62023CJ0638

DOMSTOLENS DOM (åttonde avdelningen)

den 27 februari 2025 ( *1 )

”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 4 led 7 – Begreppet personuppgiftsansvarig – Den personuppgiftsansvarige utses direkt genom nationell lagstiftning – Förvaltningsenhet som tillhör en regional regering – Avsaknad av ställning som juridisk person – Avsaknad av egen rättskapacitet – Bestämmande av ändamålen och medlen för behandlingen”

I mål C‑638/23,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Verwaltungsgerichtshof (Högsta förvaltningsdomstolen, Österrike) genom beslut av den 23 augusti 2023, som inkom till domstolen den 24 oktober 2023, i målet

Amt der Tiroler Landesregierung

mot

Datenschutzbehörde,

ytterligare deltagare i rättegången:

Bundesministerin für Justiz,

CW,

meddelar

DOMSTOLEN (åttonde avdelningen)

sammansatt av ordföranden på nionde avdelningen N. Jääskinen, tillika tillförordnad ordförande på åttonde avdelningen, samt domarna M. Gavalec (referent) och N. Piçarra,

generaladvokat: M. Campos Sánchez-Bordona,

justitiesekreterare: A. Calot Escobar,

efter det skriftliga förfarandet,

med beaktande av de yttranden som avgetts av:

–	Datenschutzbehörde, genom M. Schmidl och E. Wagner, båda i egenskap av ombud,

–	Bundesministerin für Justiz, genom E. Riedl, i egenskap av ombud,

–	Österrikes regering, genom A. Posch, J. Schmoll och C. Gabauer, samtliga i egenskap av ombud,

–	Europeiska kommissionen, genom A. Bouchagiar och M. Heller, båda i egenskap av ombud,

med hänsyn till beslutet, efter att ha hört generaladvokaten, att avgöra målet utan förslag till avgörande,

följande

Dom

Begäran om förhandsavgörande avser tolkningen av artikel 4 led 7 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen).

Begäran har framställts i ett mål mellan Amt der Tiroler Landesregierung (Förvaltningsenhet för Tyrolens delstatsregering, Österrike) (nedan kallad förvaltningsenheten) och Datenschutzbehörde (Dataskyddsmyndigheten, Österrike) angående förvaltningsenhetens påstått olagliga behandling av en fysisk persons personuppgifter.

Tillämpliga bestämmelser

Unionsrätt

I skälen 1, 7, 10, 45 och 74 i dataskyddsförordningen anges följande:

”(1)	Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna … och artikel 16.1 [FEUF] föreskriver att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

…

(7)	… Fysiska personer bör ha kontroll över sina egna personuppgifter. Den rättsliga säkerheten och smidigheten för fysiska personer, ekonomiska operatörer och myndigheter bör stärkas.

…

(10)

För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom [Europeiska] unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. …

…

(45)

Behandling som grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, bör ha en grund i unionsrätten eller i en medlemsstats nationella rätt. Denna förordning medför inte något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Behandlingens syfte bör också fastställas i unionsrätten eller i medlemsstaternas nationella rätt. Därtill skulle man genom denna grund kunna ange denna förordnings allmänna villkor för laglig personuppgiftsbehandling och precisera kraven för att fastställa vem den personuppgiftsansvarige är, vilken typ av personuppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut, ändamålsbegränsningar, lagringstid samt andra åtgärder för att tillförsäkra en laglig och rättvis behandling. Unionsrätten eller medlemsstaternas nationella rätt bör också reglera frågan huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.

…

(74)

Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska personers rättigheter och friheter.”

4	I artikel 1 (”Syfte”) i dataskyddsförordningen föreskrivs följande i punkt 2: ”Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.”

Artikel 4 (”Definitioner”) i dataskyddsförordningen har följande lydelse:

”I denna förordning avses med

…

behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

…

personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,

…”

I artikel 5 (”Principer för behandling av personuppgifter”) i dataskyddsförordningen föreskrivs följande:

”1. Vid behandling av personuppgifter ska följande gälla:

a)	Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).

c)	De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

d)	De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).

