EG-domstolen och dataskyddsdirektivet
Ur Lov&Data nr 77 mars 2004, s. 21-27.
Inledning
Genom Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) har personuppgiftslagstiftningen (”data protection legislation”), åtminstone delvis, förflyttats till en EG-rättslig kontext. Detta innebär bland annat att traditionella principer för uppgiftsbehandling formuleras om och blir föremål för tydligare harmonisering. Själva direktivet är emellertid på flera punkter vagt, varför behovet av en prövning i EG-domstolen har uppfattats som stort. Domstolen har nu genom två domar bidragit till förståelsen av personuppgiftsskyddet och dess nya omgivning.
Domarna berör för det första personuppgiftsskyddets EG-rättsliga dimension, t.ex. direktivets tillämpningsområde och förhållandet mellan direktivet och den nationella lagstiftningen. För det andra aktualiseras tolkningen av personuppgiftsregleringens grundläggande begrepp och behandlingsregler, t.ex. mot bakgrund av internets utveckling. Slutligen belyser domarna förhållandet mellan den hanteringsinriktade personuppgiftslagstiftningen och de grundläggande rättigheter som kommer till uttryck t.ex. i Europakonventionen. Det handlar dels om vilken betydelse som tolkningen av konventionens skydd för privatlivet (artikel 8) har för personuppgiftslagstiftningens tillämpning, dels om vilka begränsningar i personuppgiftslagstiftningens tillämpning som följer av skyddet för yttrandefriheten (artikel 10).
De förenade målen C-465/00, C-138/01 och C-139/01
De faktiska omständigheterna i dessa mål var följande. Enligt österrikisk lag skall vissa rättssubjekt (t.ex. myndigheter, offentliga stiftelser och fonder samt statliga bolag) informera Rechnungshof (revisionsrätten) om anställdas löner och pensioner som överstiger vissa belopp. Samma skyldighet gäller beträffande anställda som får lön eller pension från ett annat rättssubjekt som står under Rechnungshofs tillsyn. Med utgångspunkt i denna information utarbetas en årlig rapport som tillställs bl.a. parlamentet och som görs tillgänglig för allmänheten. Baserat på uttalanden i doktrinen och förarbetena har slutsatsen dragits att rapporten skall innehålla de anställdas namn i anslutning till löneuppgiften. Syftet med lagstiftningen är att hushålla med offentliga resurser genom att offentligt anställdas löner hålls tillbaka.
Det första målet (C-465/00) hade sitt ursprung i att Rechnungshof i enlighet med lagstiftningen om uppgiftslämnande väckt talan mot ett stort antal organ som stod under dess tillsyn. Bakgrunden var att dessa organ inte lämnat de aktuella uppgifterna om anställdas inkomster eller i olika omfattning lämnat dessa uppgifter i avidentifierad form. Organen har inte ansett att de är skyldiga att lämna ut personuppgifter avseende de nämnda inkomsterna, t.ex. namn eller tjänst med uppgift om deras respektive löner. Till stöd för sin inställning har de i huvudsak åberopat dataskyddsdirektivets bestämmelser och artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), vari skydd för privatlivet garanteras. Den nationella domstolen ställde mot denna bakgrund två tolkningsfrågor till EG-domstolen.
”1) Skall de gemensamhetsrättsliga bestämmelserna, särskilt bestämmelserna om personuppgiftsskyddet, tolkas på så sätt att de utgör hinder för nationell lagstiftning enligt vilken ett statligt organ är skyldigt att inhämta och vidarebefordra löneuppgifter i syfte att offentliggöra uppgifterna om namn och lön avseende anställda vid [vissa offentliga organ]?
2) Om svaret på fråga 1 helt eller delvis är jakande: Är de bestämmelser som utgör hinder för ovannämnda nationella lagstiftning direkt tillämpliga i den meningen att de kan åberopas av den som skyldig är att lämna ut nämnda uppgifter för att hindra att nationella bestämmelser som strider mot de förstnämnda bestämmelserna tillämpas?”
