FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

ANTONIO TIZZANO

föredraget den 19 september 2002(1)

Mål C-101/01

Bodil Lindqvist

mot

Åklagarkammaren i Jönköping

(begäran om förhandsavgörande från Göta hovrätt)

”Direktiv 95/46/EG - Tillämpningsområde”

1.
    Göta hovrätt (Sverige) har, genom beslut av den 23 februari 2001, ställt sju frågor om tolkningen av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan kallat direktiv 95/46 eller helt enkelt direktivet).(2) Frågorna avser särskilt direktivets tillämpningsområde, överföring av personuppgifter till tredje länder, direktivets förenlighet med de allmänna principerna om yttrandefrihet och möjligheten att på nationell nivå införa strängare bestämmelser än de gemenskapsrättsliga.

Tillämpliga bestämmelser

Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna

2.
    För att klargöra vilka de relevanta tillämpliga bestämmelserna i detta mål är skall jag först och främst erinra om artiklarna 8 och 10 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

3.
    I den förstnämnda artikeln stadgas närmare bestämt följande:

”1. Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.

2. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.”

4.
    I den sistnämnda artikeln stadgas däremot följande:

”1. Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser. Denna artikel hindrar inte en stat att kräva tillstånd för radio-, televisions- eller biografföretag.

2. Eftersom utövandet av de nämnda friheterna medför ansvar och skyldigheter, får det underkastas sådana formföreskrifter, villkor, inskränkningar eller straffpåföljder som är föreskrivna i lag och som i ett demokratiskt samhälle är nödvändiga med hänsyn till statens säkerhet, till den territoriella integriteten eller den allmänna säkerheten, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller för annans goda namn och rykte eller rättigheter, för att förhindra attförtroliga underrättelser sprids eller för att upprätthålla domstolars auktoritet och opartiskhet.”

Direktiv 95/46

5.
    På det gemenskapsrättsliga planet är direktiv 95/46 av betydelse. Detta direktiv antogs med stöd av artikel 100a i EG-fördraget (nu artikel 95 EG) för att främja det fria flödet av personuppgifter genom harmonisering av bestämmelser i medlemsstaternas lagar och andra författningar om skydd för enskilda personer med avseende på behandling av sådana uppgifter.

6.
    Till grund för direktivet ligger tanken att ”[s]killnaden i skyddsnivå mellan medlemsstater vad gäller enskilda personers fri- och rättigheter, särskilt rätten till privatliv med avseende på behandling av personuppgifter, kan hindra översändande av sådana uppgifter från en medlemsstats territorium till en annans. Denna skillnad kan därför utgöra ett hinder för att utöva en rad ekonomiska aktiviteter på gemenskapsnivå, snedvrida konkurrensen och hindra myndigheterna att fullgöra de skyldigheter som åligger dem enligt gemenskapsrätten” (sjunde skälet). Gemenskapslagstiftaren har därför funnit att ”[f]ör att hindren mot flöden av personuppgifter skall kunna avskaffas måste skyddsnivån när det gäller enskilda personers fri- och rättigheter med avseende på behandlingen av sådana uppgifter vara likvärdig i alla medlemsstater”. För att uppnå en sådan nivå var det enligt gemenskapslagstiftarens mening nödvändigt att vidta harmoniseringsåtgärder på gemenskapsnivå, eftersom målsättningen, fritt flöde för personuppgifter, är ”av grundläggande betydelse för den inre marknaden men ... inte [kan] uppnås genom åtgärder endast av medlemsstaterna, i synnerhet med tanke på omfattningen av de skillnader som för närvarande finns mellan nationell lagstiftning på området och med tanke på behovet av att samordna lagstiftningen i medlemsstaterna för att säkerställa en sådan enhetlig reglering av det gränsöverskridande flödet av personuppgifter som överensstämmer med målsättningen för den inre marknaden enligt artikel 7a i fördraget” (åttonde skälet). Efter att harmoniseringsåtgärder har vidtagits kommer däremot medlemsstaterna, ”[e]ftersom tillnärmningen av de nationella lagstiftningarna kommer att leda till ett likvärdigt skydd ... inte längre att kunna hindra det fria flödet av personuppgifter mellan dem under hänvisning till enskilda personers fri- och rättigheter, särskilt rätten till privatliv” (nionde skälet).

