnande upphör i förtid, under förvändning att den domstol som han tillhör ska läggas ned och ersättas av en annan domstol, hur oberoende den än är.
73. Det är till och med den enda risk som är förenad med att mandattiden för den myndighet som avses i artikel 28.1 andra stycket i direktivet bringas att upphöra, vilket kan leda till att den utsätts för ”otillbörlig inblandning och påtryckning”(34) och en form av ”föregripande hörsamhet”.
74. Härav följer att även om medlemsstaterna har ett utrymme för skönsmässig bedömning vad gäller den institutionella strukturen för den myndighet som föreskrivs i artikel 28.1 andra stycket i direktivet,(35) är det obestridligt att unionsrättens krav på ”fullständigt oberoende” förutsätter att det finns särskilda och detaljerade regler – och att dessa iakttas – vad gäller utnämningar, tjänsters varaktighet och de möjliga grunderna för att bringa tjänster vid myndigheten att upphöra eller för att avstänga dess innehavare, som utesluter allt rimligt tvivel beträffande myndighetens pålitlighet i förhållande till yttre påverkan, oavsett om den är direkt eller indirekt, som kan styra dess beslut.(36)
b) Tillämpning i förevarande mål
75. Det framgår av handlingarna i målet att villkoren för datatillsynsmannens mandat omfattades av särskilda och detaljerade bestämmelser i ungersk rätt. Enligt artikel 4.5 i lag nr LIX av år 1993 hade den berörde nämligen blivit vald år 2008 på sex år och kunde bli omvald en gång. Artikel 15 i den lagen reglerade således och begränsade mycket strikt möjligheterna för att bringa vederbörandes mandattid att upphöra i förtid.(37)
76. Jag är av den åsikten att kommissionen i tillräcklig mån har lyckats styrka att datatillsynsmannens mandattid hade bringats att upphöra den 31 december 2011 utan att artikel 15 i lag nr LIX av år 1993 iakttagits och att de processuella garantier som införts genom denna lag i syfte att skydda hans mandat inte heller hade iakttagits. I samband med de institutionella förändringar som trädde i kraft år 2012 antog Ungern inte någon övergångsbestämmelse i syfte att iaktta mandatets villkor och datatillsynsmannens oberoende.
77. Ungern har understrukit att det var den konstitutionella myndigheten som fattade beslutet om ”den ändrade modell” som infördes genom den nya lagstiftningen, vilken trädde ikraft den 1 januari 2012, och att myndighetens ordförande, å ena sidan, och datatillsynsmannen, å andra sidan, är två offentliga uppdrag som är tydligt åtskilda och som inte bör vara kopplade till varandra genom att samma person innehar båda.
78. Dessa argument är inte övertygande.
79. Jag anser att kommissionen i tillräcklig mån har visat att myndigheten, även om den har en annan rättslig ställning och agerar på andra sätt än datatillsynsmannen, har efterträtt honom i utövandet av de uppgifter som anförtrotts tillsynsmyndigheten i överensstämmelse med artikel 28 i direktivet. Såväl datatillsynsmannen som myndigheten har nämligen inrättats av Ungern för att fullgöra den skyldighet som denna bestämmelse föreskriver att utse en myndighet som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som denna medlemsstat antar till följd av detta direktiv. Med avseende på det uppdrag som ska utföras i enlighet med denna bestämmelse, föreligger det således identitet mellan de båda enheterna. Dessutom har kontinuiteten mellan de båda enheterna säkerställts i artikel 75.1 och 75.2 i den nya lagen om uppgiftsskydd som föreskriver att myndigheten ska handlägga de ärenden som datatillsynsmannen inlett före den 1 januari 2012 och behandla de uppgifter som han behandlat före denna dag.