De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2. Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

I artikel 6 (”Laglig behandling av personuppgifter”) i dataskyddsförordningen föreskrivs följande i punkterna 1 och 3:

”1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

…

c)	Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

…

e)	Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

…

3. Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

a)	unionsrätten, eller

b)	en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. …”

Österrikisk rätt

Tyrolens delstatsförordning från år 1989

I 56 § (”Landeshauptmann” (delstatspresident, Österrike)) i Landesverfassungsgesetz über die Verfassung des Landes Tirol (Tiroler Landesordnung 1989) (regional lag om delstaten Tyrolens författning (1989 års delstatsförordning)) av den 21 september 1988, i den lydelse som är tillämplig i det nationella målet (nedan kallad Tyrolens delstatsförordning från år 1989) föreskrivs följande i första stycket:

”[Delstatspresidenten] företräder delstaten Tyrolen.”

I 58 § (”[förvaltningsenheten]”) i Tyrolens delsstatsförordning från år 1989 föreskrivs följande i första stycket:

”[Delstatspresidenten], delstatsregeringen och dess ledamöter ska vända sig till [förvaltningsenheten] för handläggning av deras ärenden. [Delstatspresidenten] ska vara [förvaltningsenhetens] chef.”

TDVG

I 2 § i Tiroler Datenverarbeitungsgesetz (delstaten Tyrolens dataskyddlag) (nedan kallad TDVG) föreskrivs följande:

”1. Följande personer ska anses vara personuppgiftsansvariga i den mening som avses i artikel 4 led 7 i [dataskyddsförordningen]:

a)	[förvaltningsenheten].

…

3. När en behandling av uppgifter utförs eller beställs av delstaten Tyrolen ska [förvaltningsenheten] alltid anses vara ansvarig för sådan behandling i den mån

a)	det inte föreligger något gemensamt ansvar i den mening som avses i första stycket b eller c, och

b)	det inte föreligger någon behandling som beställts i den mening som avses i 5 §.”

Målet vid den nationella domstolen och tolkningsfrågan

Inom ramen för åtgärder för att bekämpa covid-19-pandemin skickade förvaltningsenheten, som är en administrativ stödenhet till Tyrolens delstatspresident och delstatsregering, en ”påminnelse om vaccination” till alla myndiga personer bosatta i delstaten Tyrolen som ännu inte hade vaccinerats mot covid-19. För att identifiera mottagarna av denna skrivelse anlitade förvaltningsenheten två privata företag som samkörde uppgifterna i det centrala vaccinationsregistret med patientregistret i vilket bostadsadressen angavs.

Den 21 december 2021 ingav CW, en av dessa mottagare, ett klagomål till Dataskyddsmyndigheten mot förvaltningsenheten. Klagomålet avsåg olaglig behandling av CW:s personuppgifter. Förvaltningsenheten uppgav till Dataskyddsmyndigheten att den skulle anses vara ”personuppgiftsansvarig” och att den hade författat den skrivelse som hade skickats till CW.

Genom beslut av den 22 augusti 2022 konstaterade Dataskyddsmyndigheten att förvaltningsenheten hade åsidosatt CW:s rätt till skydd av sina personuppgifter, eftersom denna enhet i syfte att skicka en ”påminnelse om vaccinering” hade tagit del av den registrerades uppgifter i vaccinationsregistret, trots att förvaltningsenheten inte hade rätt att få tillgång till vare sig detta register eller patientregistret. Behandlingen av CW:s personuppgifter var således olaglig.

Förvaltningsenheten överklagade nämnda beslut till Bundesverwaltungsgericht (Federala förvaltningsdomstolen, Österrike). Nämnda domstol fann att förvaltningsenheten, med stöd av tillämplig nationell rätt, skulle anses vara personuppgiftsansvarig, men att den inte hade rätt att ta del av vaccinationsregistret för att skicka en påminnelse såsom den som hade skickats till CW. Domstolen i första instans ogillade förvaltningsenhetens överklagande. Förvaltningsenheten överklagade därefter denna dom till Verwaltungsgerichtshof (Högsta förvaltningsdomstolen, Österrike), som är den hänskjutande domstolen.

15	Den hänskjutande domstolen anser att det, för att kunna avgöra det aktuella målet, är nödvändigt att fastställa huruvida förvaltningsenheten, i det sammanhang som är aktuellt i målet, ska anses vara ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 i dataskyddsförordningen.