7.
    Sedan detta klargjorts har gemenskapslagstiftaren funnit att man när man fastställer en skyddsnivå som är ”likvärdig i alla medlemsstater” inte kan bortse från kravet att ”enskilda personers grundläggande rättigheter [skall] skyddas” (tredje skälet). Gemenskapslagstiftaren har härvid särskilt funnit att ”[ä]ndamålet med den nationella lagstiftningen om behandling av personuppgifter är att skydda grundläggande fri- och rättigheter, särskilt den rätt till privatlivet som erkänns både i artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och i gemenskapsrättens allmänna rättsprinciper”. Av denna anledning har lagstiftaren i fråga funnit att ”tillnärmningen av dennalagstiftning inte [får] medföra någon inskränkning i det skydd de ger, utan skall i stället syfta till att garantera en hög skyddsnivå inom gemenskapen” (tionde skälet).

8.
    Artikel 1 i direktivet skall således läsas mot bakgrund av ovanstående premisser och skäl. I den nämnda artikeln definieras direktivets syfte enligt följande:

”1. Medlemsstaterna skall i enlighet med detta direktiv skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.

2. Medlemsstaterna får varken begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med det under punkt 1 föreskrivna skyddet.”

9.
    Vad gäller de huvudsakliga definitioner som anges i artikel 2 i direktivet skall det här erinras om följande:

a)    Med personuppgifter avses ”varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.”

b)    Med behandling av personuppgifter avses ”varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring”.

c)     Med register med personuppgifter avses ”varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden”.

d)    Med registeransvarig avses ”den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter”.

10.
    I artikel 3 fastställs direktivets tillämpningsområde. I artikel 3.1 anges att bestämmelserna i direktivet ”gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register”. Enligt artikel 3.2 ingår dock inte i direktivets tillämpningsområde

-    sådan behandling av personuppgifter ”som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område”, och

-    sådan behandling av personuppgifter som görs ”av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans hushåll”.(3)

11.
    Härvid skall även erinras om vissa bestämmelser i kapitel II i direktivet (”Allmänna bestämmelser om när personuppgifter får behandlas”, artiklarna 5-21), till att börja med artikel 7, som avser de fall där ”personuppgifter får behandlas”. I detta hänseende bör det särskilt framhållas att det, vid sidan av andra situationer som inte är relevanta i förevarande fall, i artikel 7 a fastställs att sådan behandling får ske om ”den registrerade otvetydigt har lämnat sitt samtycke”.

12.
    I artikel 8 återfinns däremot specialbestämmelser avseende vissa kategorier känsliga uppgifter. I artikel 8.1 anges närmare bestämt att medlemsstaterna i princip ”skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv”. I artikel 8.2 anges emellertid, vid sidan av andra undantag som här saknar betydelse, att artikel 8.1 inte är tillämplig om ”den registrerade har lämnat sitt uttryckliga samtycke till en sådan behandling, utom när det enligt medlemsstatens lagstiftning anges att förbudet i punkt 1 inte kan upphävas genom den registrerades samtycke”.

13.
    I syfte att göra skyddet för behandling av personuppgifter förenligt med yttrandefriheten stadgas vidare i artikel 9 att ”[m]edlemsstaterna ... med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande [skall] besluta om undantag och avvikelser från bestämmelserna i detta kapitel, kapitel IV och kapitel VI endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten”.

14.
    Beträffande de ”[a]llmänna bestämmelser[na] om när personuppgifter får behandlas” vill jag dessutom erinra om att det i artikel 18 i direktivet stadgas att tillsynsmyndigheter som skall inrättas i medlemsstaterna skall underrättas i förväg om behandling av personuppgifter, om ingenting annat stadgas.

15.
    Jag skall slutligen erinra om artikel 25 i direktivet. Enligt denna artikel får ”överföringen av personuppgifter som är under behandling eller som är avsedda att behandlas efter överföring till tredje land endast ... ske om ifrågavarande tredje land ... säkerställer en adekvat skyddsnivå” (artikel 25.1). Bedömningen av huruvida skyddsnivån är adekvat ”skall ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land liksom de regler för yrkesverksamhet och säkerhet som gäller där” (artikel 25.2).