De två andra målen (C-138/01 och C-139/01) hade sin utgångspunkt i att två privatpersoner, anställda vid ett organ som stod under Rechningshofs kontroll, i en nationell domstol yrkat interimistiskt förbud med innebörden att deras arbetsgivare inte skulle få efterkomma Rechnungshofs begäran om att få del av uppgifterna. Deras begäran avslogs i underinstanserna. Oberster Gerichtshof begärde förhandsavgörande från EG-domstolen och ställde två frågor som i allt väsentligt var identiska med dem som ställts i det första målet. EG-domstolen beslutade därför att de tre målen skulle behandlas gemensamt.
Efter att ha redogjort för relevanta bestämmelser och de yttranden som inkommit konstaterade domstolen att det innan de konkreta frågorna besvarades var nödvändigt att pröva om dataskyddsdirektivet överhuvud taget var tillämpligt i målen. Dataskyddsdirektivet har antagits med stöd av artikel 100a i fördraget (nu artikel 95 EG i ändrad lydelse) och syftar till att genom tillnärmning av nationella bestämmelser om skyddet för fysiska personer i samband med behandlingen av personuppgifter säkerställa det fria flödet av dessa uppgifter mellan medlemsstaterna. Med hänvisning till befintlig rättspraxis påpekade domstolen ”att det inte utgör någon förutsättning för att använda artikel 100a i fördraget som rättslig grund att det föreligger något faktiskt samband med den fria rörligheten mellan staterna i varje situation som avses med den rättakt som har en sådan grund”. Det avgörande är att en rättsakt som antas med denna grund faktiskt syftar till att förbättra möjligheterna att upprätta den inre marknaden och få den att fungera. Domstolen noterade att denna grundläggande egenskap hos dataskyddsdirektivet aldrig bestritts inför domstolen i förevarande fall. Motsatt tolkning, dvs. att direktivet bara skulle vara tillämpligt när det föreligger ett konkret samband med den fria rörligheten, skulle enligt domstolen innebära att gränserna för direktivets tillämpningsområde skulle bli synnerligen osäkra och vaga, något som skulle motverka direktivets huvudsakliga syfte att undanröja hinder för en inre marknad. En tolkning av direktivets tillämpningsområde som utgår från dess faktiska syfte stöds enligt domstolen bl.a. av utformningen av undantagen från direktivet som finns i artikel 3.2 (behandling som sker för vissa särskilda ändamål t.ex. rent privat bruk). Dessa undantag skulle nämligen i vart fall inte ha denna ordalydelse om det nämnda direktivet endast var tillämpligt på situationer där det föreligger ett tillräckligt samband med utövandet av de fria rörligheterna. Domstolen konstaterade sålunda att dataskyddsdirektivet var tillämpligt på den behandling som var aktuell i målen.
Domstolen övergick därefter till att besvara den första frågan som de nationella domstolarna ställt. Den konstaterade inledningsvis att de i målen aktuella uppgifterna om vem som uppbär en viss lön eller pension utgör en personuppgift i direktivets mening (artikel 2a) och att det organ som registrerar, använder, lämnar ut eller publicerar sådana uppgifter enligt direktivet utför en behandling (artikel 2b). Beträffande direktivets materiella bestämmelser konstaterade domstolen att all behandling av personuppgifter, med de undantag som får göras enligt artikel 13, skall stå i överensstämmelse dels med de principer om uppgifternas kvalitet som anges i artikel 6, dels med någon av de principer i artikel 7 som gör behandlingen tillåten.
Vid bedömningen av om den i målen aktuella behandlingen var förenlig med artikel 6, 7 och 13 fastslog domstolen att det var nödvändigt att tolka bestämmelserna i fråga mot bakgrund av de grundläggande rättigheterna, särskilt rätten till privatliv enligt artikel 8 i Europakonventionen. En prövning enligt artikel 8 i konventionen sker i två steg. Först prövas om det överhuvud taget är fråga om ett intrång i privatlivet och sedan prövas huruvida ett eventuellt intrång är tillåtet enligt artikelns andra stycke.