Den hänskjutande domstolen har i detta avseende framhållit att förvaltningsenheten endast lade fram ett förslag till delstatspresidenten om att skicka en ”påminnelse om vaccinering”. Detta förslag godkändes av delstatspresidenten i egenskap av chef för förvaltningsenheten och företrädare för delstaten Tyrolen, i enlighet med 58 § respektive 56 § första stycket i Tyrolens delsstatsförordning från år 1989. Förvaltningsenheten hade således endast upplyst delstatspresidenten dels om ändamålet med den planerade behandlingen av personuppgifter, det vill säga en ökning av vaccinationsgraden, dels om de medel som behandlingen skulle ligga till grund för, det vill säga att skicka nämnda ”påminnelse om vaccinering” med hjälp av uppgifterna i det centrala vaccinationsregistret och patientregistret.

Enligt den hänskjutande domstolen är det, med hänsyn till delstatspresidentens godkännande, endast denne som har beslutat om såväl ändamålet som medlen för behandling av personuppgifter, vilket innebär att förvaltningsenheten inte kan anses vara ”personuppgiftsansvarig” i den mening som avses i första delen av artikel 4 led 7 i dataskyddsförordningen.

18	Den hänskjutande domstolen vill emellertid få klarhet i huruvida förvaltningsenheten med giltig verkan kunde utses som personuppgiftsansvarig enligt en bestämmelse i nationell rätt, nämligen 2 § första stycket punkt a TDVG.

Förvaltningsenheten är nämligen varken en juridisk person eller en myndighet med ansvar för den behandling av personuppgifter som låg till grund för att ett ”påminnelsebrev om vaccinering” skickades till CW. Förvaltningsenheten har endast medverkat i denna behandling i egenskap av administrativ stödenhet till en myndighet. Den är inte en juridisk person och saknar egen rättskapacitet. Det ska således fastställas huruvida förvaltningsenheten under dessa omständigheter kan anses utgöra en ”institution eller annat organ”, i den mening som avses i första delen av artikel 4 led 7 i dataskyddsförordningen, vilken kan utses till personuppgiftsansvarig enligt nationell rätt, i enlighet med andra delen av artikel 4 led 7 i förordningen.

Den hänskjutande domstolen har dessutom erinrat om att enligt andra delen av artikel 4 led 7 i dataskyddsförordningen får en personuppgiftsansvarig utses direkt endast om ändamålen och medlen för behandlingen av de berörda personuppgifterna bestäms av nationell rätt. Även om 2 § första stycket punkt a TDVG anger förvaltningsenheten som personuppgiftsansvarig, framgår det emellertid inte på ett konkret sätt av bestämmelsen vilken typ av behandling av personuppgifter som kan utföras av förvaltningsenheten, de ändamål som denna behandling ska eftersträva och inte heller de medel som förvaltningsenheten kan använda i detta avseende.

Den hänskjutande domstolen har tillagt att det följer av artikel 6.1 c och e i dataskyddsförordningen att en behandling av personuppgifter är laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Det följer av dessa laglighetsvillkor och av det syfte som eftersträvas med artikel 4 led 7 i dataskyddsförordningen, nämligen att säkerställa ett effektivt och omfattande skydd för de registrerade, att medlemsstaterna endast kan utse en person eller en enhet såsom personuppgiftsansvarig då denna person eller enhet kan bestämma ändamålen och medlen för behandlingen av personuppgifter, eller åtminstone delta i detta bestämmande.

Mot denna bakgrund beslutade Verwaltungsgerichtshof (Högsta förvaltningsdomstolen) att vilandeförklara målet och ställa följande fråga till domstolen:

”Ska artikel 4 led 7 i [dataskyddsförordningen] tolkas så, att den utgör hinder för tillämpningen av en nationell bestämmelse (i förevarande fall 2 § första stycket [TDVG]), enligt vilken en personuppgiftsansvarig, i den mening som avses i andra delen av artikel 4 led 7 i dataskyddsförordningen, visserligen ska utses, men

–

denna personuppgiftsansvarige endast är en förvaltning (i förevarande fall [förvaltningsenheten]), vilken visserligen är inrättad med stöd av lag, men inte är vare sig en fysisk eller en juridisk person och i det aktuella fallet inte heller en myndighet, utan endast innehar en stödfunktion i förhållande till en sådan myndighet och saknar egen rättskapacitet, inte ens en partiell sådan,

–	vars utnämning sker utan koppling till en konkret behandling av personuppgifter, och för vilken det därför inte heller finns vare sig ändamål med eller medel för en specifik personuppgiftsbehandling i medlemsstatens nationella rätt,

–	denna personuppgiftsansvarige i det förevarande fallet varken självständigt eller tillsammans med andra har bestämt ändamålen eller medlen för den aktuella behandlingen av personuppgifter?”