De svenska bestämmelserna

16.
    Sverige genomförde direktiv 95/46 genom att anta personuppgiftslagen(4). I detta mål bör det särskilt framhållas att följande är straffbart i Sverige enligt 49 § första stycket punkterna b-d i denna lag: underlåtenhet att anmäla automatiserad databehandling av personuppgifter till den behöriga tillsynsmyndigheten (Datainspektionen), behandling av känsliga uppgifter, bland annat uppgifter som rör hälsa, och överföring till tredje land av personuppgifter som är under behandling utan samtycke från den berörde. Det bör dessutom noteras att det av förarbetena till personuppgiftslagen framgår att lagen i fråga inte är avsedd att ha ett annat tillämpningsområde än direktivet.

De faktiska förhållandena i målet och förfarandet

17.
    Under hösten 1998 arbetade Bodil Lindqvist vid sidan av sin ordinarie anställning gratis som ledare för konfirmander inom Alseda pastorat i Sverige. Inom ramen för denna verksamhet lade hon upp en hemsida på Internet för att församlingsmedlemmarna lätt skulle kunna få den information de behövde. Hemsidan innehöll vissa uppgifter om henne själv, hennes make och sexton arbetskamrater inom församlingen, som i vissa fall nämndes vid förnamn och i andra fall även med efternamn. Därutöver beskrevs i lätt skämtsamma ordalag arbetskamraternas arbetsuppgifter och fritidsvanor på hemsidan. I vissa fall beskrevs även deras familjeförhållanden, telefonnummer angavs och andra personliga uppgifter lämnades. Bland de olika uppgifter som lämnades är det här särskilt av intresse att det angavs att en kvinnlig arbetskamrat hade skadat foten och var halvt sjukskriven. Man kunde även nå denna hemsida genom Svenska kyrkans webbplats. På denna hemsida hade det på Bodil Lindqvists begäran lagts in en särskild länk.

18.
    Bodil Lindqvist informerade inte sina arbetskamrater om att hemsidan fanns och inhämtade inte heller deras samtycke till behandlingen av uppgifterna om dem. Inte heller underrättade hon Datainspektionen om att hemsidan hade lagts ut elleranmälde någon behandling av personuppgifter till denna myndighet. Hemsidan blev emellertid kortlivad, eftersom den snabbt plockades bort så snart det kom till Bodil Lindqvists kännedom att några arbetskamrater inte uppskattade hennes tilltag.

19.
    Trots att hemsidan snabbt plockades bort väcktes åtal i enlighet med 49 § första stycket b-d i personuppgiftslagen i Sverige mot Bodil Lindqvist på grund av att hon skapat hemsidan i fråga. Ansvar yrkades härvid för att hon hade behandlat personuppgifter, vilken behandling varit automatiserad, utan att dessförinnan göra skriftlig anmälan till Datainspektionen, behandlat känsliga personuppgifter, såsom uppgifterna om arbetskamratens skada och den härav följande halva sjukskrivningen, och till tredje land fört över personuppgifter som varit under behandling utan samtycke från den berörde.

20.
    Bodil Lindqvist har vitsordat de faktiska förhållandena i åklagarens gärningsbeskrivning, men bestritt ansvar. Tingsrätten godtog emellertid inte hennes argument, utan dömde henne till böter genom en dom som Bodil Lindqvist därefter överklagade till hovrätten.

21.
    Med hänsyn till att det under förfarandet i målet hade anförts att de svenska bestämmelserna inte var förenliga med bestämmelserna i direktivet och komplicerade frågor om tolkningen av dessa bestämmelser hade uppkommit beslutade hovrätten att vilandeförklara målet och hemställde om att EG-domstolen skulle meddela förhandsavgörande beträffande följande frågor:

”1) Innebär omnämnandet av en person - med namn eller med namn och telefonnummer - på en så kallad hemsida på Internet ett förfarande som faller under tillämpningsområdet för direktivet? Utgör det en 'behandling av personuppgifter som helt eller delvis företas på automatisk väg', att på en egenhändigt konstruerad hemsida på Internet ange ett antal personer jämte utsagor och påståenden om dessa personers arbetsförhållanden och fritidsintressen med mera?

2) Om svaret på föregående fråga är nej; kan förfarandet att på en hemsida på Internet upprätta särskilda sidor för ett drygt femtontal personer, med länkar mellan sidorna som möjliggör sökning på förnamn, anses utgöra en sådan 'annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register' som avses i artikel 3 punkt 1?

Om svaret på någon av frågorna är ja, då har hovrätten även följande frågor.