Domstolen fann att ”det visserligen inte i sig kan utgöra ett intrång i privatlivet att en arbetsgivare lagrar uppgifter om de löner och pensioner som utbetalas till hans anställda samt uppgifter om dessa anställdas namn, men att det innebär ett åsidosättande av de berördas rätt till privatliv att lämna dessa uppgifter till en utomstående, i förevarande fall en offentlig myndighet, oavsett hur de uppgifter som sålunda har lämnats används därefter, och att detta har karaktären av intrång i den mening som avses i artikel 8 i Europakonventionen”. Enligt domstolen saknade det betydelse huruvida uppgifterna var av känslig art eller huruvida de berörda hade fått utstå eventuella olägenheter på grund av uppgiftslämnandet.
Ett intrång i privatlivet är enligt artikel 8.2 i Europakonventionen tillåtet om det sker med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
I de föreliggande fallen skedde intrånget med stöd av lag, men kravet på att personerna som uppgifterna avsåg skulle namnges hade som nämnts inledningsvis sitt ursprung i uttalanden i förarbeten och doktrin. EG-domstolen ansåg att det ankom på de nationella domstolarna att pröva om denna tolkning uppfyllde de krav på förutsebarhet som uppställts i Europadomstolens praxis och därmed i förlängningen om kravet på lagform var uppfyllt. När det gällde frågan om intrånget stod i proportion till sitt syfte konstaterade domstolen att de nationella bestämmelsernas syfte är att garantera att förvaltningen använder allmänna medel sparsamt och att ett sådant syfte utgör ett berättigat ändamål i den mening som avses i artikel 8.2 i Europakonventionen. Intrånget måste för att vara tillåtet även vara nödvändigt för att uppnå det berättigade ändamålet. EG-domstolen fann att det ankommer på de nationella domstolarna att kontrollera huruvida ett offentliggörande av aktuella personuppgifterna är nödvändigt och står i proportion till ändamålet att hålla lönerna inom rimliga gränser, och särskilt att pröva huruvida ett sådant ändamål inte hade kunnat uppnås lika effektivt genom att uppgifter med namn endast tillställdes kontrollinstanserna (men inte publicerades offentligt). Om de nationella domstolarna vid sin prövning skulle finna att intrånget som det innebar att publicera namnen både var nödvändigt och stod i proportion till ändamålet att hålla lönerna inom rimliga gränser så var det tillåtet enligt artikel 8.2.
Domstolen övergick därefter till att behandla vilken betydelse prövningen enligt artikel 8 i Europakonventionen hade för tillämpningen av dataskyddsdirektivet. Om de hänskjutande domstolarna skulle konstatera att den ifrågavarande nationella lagstiftningen var oförenlig med artikel 8 i Europakonventionen kunde den nationella lagstiftningen enligt EG-domstolen inte heller anses uppfylla det proportionalitetskrav som uppställs i artiklarna 6.1 c och 7 c och e i dataskyddsdirektivet. Den kunde inte heller omfattas av någon av de undantag som avses i artikel 13 i det nämnda direktivet, där det föreskrivs att intrånget skall stå i proportion till det eftersträvade ändamålet. Domstolen påpekade att de nationella domstolarna vid sin prövning så långt möjligt skall tolka alla bestämmelser i nationell rätt mot bakgrund av det tillämpliga direktivets ordalydelse och syfte så att det resultat som avses i direktivet uppnås.
Domstolen besvarade den första tolkningsfrågan så, att de nämnda artiklarna i dataskyddsdirektivet ”inte utgör något hinder för sådan nationell lagstiftning som den som är i fråga i målen vid de nationella domstolarna, såvida det är utrett att spridningen i stor omfattning är både nödvändig och lämplig för lagstiftningens syfte, nämligen att allmänna medel skall förvaltas väl, inte bara vad gäller det belopp till vilket årsinkomsten för anställda vid organ som står under tillsyn av Rechnungshof uppgår, såvida den ligger över viss gräns, utan även vad gäller namnen på dem som uppbär dessa inkomster. Det ankommer på de hänskjutande domstolarna att pröva huruvida så är fallet.”