80. Vad gäller det faktum att den institutionella förändringen beslutades av den konstitutionella myndigheten framgår det först och främst av handlingarna i målet vid domstolen att myndigheten inte inrättades genom grundlagen(38) utan genom en annan lag av högre dignitet, nämligen den nya lagen om uppgiftsskydd. Institutionella förändringar kan för övrigt, även om de sker genom lagar av högre dignitet, inte skada den ändamålsenliga verkan av den högre skyldighet som unionsrätten ålägger avseende säkerställandet av ”fullständigt oberoende”, då unionsrättens företräde gäller oberoende av den ifrågavarande nationella normens dignitet. Förändringarna kan således inte rättfärdiga att mandattiden för datatillsynsmyndigheten upphör i förtid. Såsom kommissionen och Europeiska datatillsynsmannen har hävdat skulle en myndighet, om så var fallet, på en högre nivå, oavsett om det handlade om befogenhet att stifta lagar eller grundlagar ha fullmakt att utöva en otillbörlig påverkan utifrån på datatillsynsmyndigheten, enbart genom att uttryckligen eller underförstått hota med sådana förändringar och med att mandattiden kan upphöra i förtid för den i artikel 28.1 i direktivet föreskrivna tillsynsmyndigheten och eventuellt kunna leda till en form av ”föregripande hörsamhet”.(39)
81. Jag anser slutligen inte att det är relevant att såsom Ungern hävda att datatillsynsmannen inte hade kunnat utnämnas till ordförande efter det att han gjort offentliga uttalanden för att tillkännage att han inte hade för avsikt att godta utnämningen. Trots att sådana offentliga uttalanden i pressen saknar varje juridisk innebörd med avseende på de stränga kraven i artikel 28 i direktivet och artikel 15 i lag nr LIX av år 1993,(40) har Ungern inte hävdat att datatillsynsmannen officiellt erbjudits detta ämbete. Jag noterar för övrigt vid läsningen av Ungerns svar av den 30 mars 2012 på det motiverade yttrandet att datatillsynsmannen András Jóri uttryckte sitt missnöje med den nya lagen och tillade att han inte skulle ha accepterat att bli utnämnd till ordförande för myndigheten om han hade fått ett erbjudande om detta eftersom han bland annat ansåg att myndighetens institution inte uppfyllde det krav på oberoende som direktivet ställer. Kommissionen tog själv upp denna kritik inom ramen för det administrativa förfarandet, och vissa delar av den, med undantag av det förtida upphörandet av datatillsynsmannens mandattid, beaktade Ungern slutligen i lagändringar.(41) Datatillsynsmannens officiella yttrande av den 10 och den 22 juni 2011(42) över det nya lagförslaget, i vilket han uppgav att avsaknaden av övergångsbestämmelser utgjorde ett åsidosättande av hans oberoende, och som således avgavs inom ramen för hans officiella tjänst som tillsynsmyndighet inrättad med tillämpning av artikel 28 i direktivet, ska han inte klandras för och det kan inte betraktas som ett ingivande av en avskedsansökan.
82. Jag anser följaktligen att Ungern har underlåtit att fullgöra sina skyldigheter enligt direktivet genom att bringa datatillsynsmyndighetens mandattid att upphöra i förtid.
83. Jag tillägger att en dom meddelad av domstolen varigenom ett fördragsbrott konstateras i förevarande mål skulle få en mycket stor betydelse, inte enbart för de myndigheter som inrättats med tillämpning av artikel 28.1 i direktivet utan för alla andra oberoende myndigheter som inrättats med tillämpning av unionsrätten. Genom att försäkra dessa oberoende myndigheter om att deras mandattid inte kan bringas att upphöra utom av allvarliga, i förväg lagstadgade och objektivt verifierbara skäl, får domen den verkan att den skadliga risken för ”föregripande hörsamhet” gentemot externa offentliga eller privata aktörer minskar avsevärt. En sådan dom skulle undanröja det ”Damoklessvärd” som den förlamande risken för att mandattiden bringas att upphöra i förtid innebär.