Prövning av tolkningsfrågan

Den hänskjutande domstolen har ställt sin fråga för att få klarhet i huruvida artikel 4 led 7 i dataskyddsförordningen ska tolkas så, att den utgör hinder för en nationell lagstiftning enligt vilken en förvaltningsenhet som inte är en juridisk person och som saknar rättskapacitet utses såsom personuppgiftsansvarig, utan att det konkret preciseras vilka specifika åtgärder för behandling av personuppgifter som åligger enheten eller ändamålet med dessa åtgärder. Den hänskjutande domstolen vill även få klarhet i huruvida artikel 4 led 7 i dataskyddsförordningen ska tolkas så, att en enhet som enligt nationell rätt utses såsom personuppgiftsansvarig, i enlighet med nämnda artikel 4.7, faktiskt måste bestämma ändamålen och medlen för behandlingen av personuppgifter för att, i egenskap av personuppgiftsansvarig, vara skyldig att besvara en begäran som den registrerade inger med stöd av vederbörandes rättigheter enligt dataskyddsförordningen.

Domstolen erinrar inledningsvis om att begreppet personuppgiftsansvarig, enligt artikel 4 led 7 i dataskyddsförordningen, omfattar fysiska eller juridiska personer, offentliga myndigheter, institutioner eller andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. I bestämmelsen föreskrivs även att om ändamålen och medlen för behandlingen bestäms av en medlemsstats nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i nämnda nationella rätt.

Det framgår av domstolens praxis att nämnda bestämmelse syftar till att genom en vid definition av begreppet personuppgiftsansvarig säkerställa ett effektivt och komplett skydd för de registrerade (se, för ett liknande resonemang, dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punkt 29, och dom av den 5 december 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, punkt 40).

Syftet med dataskyddsförordningen, såsom det framgår av artikel 1 samt skälen 1 och 10 i förordningen, är bland annat att säkerställa en hög nivå på skyddet av fysiska personers grundläggande fri- och rättigheter, i synnerhet den i artikel 8.1 i stadgan om de grundläggande rättigheterna och artikel 16.1 FEUF fastslagna rätten till skydd av personuppgifter (dom av den 7 mars 2024, IAB Europe, C‑604/22, EU:C:2024:214, punkt 53 och där angiven rättspraxis).

Mot bakgrund av ordalydelsen i artikel 4 led 7 i dataskyddsförordningen, jämförd med detta syfte, gör domstolen följande bedömning. För att avgöra huruvida en person eller enhet ska kvalificeras som personuppgiftsansvarig i den mening som avses i denna bestämmelse, ska det undersökas huruvida denna person eller denna enhet ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen eller om dessa bestäms av nationell rätt. När dessa bestäms av nationell rätt, ska det sedan prövas huruvida det i nationell rätt föreskrivs vem som är personuppgiftsansvarig eller om det däri föreskrivs särskilda kriterier för hur denne ska utses (dom av den 11 januari 2024, État belge (Personuppgifter som behandlas av en officiell tidning), C‑231/22, EU:C:2024:7, punkt 29).

Med hänsyn till den vida definitionen av begreppet personuppgiftsansvarig i den mening som avses i artikel 4 led 7 i dataskyddsförordningen kan bestämmandet av ändamålen och medlen för behandlingen och, i förekommande fall, fastställandet av den personuppgiftsansvarige enligt nationell rätt inte bara vara uttryckligt utan även underförstått. I det senare fallet krävs det emellertid att detta bestämmande på ett tillräckligt säkert sätt följer av den roll, det uppdrag och de befogenheter som tilldelats den berörda personen eller enheten (dom av den 11 januari 2024, État belge (Personuppgifter som behandlas av en officiell tidning), C‑231/22, EU:C:2024:7, punkt 30).