Vid sin behandling av den andra tolkningsfrågan erinrade domstolen inledningsvis om att bestämmelserna i ett direktiv, i alla de fall då de med avseende på sitt innehåll framstår som ovillkorliga och tillräckligt precisa, kan åberopas gentemot alla nationella bestämmelser som inte överensstämmer med direktivet om genomförandeåtgärder inte har vidtagits i tid. Bestämmelserna kan också åberopas i den mån de är av sådan art att det i dem fastslås rättigheter som enskilda kan göra gällande gentemot staten. Beträffande artiklar 6.1 c och 7 c och e i dataskyddsdirektivet konstaterade domstolen att dessa bestämmelser är tillräckligt precisa för att kunna åberopas av en enskild och tillämpas av nationella domstolar. Visserligen finns det i direktivet obestridligen ett mer eller mindre stort utrymme för egen bedömning för medlemsstaterna vad det gäller genomförandet, men i nämnda artiklar föreskrivs ovillkorliga skyldigheter. Artiklarna 6.1 c och 7 c och e kunde sålunda av en enskild åberopas inför nationella domstolar för att dessa inte skall tillämpa nationella rättsregler som strider mot dessa bestämmelser.
Mål C-101/01
De faktiska omsändigheterna i målet var följande. En privatperson (Bodil L) arbetade vid sidan av sin anställning som lokalvårdare som konfirmandledare inom ett svenskt pastorat. Inom ramen för en datakurs som hon deltog i skapade hon en webbplats med ett antal webbsidor. Syftet med webbplatsen, som hon skapade hemma hos sig själv och på sin egen dator, var att göra det möjligt för församlingsmedlemmar som förberedde sig för konfirmationen att lätt få den information de behövde. På Bodil L:s begäran länkade den webbansvarige på Svenska kyrkans webbplats till hennes webbsidor. Dessa sidor innehöll vissa uppgifter om Bodil själv och om arton av hennes arbetskamrater inom pastoratet, inklusive deras fullständiga namn och i vissa fall bara förnamn. Därutöver beskrevs, i lätt skämtsamma ordalag, arbetskamraternas arbetsuppgifter och fritidsvanor. I flera fall nämndes även familjeförhållanden, telefonnummer och andra uppgifter. Därutöver angav hon att en kvinnlig arbetskamrat hade skadat foten och var sjukskriven på halvtid. Bodil L hade varken informerat sina arbetskamrater om att webbsidorna existerade eller inhämtat deras samtycke. Någon anmälan till Datainspektionen hade inte heller gjorts. Så fort hon fick veta att vissa av hennes kolloger inte uppskattade sidorna avlägsnade hon dem från internet.
Åklagaren yrkade enligt personuppgiftslagen ansvar mot Bodil L för att hon behandlat personuppgifter utan anmälan till Datainspektionen (36 § personuppgiftslagen), att hon behandlat känsliga personuppgifter, nämligen dem om en skadad fot och sjukskrivning på halvtid, utan rättsligt stöd (13 § personuppgiftslagen) och att hon till tredje land fört över personuppgifter utan rättsligt stöd (33 § personuppgiftslagen).
Eksjö tingsrätt dömde Bodil L för brott mot personuppgiftslagen till böter. Hon överklagade till Göta hovrätt. Hovrätten beslutade att inhämta ett förhandsavgörande från EG-domstolen och ställde sju frågor om tolkning av dataskyddsdirektivet.
En första fråga gällde tillämpningen av dataskyddsdirektivets grundläggande begrepp ”personuppgift” och ”behandling” i det aktuella fallet. Domstolen fann att omnämnandet av olika personer – med namn eller på annat sätt, till exempel med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen – på en webbsida på internet utgjorde en ”behandling av personuppgifter som helt eller delvis företas på automatisk väg”, i den mening som avses i artikel 3.1 i dataskyddsdirektivet.
En annan fråga rörde undantagen från direktivets tillämpningsområde för vissa typer av behandlingar som stadgas i artikel 3.2 i direktivet, dvs. sådana behandlingar som utgör ett led i sådan verksamhet som faller utanför gemenskapsrätten (jfr den exemplifierande uppräkningen av sådana behandlingar i artikeln) och sådana behandlingar som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans hushåll. Domstolen påpekade att verksamheten i det vid den nationella domstolen aktuella målet väsentligen var av icke-ekonomisk och ideell och religiös karaktär.