3) Kan förfarandet att lägga ut uppgifter av nu berört slag om arbetskamrater på en privat hemsida, som dock är åtkomlig för alla med kännedom om hemsidans adress, anses falla utanför direktivets tillämpningsområde på grund av något av undantagen i artikel 3, punkten 2?

4) Är uppgift på en hemsida om att en namngiven arbetskamrat har skadat sin fot och är halvt sjukskriven en sådan personuppgift om hälsa som enligt artikel 8 punkt 1 inte får göras till föremål för behandling?

5) Överföring av personuppgifter till tredje land skall enligt direktivet vara förbjudet i vissa fall. Om en person i Sverige med hjälp av dator lägger ut personuppgifter på en hemsida som är lagrad på en server i Sverige - varvid personuppgifterna blir åtkomliga för medborgare i tredje land - innebär det en överföring av uppgifter till tredje land i den mening som avses i direktivet? Blir svaret detsamma även om, såvitt känt, inte någon från tredje land rent faktiskt har tagit del av uppgifterna eller om servern i fråga rent fysiskt befinner sig i ett tredje land?

6) Kan direktivets föreskrifter, i ett fall som det förevarande, anses medföra en begränsning som står i strid med de allmänna principer om yttrandefrihet, eller andra fri- och rättigheter, som gäller inom EU och som har en motsvarighet i bland annat artikel 10 i Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna?

Hovrätten har slutligen följande fråga.

7) Kan en medlemsstat, i de hänseenden som aktualiserats av de förutvarande frågorna, ha ett mera långtgående skydd för personuppgifter eller ett vidare tillämpningsområde än som följer av direktivet, även om inte något av de i artikel 13 angivna förhållandena föreligger?”

22.
    I förfarandet inför EG-domstolen har, förutom Bodil Lindqvist och Konungariket Sverige, även Konungariket Nederländerna, Förenade kungariket och kommissionen inkommit med yttranden.

Rättslig bedömning

Inledning

23.
    Såsom framgått har den nationella domstolen hänskjutit flera frågor till domstolen avseende direktivets tillämpningsområde, tolkningen av artiklarna 8 och 25 i direktivet, giltigheten av direktivets bestämmelser med hänsyn till allmänna gemenskapsrättsliga principer och möjligheterna för medlemsstaterna att ha en högre skyddsnivå än den som följer av direktivet.

24.
    Vad närmare bestämt gäller direktivets tillämpningsområde förefaller den nationella domstolen inte betvivla att det i förevarande fall är fråga om ”behandling av personuppgifter”. För övrigt har inte heller någon av dem som deltagit i förfarandet givit uttryck för någon tvekan i detta hänseende. Det är nämligen uppenbart

- dels att uppgifterna om Bodil Lindqvists arbetskamrater (namn, efternamn, telefonnummer, yrke, fritidsintressen etc.) utgör personuppgifter som ingår i kategorin ”varje upplysning som avser en identifierad eller identifierbar fysisk person” (artikel 2 a i direktivet),

- dels att det förhållandet att de nämnda uppgifterna läggs ut på en hemsida av den i målet aktuella typen innebär behandling av personuppgifter, med hänsyn till att även detta begrepp har givits en synnerligen vid definition i direktivet och således omfattar ”varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring” (artikel 2 b i direktivet).

25.
    All behandling av personuppgifter ingår dock inte i direktivets tillämpningsområde. I artikel 3.1 fastställs nämligen att bestämmelserna i direktivet endast gäller för sådan behandling av personuppgifter som ”helt eller delvis företas på automatisk väg” liksom för ”annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register”. I artikel 3.2 i direktivet anges därefter i mer allmänna ordalag att bestämmelserna i direktivet inte är tillämpliga på sådan behandling av personuppgifter ”som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten”(5) (första strecksatsen) och personuppgifter som behandlas ”av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans hushåll” (andra strecksatsen).

26.
    Med hänsyn till hur dessa bestämmelser begränsar direktivets tillämpningsområde har den nationella domstolen ställt de första tre frågorna för att få klarhet i

i) huruvida införandet av uppgifterna i fråga på hemsidan utgör behandling av personuppgifter ”som helt eller delvis företas på automatisk väg” (första frågan) eller en ”annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register” (andra frågan),

ii) huruvida en behandling av personuppgifter av förevarande typ i vart fall inte kan ingå i direktivets tillämpningsområde, eftersom den ”utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten” eller eftersom den görs ”av en fysisk personsom ett led i verksamhet av rent privat natur eller som har samband med hans hushåll” (tredje frågan).