Det är mot bakgrund av dessa inledande överväganden som tolkningsfrågan ska prövas. För det första ska det fastställas i vilken mån den nationella lagstiftaren med giltig verkan såsom personuppgiftsansvarig i den mening som avses i andra delen av artikel 4 led 7 i dataskyddsförordningen kan ange en administrativ stödenhet till en myndighet, när denna enhet inte är en juridisk person och saknar egen rättskapacitet.

Domstolen har redan slagit fast att det framgår av den klara ordalydelsen i artikel 4 led 7 i dataskyddsförordningen att en personuppgiftsansvarig inte bara kan vara en fysisk eller juridisk person utan även en offentlig myndighet, en institution eller ett organ. Sådana enheter är inte nödvändigtvis rättssubjekt enligt nationell rätt (se, för ett liknande resonemang, dom av den 11 januari 2024, État belge (Personuppgifter som behandlas av en officiell tidning), C‑231/22, EU:C:2024:7, punkt 36).

31	Det kan således inte uteslutas att en enhet kan kvalificeras som ”personuppgiftsansvarig”, i den mening som avses i denna bestämmelse, även om enheten inte är en juridisk person.

Vidare uppkommer frågan huruvida en enhet måste ha egen rättskapacitet för att kvalificeras som ”personuppgiftsansvarig” eller om det i detta avseende räcker att den berörda enheten har en viss besluts- och handlingsförmåga inom ramen för skyddet av personuppgifter. Därvidlag domstolen om att det framgår av skäl 74 i dataskyddsförordningen att unionslagstiftaren har velat att den personuppgiftsansvariges ansvar ska vara detsamma oavsett vilken behandling av personuppgifter som den personuppgiftsansvarige utför, vare sig behandlingen utförs av den personuppgiftsansvarige själv eller av en tredje part, men för dennes räkning. Unionslagstiftaren har även avsett att säkerställa att den personuppgiftsansvarige är skyldig att vidta lämpliga och effektiva åtgärder och kunna visa att behandlingen är förenlig med denna förordning, även vad gäller de aktuella åtgärdernas effektivitet. Inom ramen för dessa åtgärder bör man beakta behandlingens art, omfattning, sammanhang och ändamål samt risken som behandlingen medför för fysiska personers rättigheter och friheter.

Det är för detta ändamål som det i artikel 5.2 i dataskyddsförordningen fastställs en ansvarsprincip som innebär att den personuppgiftsansvarige är ansvarig för efterlevnaden av de i artikel 5.1 angivna principerna för behandling av personuppgifter och att denne måste kunna visa att dessa principer efterlevs.

Med hänsyn till de rättsliga skyldigheter som åvilar den personuppgiftsansvarige enligt artikel 4 led 7 i dataskyddsförordningen måste denne i faktiskt och rättsligt hänseende kunna fullgöra dessa skyldigheter i enlighet med de villkor som föreskrivs i lagstiftningen i den personuppgiftsansvariges medlemsstat. Det saknar härvid betydelse huruvida denna enhet är en juridisk person eller huruvida den har egen rättskapacitet.

I förevarande fall ankommer det på den hänskjutande domstolen att pröva huruvida förvaltningsenheten enligt österrikisk rätt har befogenhet att fullgöra det ansvar och de skyldigheter som åligger den personuppgiftsansvarige enligt dataskyddsförordningen. Det ska särskilt beaktas, vilket inte har bestritts vid de nationella domstolarna vid vilka det aktuella målet anhängiggjorts, att förvaltningsenheten kan överklaga Dataskyddsmyndighetens beslut, på samma sätt som förvaltningsenheten kan bli föremål för ett klagomål vid Dataskyddsmyndigheten. Den hänskjutande domstolen kan även beakta att förvaltningsenheten har gett två privata företag i uppdrag att behandla personuppgifter i det centrala vaccinationsregistret och i patientregistret i delstaten Tyrolen.

För det andra vill den hänskjutande domstolen få klarhet i huruvida en nationell lagstiftare kan utse en enhet såsom personuppgiftsansvarig enligt andra delen av artikel 4 led 7 i dataskyddsförordningen, utan att konkret precisera vilken behandling av personuppgifter som denna enhet kan komma att utföra, ändamålet med behandlingen eller de exakta medel som den kan använda för behandlingen.