Med hänvisning till sin bedömning i de tidigare refererade målen konstaterade domstolen att det för antagande av ett direktiv med stöd av artikel 100 a i fördraget inte utgör någon förutsättning att det föreligger ett faktiskt samband med den fria rörligheten mellan medlemsstaterna i varje situation som avses med den rättsakt som har en sådan grund. Motsatt tolkning skulle som påpekats i de tidigare målen innebära en risk för att gränserna för det nämnda direktivets tillämpningsområde skulle bli synnerligen osäkra och vaga, vilket skulle motverka direktivets huvudsakliga syfte, vilket är tillnärmning av bestämmelser i medlemsstaternas lagar. Under dessa omständigheter, menade domstolen, var det inte lämpligt att tolka uttrycket ”verksamhet som inte omfattas av gemenskapsrätten” så, att det i varje fall måste kontrolleras huruvida den aktuella verksamheten påverkar den fria rörligheten mellan medlemsstaterna. Med hänvisning till den s.k. ejusdem generis-regeln fann domstolen att undantaget i artikel 3.2 första strecksatsen skall tolkas så att det endast är tillämpligt på sådana verksamheter som uttryckligen nämns där eller som kan placeras i samma kategori. Bodil L:s verksamhet kunde inte likställas med den verksamhet som nämns i strecksatsen och omfattades följaktligen inte av undantaget.
Vad det gällde undantaget som föreskrivs i artikel 3.2 andra strecksatsen (rent privat natur) slog domstolen fast att detta ”endast avser sådan verksamhet som utgör en del av enskildas privat- och familjeliv, vilket uppenbart inte är fallet i fråga om sådan behandling av personuppgifter som består i att de offentliggörs på Internet för att dessa skall bli tillgängliga för ett obestämt antal personer.”
Ytterligare en fråga till domstolen gällde huruvida uppgiften om att en person skadat foten och var sjukskriven på halvtid utgjorde en personuppgift om hälsa, i den mening som avses i artikel 8.1 i dataskyddsdirektivet. Domstolen uttalade att uttrycket ”uppgifter som rör hälsa” med hänsyn till direktivet syfte skulle ges en vid tolkning och anses omfatta alla aspekter, såväl fysiska som psykiska, av en persons hälsa. De aktuella personuppgifterna utgjorde sålunda uppgifter om hälsa i direktivets mening.
En annan fråga som hovrätten ställde till EG-domstolen var om det föreligger en överföring personuppgifter till tredje land i den mening som avses i artikel 25 i dataskyddsdirektivet när en person som befinner sig i en medlemsstat lägger ut personuppgifter på en webbsida som är lagrad hos en fysisk eller juridisk person tillhandhåller en servertjänst och som etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på internet, inklusive personer i tredje land. Hovrätten önskade vidare besked huruvida svaret på denna fråga blir detsamma när det framgår att ingen från tredje land rent faktiskt har tagit del av dessa uppgifter eller om servern där webbsidan är lagrad rent fysiskt befinner sig i ett tredje land.
Uttrycket överföring till tredje land definieras inte i direktivet. Domstolen påpekade inledningsvis att tolkningsfrågan måste lösas mot bakgrund dels av de genomförda transaktionernas tekniska natur, dels av systematiken i kapitel IV i dataskyddsdirektivet, där artikel 25 är placerad.
När det gällde de tekniska förhållandena betonade domstolen i korthet följande. De uppgifter som finns på internet kan när som helst konsulteras av ett obegränsat antal personer vilka befinner sig på en mängd olika ställen. De tekniska medel som används för detta är relativt enkla och blir allt billigare. Förutsättningarna för att tillhandahåll uppgifter för allmänheten via internet, så som de har blivit för enskilda under 1990-talet, innebär att den som skapar en webbsida för över denna till den som tillhandahåller honom en servertjänst. Denne sköter den datorinfrastruktur som krävs för att säkerställa att dessa uppgifter lagras och för att den server på vilken webbplatsen är utlagd ansluts till internet. Detta möjliggör att dessa uppgifter senare kan sändas till alla som har kopplat upp sig på internet och bett att få del av dem. De datorer som utgör denna infrastruktur befinner sig ofta, ibland utan att den som utnyttjar servertjänsten känner till det, i ett eller flera andra länder än där den som tillhandahåller tjänsten befinner sig.