27.
    Trots att den nationella domstolen har valt en annan ordningsföljd anser jag att den tredje frågan måste besvaras först av alla. Med hänsyn till att artikel 3.2 är av mer allmän karaktär är det enligt min mening uppenbart att inte heller behandling av personuppgifter som helt eller delvis företas på automatisk väg eller annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register ingår i direktivets tillämpningsområde om behandlingen i fråga utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten eller görs av en fysisk person som ett led i verksamhet av rent privat natur eller verksamhet som har samband med hans hushåll. Det skulle därför vara överflödigt att besvara de första två frågorna om den tredje frågan besvarades jakande. Jag kommer därför att börja med att behandla den sistnämnda frågan.

Den tredje frågan

Parternas argument

28.
    Alla de som har deltagit i förfarandet har yttrat sig angående denna fråga, förutom Förenade kungariket, som endast har behandlat den femte och den sjätte frågan.

29.
    Bodil Lindqvist anser att endast sådan behandling av personuppgifter som görs inom ramen för ekonomisk verksamhet ingår i direktivets tillämpningsområde, vilket således inte omfattar sådan behandling (som den i målet aktuella) som sker utan vederlag och helt utan samband med ekonomisk verksamhet. Enligt Bodil Lindqvists mening uppstår i motsatt fall frågan huruvida direktivet är giltigt, eftersom artikel 95 EG (med stöd av vilken direktivet antogs) inte gör det möjligt att på gemenskapsnivå reglera verksamhet som inte har något samband med målsättningen att upprätta den inre marknaden. Att reglera sådan verksamhet genom ett harmoniseringsdirektiv som antagits med stöd av denna artikel är nämligen oförenligt med den princip som stadfästs i artikel 5 EG enligt vilken ”[g]emenskapen skall handla inom ramen för de befogenheter som den har tilldelats och de mål som har ställts upp för den genom detta fördrag”.

30.
    Även den svenska regeringen synes, om än med viss tvekan, anse att den situationen att en privatperson lägger ut personuppgifter på sin hemsida inte omfattas av gemenskapsrätten när detta sker som ett led i en verksamhet som enbart är uttryck för yttrandefriheten och helt saknar anknytning till någon kommersiell eller yrkesmässig verksamhet. Vad däremot gäller räckvidden av artikel 3.2 andra strecksatsen anser regeringen i fråga att spridning av personuppgifter via Internet inte kan kvalificeras som ”verksamhet av rent privat natur eller som har samband med [uppgiftsbehandlarens] hushåll”, eftersom det innebär att uppgifterna förmedlas till ett obestämt antal personer.

31.
    Den nederländska regeringen för sin del anser inte att den ifrågavarande behandlingen faller utanför direktivets tillämpningsområde på grund av de begränsningar som görs i de båda bestämmelserna i artikel 3.2. Även den ovannämnda regeringen anser närmare bestämt att det är uteslutet att verksamheten i fråga skulle vara av rent privat natur eller ha samband med uppgiftsbehandlarens hushåll, eftersom den innefattar förmedling av personuppgifter till ett obestämbart och obegränsat antal personer.

32.
    Enligt kommissionens mening, slutligen, skall direktivets tillämpningsområde tolkas extensivt, varför en behandling av ifrågavarande typ ingår i detta. Kommissionen har hänvisat till artikel 3.2 första strecksatsen och särskilt understrukit att gemenskapsrätten inte enbart reglerar verksamhet av ekonomisk karaktär. Härvid har kommissionen bland annat påpekat att det i artikel 6 i EU-fördraget stadgas att de grundläggande rättigheterna skall respekteras såsom allmänna principer i gemenskapens rättsordning. Vidare har kommissionen noterat att direktivets syfte, såsom framgår av skälen till detta, även är att bidra till sociala framsteg och enskilda personers välfärd och att det för övrigt inte kan uteslutas att avsikten är att direktivet skall reglera det fria flödet av personuppgifter även vid utövning av en social verksamhet som bedrivs inom ramen för upprättandet av den inre marknaden och hur den fungerar. Enligt kommissionen är gemenskapsrätten vidare tillämplig på den ifrågavarande verksamheten även av den anledningen att Bodil Lindqvist, i den mening som avses i artikel 49 EG, är mottagare av tjänster(6) som har samband med Internetanvändning (särskilt telekommunikationstjänster). Kommissionen har slutligen angivit att det i det i målet aktuella fallet inte föreligger någon ”verksamhet av rent privat natur eller som har samband med [uppgiftsbehandlarens] hushåll”, för det första eftersom hemsidor är tillgängliga för alla som använder sig av en sökmotor och inte bara för den som redan känner till adressen till den och för det andra eftersom sådan verksamhet per definition endast är verksamhet som avser uppgiftsbehandlarens privatliv.