Såsom det har erinrats om ovan i punkt 28 kan bestämmandet av ändamålen och medlen för behandlingen i nationell rätt vara underförstått när en enhet utses som personuppgiftsansvarig enligt nationell rätt, under förutsättning att bestämmandet på ett tillräckligt säkert sätt följer av den roll, det uppdrag och de befogenheter som tilldelats enheten. Detta villkor är uppfyllt om dessa ändamål och medel i huvudsak framgår av de bestämmelser i nationell rätt som reglerar nämnda enhets verksamhet.

Den omständigheten att den nationella lagstiftaren direkt utser en enhet som personuppgiftsansvarig, bidrar till att uppnå det rättssäkerhetsmål som eftersträvas med dataskyddsförordningen, såsom framgår av skäl 7 i förordningen, genom att göra det möjligt för fysiska personer vars personuppgifter är föremål för behandling, att enkelt identifiera den enhet som ansvarar för att deras rättigheter enligt förordningen iakttas.

För att ett fastställande av en enhet på detta sätt ska vara giltigt krävs det emellertid att omfattningen av den behandling av personuppgifter som enheten är ansvarig för bestäms i den nationella lagstiftningen, utan att det för den skull är nödvändigt att lagstiftaren på ett uttömmande sätt räknar upp alla former av behandling som därvid ålagts enheten. Såsom anges i skäl 45 i dataskyddsförordningen ”[kan det] räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning”.

Av detta följer att en nationell lagstiftning, enligt vilken en enhet utses som personuppgiftsansvarig utan att samtliga specifika åtgärder för behandling av personuppgifter som den är ansvarig för eller ändamålet med denna behandling uttryckligen räknas upp, är förenlig med artikel 4 led 7 i dataskyddsförordningen, i den mån denna lagstiftning uttryckligen eller åtminstone underförstått bestämmer omfattningen av behandlingen av de personuppgifter som denna enhet har ålagts.

I förevarande fall ankommer det på den hänskjutande domstolen att pröva för det första huruvida den behandling av personuppgifter som förvaltningsenheten har utfört i syfte att förbereda och skicka de ”påminnelser om vaccinering” som är i fråga i det nationella målet är förenlig med de ändamål som ska uppnås genom den behandling av personuppgifter som förvaltningsenheten har ålagts, såsom dessa ändamål framgår, åtminstone underförstått, av samtliga bestämmelser i nationell rätt som reglerar förvaltningsenhetens verksamhet. För det andra ska den hänskjutande domstolen pröva de medel som förvaltningsenheten kan använda i detta avseende. Enbart den omständigheten att det i dessa nationella bestämmelser, i förekommande fall, inte på ett konkret sätt anges vilka behandlingar som förvaltningsenheten har rätt att utföra, kan inte utesluta att en sådan enhet som förvaltningsenheten kan kvalificeras som personuppgiftsansvarig i den mening som avses i artikel 4 led 7 i dataskyddsförordningen.

För det tredje vill den hänskjutande domstolen få klarhet i huruvida en enhet som enligt den nationella lagstiftningen utsetts som personuppgiftsansvarig enligt andra delen av artikel 4 led 7 i dataskyddsförordningen även själv, eller tillsammans med andra behöriga myndigheter, måste besluta om ändamålen och medlen för behandlingen av de personuppgifter som den ålagts för att, i egenskap av personuppgiftsansvarig, vara skyldig att besvara en begäran som den registrerade inger med stöd av vederbörandes rättigheter enligt dataskyddsförordningen.

I detta avseende räcker det att påpeka att det är för att fastställa huruvida en enhet kan anses vara personuppgiftsansvarig, i den mening som avses i första delen av artikel 4 led 7 i dataskyddsförordningen, som det måste prövas huruvida denna enhet, för egna syften, faktiskt har utövat inflytande över bestämmandet av ändamålen och medlen för behandlingen av de aktuella personuppgifterna (se, för ett liknande resonemang, dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punkterna 30 och 31).