Domstolen betonade vidare att Bodil L:s webbsidor inte innehöll några tekniska mekanismer för att uppgifter på sidorna skulle skickas till personer som inte avsiktligen hade försökt få tillgång till dem. Tvärtom krävdes det att användare som önskade ta del av uppgifter på sidorna vidtog aktiva åtgärder. Personuppgifter överförs i ett fall som det förevarande aldrig direkt mellan den som skapat webbsidan och den som laddat ner uppgifterna från denna, utan genom den datorinfrastruktur som tillhandahålls av den som tillhandahåller servertjänsten där sidan lagrats.
Vid tolkningen av uttrycket ”överföring till tredje land” var det enligt domstolen vidare nödvändigt att pröva om gemenskapslagstiftarens avsikt varit att transaktioner av den typ som Bodil L utfört skulle omfattas av detta uttryck. (Domstolen betonade här särskilt att prövningen i målet bara avsåg de transaktioner som Bodil L utfört och inte transaktioner som utförts av dem som tillhandahåller servertjänster.) Domstolen redogjorde för den speciella ordningen i kapitel IV i direktivet. Med hänsyn dels till det stadium på vilket internet befann sig vid tidpunkten för utarbetandet av direktivet, dels till att kapitel VI saknar kriterier som är tillämpliga på internetanvändning fann domstolen att det inte kunde presumeras att gemenskapslagstiftaren haft för avsikt att inskrivningen av en person i Bodil L:s situation av uppgifter på en webbsida skulle omfattas av begreppet överföring av uppgifter till tredje land, även om dessa på detta sätt blev åtkomliga för personer i tredje land som hade de tekniska möjligheterna att få tillgång till webbsidan. Eftersom uppgifter som publiceras på en webbsida alltid blir tekniskt tillgängliga i tredje land som saknar en adekvat skyddsnivå skulle en sådan tolkning av begreppet innebära att specialbestämmelserna i kapitel IV blev ett generellt tillämpligt system vid sådana transaktioner. Domstolens bedömning blev mot denna bakgrund att Bodil L:s behandling inte skulle anses innebära en överföring av uppgifter till tredje land.
Publiceringen av personuppgifter på en allmänt tillgänglig webbsida aktualiserar även förhållandet mellan personuppgiftsskyddet och yttrandefriheten. Hovrätten frågade därför huruvida bestämmelserna i dataskyddsdirektivet, i ett fall som det föreliggande, kunde anses medföra en begränsning som stod i strid med den allmänna principen om yttrandefrihet, eller andra fri- och rättigheter, som gäller inom Europeiska unionen och som har en motsvarighet ibland annat den rättighet som föreskrivs i artikel 10 i Europakonventionen.
Domstolen påpekade att dataskyddsdirektivets söker göra en avvägning mellan olika motstående intressen. Mellan de två grundläggande intressena bakom direktivet – fri rörlighet för uppgifter respektive enskildas rättigheter – föreligger det exempelvis en spänning. Avvägning mellan olika intressen görs i själva direktivet, men även i regler som antagits vid det nationella genomförande och genom nationella myndigheters tillämpning av dessa regler. Eftersom direktivet skall tillämpas på ett mycket stort antal situationer är dess bestämmelser med nödvändighet relativt allmänna och lämnar vid genomförandet ett betydande handlingsutrymme till medlemsstaterna. Detta förhållande innebar enligt domstolen emellertid inte att direktivets bestämmelser brister i förutsebarhet eller att bestämmelserna som sådana strider mot de allmänna gemenskapsrättsliga principerna, särskilt inte mot de grundläggande rättigheter som skyddas genom gemenskapens rättsordning.
Avvägningen mellan direktivets bestämmelser och dessa rättigheter, t.ex. yttrandefriheten, skall enligt domstolen göras när direktivet genomförs nationellt och när de nationella reglerna tillämpas i det enskilda fallet. Följaktligen fann EG-domstolen att det ankom på myndigheter och domstolar i medlemsstaterna att tolka sin nationella rätt på ett sätt som står i överensstämmelse inte bara med dataskyddsdirektivet, utan även att inte grunda sig på en tolkning av direktivet som skulle stå i strid med de grundläggande rättigheter som skyddas genom gemenskapens rättsordning eller med andra allmänna gemenskapsrättsliga principer. EG-domstolen åberopade bland annat proportionalitetsprincipen och påpekade att den nationella domstolen vid sin tillämpning skulle beakta hur länge uppgifterna varit tillgängliga och hur viktigt det varit för de berörda att deras uppgifter inte spreds.