Bedömning

33.
    Såsom jag har understrukit ovan vid flera tillfällen skall det här bedömas huruvida sådan behandling av personuppgifter som den som är i fråga i detta mål enligt artikel 3.2 i direktivet är undantagen från tillämpningsområdet för detta, eftersom den ”utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten” eller eftersom den görs ”av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans hushåll”.

34.
    Jag börjar med den andra aspekten och vill härvid påpeka att jag gör samma bedömning som kommissionen och den svenska och den nederländska regeringen, det vill säga att en sådan behandling som den som är i fråga i målet inte kan anses göras ”som ett led i verksamhet av rent privat natur eller som har samband med [uppgiftsbehandlarens] hushåll”. Jag anser nämligen att endast verksamheter såsom ”korrespondens eller förande av adressregister” (vilka nämns såsom exempel i tolfte skälet i direktivet) ingår i denna kategori, det vill säga verksamheter som är uppenbart privata och av förtrolig karaktär och är avsedda att begränsas till de berördas personliga sfär eller den sfär som har samband med deras hushåll. Jag tror således inte att en verksamhet med starka sociala konnotationer, såsom den undervisning som Bodil Lindqvist gav konfirmander inom församlingen, kan anses vara sådan verksamhet, särskilt inte med tanke på att den behandling av uppgifter som hon har gjort klart går utöver hennes personliga sfär och den sfär som har samband med hennes hushåll och till och med innebär att personuppgifter har lagts ut på en hemsida som är tillgänglig för alla, i hela världen, även med hjälp av en länk som placerats på en webbplats som är välkänd för allmänheten (och som man under alla omständigheter lätt kan finna med hjälp av en sökmotor), såsom Svenska kyrkans hemsida.

35.
    Däremot håller jag med Bodil Lindqvist om att behandlingen i fråga ”utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten”.

36.
    I detta hänseende noterar jag nämligen att den ifrågavarande hemsidan skapades av Bodil Lindqvist utan ekonomiskt vinstsyfte och enbart såsom stöd för den undervisning hon gav konfirmander inom församlingen, gratis och helt utan samband med någon anställning. Den behandling av personuppgifter som är i fråga skedde därför i en verksamhet som inte var av ekonomisk natur, helt saknar samband (i alla fall direkt sådant) med utövandet av de grundläggande friheter som säkerställs genom fördraget och inte är föremål för några särskilda bestämmelser på gemenskapsnivå. Av ovanstående följer således enligt min mening att behandlingen i fråga utgjorde ett led i en verksamhet som inte omfattas av gemenskapsrätten, i den mening som avses i artikel 3.2 i direktivet.

37.
    För övrigt förefaller kommissionens argument krystat, det vill säga att gemenskapsrätten skulle anses vara tillämplig på den ifrågavarande verksamheten eftersom Bodil Lindqvist mottog ett flertal tjänster som har samband med Internetanvändning (särskilt telekommunikationstjänster) när hon bedrev verksamheten i fråga och därmed hade rättigheter enligt artikel 49 EG. Förutom att det varken ur beslutet om hänskjutande eller ur handlingarna i målet kan utläsas att det föreligger någon faktor som innebär att gränser överskrids och som kan motivera tillämpning av artikel 49 i förevarande fall(7) är det enligt min meningendast alltför uppenbart att artikel 3.2 i direktivet skulle bli fullständigt innehållslös om all verksamhet, även icke ekonomisk sådan, som det krävs telekommunikationstjänster eller tjänster av annat slag för att utföra skulle omfattas av gemenskapsrätten. Följden av detta resonemang skulle bli att även ”sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen”, som tvärtom uttryckligen nämns i artikel 3.2 såsom exempel på ”verksamhet som inte omfattas av gemenskapsrätten”, skulle komma att omfattas av direktivet varje gång någon använde sig av sådana tjänster för att bedriva sådan verksamhet.