För att fastställa huruvida en enhet kan anses vara personuppgiftsansvarig, i den mening som avses i andra delen av artikel 4 led 7 i dataskyddsförordningen, är det däremot, såsom framgår av den bestämmelsens klara lydelse, inte nödvändigt att denna enhet utövar ett inflytande över bestämmandet av ändamålen och medlen för denna behandling.

En sådan enhet, som enligt nationell rätt utses som personuppgiftsansvarig, behöver således inte själv bestämma ändamålen och medlen för behandlingen av personuppgifter för att, i egenskap av personuppgiftsansvarig, vara skyldig att besvara en begäran som den registrerade inger med stöd av vederbörandes rättigheter enligt dataskyddsförordningen.

Domstolen har i detta avseende redan slagit fast att giltigheten av ett direkt fastställande av den personuppgiftsansvarige inte påverkas av den omständigheten att den enhet som utsetts till personuppgiftsansvarig – enligt nationell rätt – inte utövar någon kontroll över de personuppgifter som den ska behandla (se, för ett liknande resonemang, dom av den 11 januari 2024, État belge (Personuppgifter som behandlas av en officiell tidning), C‑231/22, EU:C:2024:7, punkterna 37 och 38).

En sådan tolkning är förenlig med det rättssäkerhetssyfte som eftersträvas med dataskyddsförordningen. Såsom Europeiska kommissionen har påpekat i sitt skriftliga yttrande skulle detta mål äventyras om de registrerade, för att kunna anse att den nationella lagstiftaren på ett giltigt sätt har utsett en personuppgiftsansvarig, var tvungna att kontrollera att den enhet som utsetts såsom personuppgiftsansvarig för deras personuppgifter har befogenhet att själv bestämma ändamålen och medlen för en sådan behandling.

Domstolen vill även påpeka följande. Den omständigheten att det inte är nödvändigt att en enhet som enligt nationell rätt har utsetts såsom personuppgiftsansvarig även har befogenhet att själv besluta om ändamålen och medlen för behandlingen av personuppgifter för att i egenskap av personuppgiftsansvarig kunna besvara en begäran som den registrerade inger med stöd av vederbörandes rättigheter enligt dataskyddsförordningen, hindrar emellertid inte den registrerade från att rikta en begäran till en annan enhet som den registrerade anser vara ansvarig eller gemensamt ansvarig för behandlingen av vederbörandes personuppgifter på grund av det inflytande som denna andra enhet har utövat på bestämmandet av ändamålen och medlen för den aktuella behandlingen.

Mot bakgrund av det ovanstående ska den ställda tolkningsfrågan besvaras enligt följande. Artikel 4 led 7 i dataskyddsförordningen ska tolkas så, att den inte utgör hinder för en nationell lagstiftning enligt vilken en förvaltningsenhet som inte är en juridisk person och som saknar rättskapacitet utses såsom personuppgiftsansvarig, utan att det konkret preciseras vilka specifika åtgärder för behandling av personuppgifter som åligger enheten eller ändamålet med dessa åtgärder, under förutsättning dels att en sådan enhet, i enlighet med denna nationella lagstiftning, kan fullgöra de skyldigheter som åligger en personuppgiftsansvarig gentemot de registrerade i fråga om skydd av personuppgifter, dels att nämnda nationella lagstiftning uttryckligen eller åtminstone underförstått bestämmer omfattningen av den behandling av personuppgifter som åligger enheten.

Rättegångskostnader

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (åttonde avdelningen) följande:

Artikel 4 led 7 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ska tolkas så,

att den inte utgör hinder för en nationell lagstiftning enligt vilken en förvaltningsenhet som inte är en juridisk person och som saknar rättskapacitet utses såsom personuppgiftsansvarig, utan att det konkret preciseras vilka specifika åtgärder för behandling av personuppgifter som åligger enheten eller ändamålet med dessa åtgärder, under förutsättning dels att en sådan enhet, i enlighet med denna nationella lagstiftning, kan fullgöra de skyldigheter som åligger en personuppgiftsansvarig gentemot de registrerade i fråga om skydd av personuppgifter, dels att nämnda nationella lagstiftning uttryckligen eller åtminstone underförstått bestämmer omfattningen av den behandling av personuppgifter som åligger enheten.

Underskrifter

( *1 ) Rättegångsspråk: tyska.