Den sista frågan gällde huruvida medlemsstaterna får föreskriva ett starkare skydd för personuppgifter eller ett mer omfattande tillämpningsområde än vad som följer av dataskyddsdirektivet. Domstolen fastslog att dataskyddsdirektivet inte är ett minimidirektiv, utan att det i princip leder till fullständig harmonisering. Visserligen innebär direktivet att medlemsstaterna får ett handlingsutrymme på vissa områden och att de får ha en nationell särreglering i vissa situationer. Nationella åtgärder och tolkningar får emellertid bara användas på det sätt som föreskrivs i dataskyddsdirektivet och i enlighet med syftet med detta direktiv, nämligen att bibehålla en balans mellan det fria flödet av personuppgifter och skyddet för privatlivet. Domstolen fastslog emellertid att direktivet inte hindrar att nationella genomförandeåtgärder ges ett vidare tillämpningsområde, så länge ingen annan gemenskapsrättslig bestämmelse utgör hinder för detta.
Kommentarer
De båda domarna bekräftar i stor utsträckning de bedömningar som har gjorts av de nationella lagstiftarna i samband med genomförandet av direktivet och vid tillämpningen av nationella regler i de nationella domstolarna. På vissa punkter fördjupar emellertid domarna förståelsen för personuppgiftslagstiftningen och framför allt dess EG-rättsliga kontext, t.ex. förhållandet till grundläggande rättigheter, och väcker därmed en rad nya frågor. I andra delar har domstolen genom sina resonemang skapat en viss osäkerhet. Det gäller framför allt resonemanget kring direktivet reglering av överföring av personuppgifter till tredje land. Nedan ges några personliga korta kommentarer.
Domstolens bedömning av direktivet tillämpningsområde, dvs. att ingen anknytning till den fria rörligheten krävs i det enskilda fallet, framstår som ändamålsenlig. Som domstolen påpekar skulle motsatt tolkning innebära att direktivets tillämpningsområde skulle bli synnerligen vagt och osäkert. Mot denna bakgrund framstår det även som naturligt att tolka direktivets undantag för sådan verksamhet som faller utanför gemenskapsrätten restriktivt och att inte bakvägen öppna för att direktivets tillämplighet görs beroende av omständigheterna i det konkreta fallet. De eventuella nackdelar som skulle kunna bli konsekvensen av att en detaljerad direktivreglering blir tillämplig på en mängd särpräglade och nationellt färgade situationer undviks genom att domstolen ger de nationella lagstiftarna och domstolarna ett vitt handlingsutrymme vid tolkningen av direktivet bestämmelser.
För svenskt vidkommande är bedömningen att behandling av personuppgifter på en personlig webbplats inte faller under direktivets undantag för behandling av rent privat natur inte överraskande. Motsvarande bedömning gjordes redan vid det nationella genomförandet av direktivet. För andra länder kan EG-domstolens dom i denna del emellertid få konsekvenser, såväl i form av krav på lagstiftningsreformer som i form av ändrade bedömningar av domstolar och tillsynsmyndigheter.
Under senare tid har diskussionen om personuppgiftsskyddets regleringsmodell varit omfattande. Många – däribland den svenska regeringen – har menat att den befintliga hanteringsmodellen, som generellt anger när och hur personuppgifter får behandlas, är alltför byråkratisk och bör ersättas med en missbruksmodell som begränsar sig till att förbjuda vissa former av skadlig användning av personuppgifter. I princip är en sådan hållning en invändning mot den grundläggande ideologin bakom personuppgiftslagstiftningen, dvs. att det finns direkta integritetsrisker förknippade med framför allt automatiserad behandling av personuppgifter och att dessa måste mötas genom mer eller mindre generella regler för hur personuppgifter får samlas in, lagras, bearbetas, spridas etc, som inte gjorts beroende av en prövning av om den personliga integriteten verkligen kränks i det enskilda fallet.