38.
    Ett något ansträngt intryck ger även kommissionens försök att få Bodil Lindqvists verksamhet att omfattas av direktivet av den anledningen att direktivet inte bara har ekonomiska syften, utan även syften som har samband med krav av social art och med skyddet av de grundläggande rättigheterna.

39.
    Jag vill i detta hänseende erinra om att direktivet antogs med stöd av artikel 100a i fördraget för att främja det fria flödet av personuppgifter genom harmonisering av bestämmelser i medlemsstaternas lagar och andra författningar om skydd för enskilda personer med avseende på behandling av sådana uppgifter. Gemenskapslagstiftaren har särskilt velat fastställa en skyddsnivå som är ”likvärdig i alla medlemsstater” för att kunna avskaffa de hinder för det fria flödet av personuppgifter som följer av ”[s]killnaden i skyddsnivå mellan medlemsstater vad gäller enskilda personers fri- och rättigheter, särskilt rätten till privatliv” (sjunde och åttonde skälen)(8), detta ”[e]ftersom tillnärmningen av de nationella lagstiftningarna” när harmoniseringsdirektivet antagits ”kommer att leda till ett likvärdigt skydd” och medlemsstaterna då ”inte längre [kommer] att kunna hindra det fria flödet av personuppgifter mellan dem under hänvisning till enskilda personers fri- och rättigheter, särskilt rätten till privatliv” (nionde skälet).

40.
    Det är riktigt att lagstiftaren när han fastställde skyddsnivån, som skulle vara ”likvärdig i alla medlemsstater”, har beaktat kravet på att ”bidra till ekonomiska och sociala framsteg” och (framför allt) kravet att ”enskilda personers grundläggande rättigheter skyddas” (andra och tredje skälen), detta i syfte att garantera ”en hög ... nivå” på det nämnda skyddet (tionde skälet). Allt detta har dock skett inom ramen för och i syfte att uppnå det huvudsakliga målet med direktivet, det vill säga att främja det fria flödet av personuppgifter, eftersom detta har ansetts vara ”av grundläggande betydelse för den inre marknaden” (åttonde skälet).

41.
    Att bidra till ekonomiska och sociala framsteg och att skydda de grundläggande rättigheterna utgör således viktiga värden och krav somgemenskapslagstiftaren beaktade vid avfattandet av de harmoniserade bestämmelser som var nödvändiga för att den gemensamma marknaden skulle kunna inrättas och fungera, men det är inte någon självständig målsättning för direktivet. I annat fall skulle man vara tvungen att anse att syftet med direktivet är att skydda enskilda vad gäller behandling av personuppgifter, även när detta innebär att man bortser från syftet att främja det fria flödet av sådana uppgifter. Detta skulle få den olämpliga konsekvensen att direktivets tillämpningsområde även skulle komma att omfatta sådan behandling som har gjorts för att bedriva verksamhet som har viss social betydelse, men som helt saknar samband med inrättandet av den gemensamma marknaden och med hur denna fungerar.

42.
    Om man, förutom syftet att främja det fria flödet av personuppgifter på den inre marknaden, tillerkände direktivet ytterligare och självständiga målsättningar vilka har samband med hänsyn av social karaktär och med skyddet av grundläggande rättigheter (särskilt rätten till privatliv) skulle man, såsom Bodil Lindqvist har understrukit, å andra sidan riskera att äventyra direktivets giltighet, eftersom dess rättsliga grund i så fall skulle vara uppenbart inadekvat. Artikel 100a skulle nämligen inte kunna anges som grund för bestämmelser som går utöver de särskilda ändamål som nämns i denna bestämmelse, det vill säga bestämmelser som inte är motiverade av att de ”syftar till att upprätta den inre marknaden och få den att fungera”.