VI – Verkningar i tiden av ett konstaterat fördragsbrott
84. Ungern har begärt att domens verkningar i tiden ska begränsas för det fall domstolen bifaller kommissionens talan(43) så att inte mandattiden för den nuvarande ordföranden för myndigheten påverkas. Ungern har hävdat att de konsekvenser som kan härledas från rättssäkerhetsprincipen likaledes utesluter att ärenden som redan har avslutats kan ifrågasättas.
85. Det bör erinras om att domstolen endast i undantagsfall kan se sig föranlåten att med tillämpning av en allmän princip om rättssäkerhet som är förankrad i unionens rättsordning begränsa möjligheten för alla berörda att åberopa en av domstolen tolkad bestämmelse för att få en förnyad prövning av rättsförhållanden som ingåtts i god tro.(44) Enligt fast rättspraxis motiverar vidare de eventuella ekonomiska följderna för en medlemsstat av en dom i ett mål om förhandsavgörande inte i sig att domens rättsverkningar begränsas i tiden.(45)
86. Domstolen har i själva verket endast använt denna lösning om vissa särskilda omständigheter varit för handen, när det har förelegat 1) fara för allvarliga ekonomiska återverkningar, som i synnerhet har berott på det stora antal rättsförhållanden som i god tro har upprättats på grundval av de bestämmelser som har antagits vara gällande, och 2) när det har framgått att enskilda och nationella myndigheter har förmåtts att handla på ett sätt som strider mot unionslagstiftningen på grund av att det har förelegat en objektiv och betydande osäkerhet beträffande de unionsrättsliga bestämmelsernas räckvidd, till vilken osäkerhet andra medlemsstaters eller kommissionens beteenden kan ha bidragit.(46)
87. ”Även om det kan antas att domar som meddelats med stöd av artikel [258 FEUF] skulle kunna ha samma rättsverkningar som de som meddelats med stöd av artikel [267 FEUF] och överväganden om rättssäkerhet således skulle kunna göra det nödvändigt att begränsa domarnas rättsverkningar i tiden”,(47) anser jag att Ungerns begäran, under förutsättning att den formulerats på ett korrekt sätt, ska avslås.
88. Ungern har inte på något sätt visat vare sig att det förelåg en risk för allvarliga ekonomiska problem vid tiden för antagandet av lagen om att inrätta myndigheten eller att det förelåg en objektiv och betydande osäkerhet vad beträffar räckvidden av artikel 28.1 andra stycket i direktivet.
89. Domstolen hade nämligen redan vid denna tidpunkt tolkat uttrycket ”fullständigt oberoende” i artikel 28.1 andra stycket i direktivet.(48) Unionsrätten kunde således inte rimligen uppfattas så, att den tillät Ungern att bringa datatillsynsmannens mandattid att upphöra i förtid.(49)
VII – Rättegångskostnader
90. Enligt artikel 138.1 i domstolens rättegångsregler ska tappande part förpliktas att ersätta rättegångskostnaderna, om detta har yrkats. Kommissionen har yrkat att Ungern ska förpliktas att ersätta rättegångskostnaderna. Eftersom Ungern, enligt min mening, har tappat målet ska kommissionens yrkande bifallas. Med tillämpning av artikel 140 i rättegångsreglerna ska Europeiska datatillsynsmannen bära sina rättegångskostnader.
VIII – Förslag till avgörande
91. Mot bakgrund av det ovan anförda föreslår jag att domstolen
– fastställer att Ungern har underlåtit att uppfylla sina skyldigheter enligt artikel 28.1 andra stycket i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter genom att bringa datatillsynsmyndighetens mandattid att upphöra i förtid,
– förpliktar Ungern att bära sina rättegångskostnader och att ersätta Europeiska kommissionens rättegångskostnader, och
– förpliktar Europeiska datatillsynsmannen att bära sina rättegångskostnader.