Mot denna bakgrund är det intressant att ta del av EG-domstolens analys av förhållandet mellan (det missbruksinriktade) skyddet för privatlivet i artikel 8 i Europakonventionen och dataskyddsdirektivet. Domstolen slår fast att tillämpningen av direktivets bestämmelser är beroende av utfallet av en prövning av den aktuella behandlingen enligt artikel 8 i konventionen. Innebär behandlingen en kränkning av privatlivet så är behandlingen inte tillåten enligt artiklarna i direktivet och omvänt. Det tycks därmed onekligen som om domstolen har tagit ett steg mot en missbruksmodell som innebär att behandlingsreglerna i personuppgiftslagstiftningen bara skall tillämpas om en kränkning av privatlivet verkligen föreligger. Nu kan det i och för sig diskuteras om alla typer av personuppgifter faller under skyddet i artikel 8 och vilken relevans artikeln har om behandlingen inte utförs av det allmänna, men åtminstone när en behandling utförs av det allmänna kan man med domstolens tolkning ifrågasätta vilken självständig betydelse som direktivets behandlingsregler har. Räcker det inte med en prövning enligt artikel 8 och vissa konkreta rättigheter för den registrerade, t.ex. att få information om behandlingen?
I domarna tolkas även ett antal av direktivets grundläggande begrepp. När det gäller tillämpningen av begreppen ”personuppgift”, ”behandling” och ”känslig personuppgift” finns det knappast anledning att förvånas. Personligen känner jag även stor sympati med EG-domstolens restriktiva tolkning av vad som utgör en överföring till tredje land. Om varje publicering av en personuppgift på en webbsida ses som en överföring till tredje land skulle detta få långtgående konsekvenser för användningen av internet. Samtidigt väcker domstolens resonemang kring gränserna för prövningen i denna del vissa frågor. Domstolen gör med utgångspunkt i en teknisk och organisatorisk uppdelning skillnad på den som laddar upp webbsidor till en webbserver och den som tillhandahåller den servertjänst som innebär att webbsidorna blir tillgängliga i tredje land och betonar tydligt att prövningen i målet bara gäller den som laddar upp webbsidorna till servern. Detta skulle kunna tolkas så att den som tillhandahåller den tekniska infrastrukturen, t.ex. servertjänsten, överför personuppgifterna till tredje land. Man bör emellertid vara försiktig med att på detta sätt överföra uttalanden i en dom på situationer som inte var föremål för prövning. Att över huvud taget uppfatta den som tillhandhåller servertjänsten som personuppgiftsansvarig för den aktuella behandlingen framstår dessutom som långsökt. Å andra sidan kan man undra om det skall vara möjligt att personuppgifter i praktiken har hamnat i tredje land utan att någon har överfört dem dit i direktivet mening. Att lägga ett ansvar på användaren som besöker en webbsida och därifrån hämtar uppgifterna kan i många situationer också framstå som tveksamt, bl.a. därför att denne inte alltid vet från vilket land uppgifterna hämtas.
Domstolens resonemang kring direktivets förhållande till yttrandefriheten kan sägas bekräfta den bedömning som Högsta domstolen (HD) i Sverige gjorde i NJA 2001 s. 409 (”Ramsbro-målet”, se Lov&Data nr. 67 s. 13-17). HD baserade sin tolkning av direktivet på en avvägning mellan artiklarna 8 och 10 i Europakonventionen och gjorde även bedömningen att något förhandsavgörande inte behövde inhämtas eftersom det vid denna avvägning finns ett betydande nationellt handlingsutrymme. Enligt min mening är detta det enda godtagbara sättet att hantera förhållandet mellan personuppgiftsskydd och yttrandefrihet. Personuppgiftslagstiftningens behandlingsprinciper är över huvud taget inte lämpade för att bedöma tillåtligheten i yttranden, utan en sådan prövning måste alltid ske med beaktande av omständigheterna och intressena i det enskilda fallet samt de allmänna rättsprinciper, t.ex. proportionalitetsprincipen, som finns i Europakonventionen.
Sammanfattningsvis finns det enligt min mening anledning att välkomna EG-domstolens domar och konstatera att personuppgiftslagstiftningen nog kommer att berikas av sin nya miljö. Samtidigt väcker domarna ett antal nya frågor som det återstår att besvara.