43.
    I detta hänseende erinrar jag om att domstolen nyligen, i den kända dom genom vilken den ogiltigförklarade direktiv 98/43/EG(9) på grund av brister i den rättsliga grunden för detta direktiv, klarlade just att ”de åtgärder som avses i artikel 100a.1 i fördraget syftar till att förbättra villkoren för upprättandet av den inre marknaden och dess funktion. Om denna artikel skulle tolkas så att gemenskapslagstiftaren ges en generell befogenhet att reglera den inre marknaden, skulle det inte bara strida mot själva lydelsen i ovannämnda bestämmelser, utan även vara oförenligt med principen i artikel 3b i EG-fördraget (nu artikel 5 EG), enligt vilken gemenskapen tilldelas sina befogenheter.”(10) Vad sedan särskilt gäller skyddet av de grundläggande rättigheterna erinrar jag om att domstolen i det kända yttrandet 2/94, som avgavs efter det att direktivet hade antagits, uttryckligen angav att ”det inte finns någon bestämmelse i fördraget genom vilken gemenskapens institutioner ges en allmän befogenhet att fastställa regler inom området för mänskliga rättigheter”(11).

44.
    Mot bakgrund av ovanstående föreslår jag att den aktuella frågan skall besvaras så, att en behandling av personuppgifter vilken består i att utan ekonomiskt vinstsyfte skapa en hemsida av i målet aktuell typ, som endast är avsedd att utgöra stöd för konfirmationsundervisning som ges i en församling, gratis och helt utan samband med någon anställning, enligt artikel 3.2 första strecksatsen i direktivet inte ingår i detta direktivs tillämpningsområde.

De övriga frågorna

45.
    Då jag anser att en sådan behandling av personuppgifter som den i målet aktuella inte ingår i direktivets tillämpningsområde saknas det skäl att behandla den nationella domstolens övriga frågor här.

Förslag till avgörande

46.
    Mot bakgrund av ovanstående föreslår jag att domstolen skall besvara Göta hovrätts frågor enligt följande:

En behandling av personuppgifter, vilken består i att utan ekonomiskt vinstsyfte skapa en hemsida av i målet aktuell typ, vilken endast är avsedd att utgöra stöd för konfirmationsundervisning som ges i en församling, gratis och helt utan samband med någon anställning, ingår enligt artikel 3.2 första strecksatsen i direktiv 95/46/EG inte i detta direktivs tillämpningsområde.


1: -     Originalspråk: italienska.


2: -    EGT L 281, s. 31.


3: -    I tolfte skälet nämns ”korrespondens eller förande av adressregister” som exempel på verksamhet ”av rent privat natur eller som har samband med [uppgiftsbehandlarens] hushåll”.


4: -    Personuppgiftslag, SFS 1998:204.


5: -    Såsom exempel nämns i den ifrågavarande bestämmelsen sådan verksamhet ”som avses i avdelningarna V och VI i Fördraget om Europeiska unionen”. Därefter tilläggs att direktivet dock inte under några omständigheter är tillämpligt på ”behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område”.


6: -    Kommissionen har i detta hänseende särskilt, analogt, hänvisat till de kända domarna av den 31 januari 1984 i de förenade målen 286/82 och 26/83, Luisi och Carbone (REG 1984, s. 377; svensk specialutgåva, volym 7, s. 473), och av den 2 februari 1989 i mål 186/87, Cowan (REG 1989, s. 195; svensk specialutgåva, volym 10, s. 1).


7: -    Se bland många andra senast dom av den 9 september 1999 i mål C-108/98, RI.SAN. (REG 1999, s. I-5219), punkt 23, av den 21 oktober 1999 i mål C-97/98, Jägerskiöld (REG 1999, s. I-7319), punkt 42, och av den 11 april 2000 i de förenade målen C-51/96 och C-191/97, Deliège (REG 2000, s. I-2549), punkt 58.


8: -    I sjunde skälet understryks särskilt att denna skillnad kan ”utgöra ett hinder för att utöva en rad ekonomiska aktiviteter på gemenskapsnivå, snedvrida konkurrensen och hindra myndigheterna att fullgöra de skyldigheter som åligger dem enligt gemenskapsrätten”.


9: -    Europaparlamentets och rådets direktiv 98/43/EG av den 6 juli 1998 om tillnärmning av medlemsstaternas lagar och andra författningar om reklam för och sponsring till förmån för tobaksvaror (EGT L 213, s. 9).


10: -    Dom av den 5 oktober 2000 i mål C-376/98, Tyskland mot parlamentet och rådet (REG 2000, s. I-8419), punkt 83.


11: -    Yttrande 2/94 av den 28 mars 1996 (REG 1996, s. I-1759), punkt 27.