Karnov Open

Karnov Open är en kostnadsfri rättsdatabas från Norstedts Juridik där alla Sveriges författningar och EU-rättsliga dokument finns samlade. Nu kan organisationer och företag prova den mer omfattande juridiska informationstjänsten JUNO gratis i 14 dagar - läs mer om erbjudandet och vad du kan få tillgång till här.

Preliminär utgåva

DOMSTOLENS DOM (stora avdelningen)

den 24 september 2019 (*)

”Begäran om förhandsavgörande – Personuppgifter – Skydd för fysiska personer med avseende på behandling av sådana uppgifter – Direktiv 95/46/EG – Förordning (EU) 2016/679 – Sökmotorer på internet – Behandling av uppgifter som finns på webbsidor – Territoriell räckvidd för rätten till borttagande av länkar”

I mål C‑507/17,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Conseil d’État (Högsta förvaltningsdomstolen, Frankrike), genom beslut av den 19 juli 2017, som inkom till domstolen den 21 augusti 2017, i målet

Google LLC, som trätt i stället för Google Inc.,

mot

Commission nationale de l’informatique et des libertés (CNIL),

ytterligare deltagare i rättegången:

Wikimedia Foundation Inc.,

Fondation pour la liberté de la presse,

Microsoft Corp.,

Reporters Committee for Freedom of the Press m.fl.,

Article 19 m.fl.,

Internet Freedom Foundation m.fl.,

Défenseur des droits,

meddelar

DOMSTOLEN (stora avdelningen)

sammansatt av ordföranden K. Lenaerts, avdelningsordförandena A. Arabadjiev, E. Regan, T. von Danwitz, C. Toader och F. Biltgen samt domarna M. Ilešič (referent), L. Bay Larsen, M. Safjan, D. Šváby, C.G. Fernlund, C. Vajda och S. Rodin,

generaladvokat: M. Szpunar,

justitiesekreterare: handläggaren V. Giacobbo-Peyronnel,

efter det skriftliga förfarandet och förhandlingen den 11 september 2018,

med beaktande av de yttranden som avgetts av:

–        Google LLC, genom P. Spinosi, Y. Pelosi och W. Maxwell, avocats,

–        Commission nationale de l’informatique et des libertés (CNIL), genom I. Falque-Pierrotin, J. Lessi och G. Le Grand, samtliga i egenskap av ombud,

–        Wikimedia Foundation Inc., genom C. Rameix-Seguin, avocate,

–        Fondation pour la liberté de la presse, genom T. Haas, avocat,

–        Microsoft Corp., genom E. Piwnica, avocat,

–        Reporters Committee for Freedom of the Press m.fl., genom F. Louis, avocat, samt H.-G. Kamann, C. Schwedler och M. Braun, Rechtsanwälte,

–        Article 19 m.fl., genom G. Tapie, avocat, G. Facenna, QC, och E. Metcalfe, barrister,

–        Internet Freedom Foundation m.fl., genom T. Haas, avocat,

–        Défenseur des droits, genom J. Toubon, i egenskap av ombud,

–        Frankrikes regering, genom D. Colas, R. Coesme, E. de Moustier och S. Ghiandoni, samtliga i egenskap av ombud,

–        Irland, genom M. Browne, G. Hodge, J. Quaney och A. Joyce, samtliga i egenskap av ombud, biträdda av M. Gray, BL,

–        Greklands regering, genom E.-M. Mamouna, G. Papadaki, E. Zisi och S. Papaioannou, samtliga i egenskap av ombud,

–        Italiens regering, genom G. Palmieri, i egenskap av ombud, biträdd av R. Guizzi, avvocato dello Stato,

–        Österrikes regering, genom G. Eberhard och G. Kunnert, båda i egenskap av ombud,

–        Polens regering, genom B. Majczyna, M. Pawlicka och J. Sawicka, samtliga i egenskap av ombud,

–        Europeiska kommissionen, genom A. Buchet, H. Kranenborg och D. Nardi, samtliga i egenskap av ombud,

och efter att den 10 januari 2019 ha hört generaladvokatens förslag till avgörande,

följande

Dom

        Begäran om förhandsavgörande avser tolkningen av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).

        Begäran har framställts i ett mål mellan å ena sidan Google LLC, som trätt i stället för Google Inc., och å andra sidan Commission nationale de l’informatique et des libertés (CNIL) (Frankrike). Målet rör den sanktionsavgift om 100 000 euro som sistnämnda part påförde Google på grund av bolagets vägran att när det efterkommer en begäran om borttagande av länkar som visas vid sökningar med Googles sökmotor, ta bort dessa länkar oavsett från vilken toppdomän sökningen har gjorts.

 Tillämpliga bestämmelser

 Unionsrätt

 Direktiv 95/46

        Enligt artikel 1.1 i direktiv 95/46 är syftet med direktivet att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter, samt att avskaffa hindren mot det fria flödet av personuppgifter.

        Skälen 2, 7, 10, 18, 20 och 37 i direktiv 95/46 lyder enligt följande:

”(2)      Systemen för databehandling av uppgifter är till för människornas skull. Oavsett fysiska personers medborgarskap eller hemvist måste systemen respektera dessa personers grundläggande fri- och rättigheter – särskilt rätten till privatlivet – och bidra till … enskilda personers välfärd.

(7)      Skillnaden i skyddsnivå mellan medlemsstater vad gäller enskilda personers fri- och rättigheter, särskilt rätten till privatliv med avseende på behandling av personuppgifter, kan hindra översändande av sådana uppgifter från en medlemsstats territorium till en annans. Denna skillnad kan därför utgöra ett hinder för att utöva en rad ekonomiska aktiviteter på gemenskapsnivå, …

(10)      Ändamålet med den nationella lagstiftningen om behandling av personuppgifter är att skydda grundläggande fri- och rättigheter, särskilt den rätt till privatlivet som erkänns både i artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna[, undertecknad i Rom den 4 november 1950,] och i gemenskapsrättens allmänna rättsprinciper. Av denna anledning får tillnärmningen av denna lagstiftning inte medföra någon inskränkning i det skydd de ger, utan skall i stället syfta till att garantera en hög skyddsnivå inom gemenskapen.

(18)      För att undvika att en enskild person förvägras det skydd som tillkommer honom enligt detta direktiv skall varje behandling av personuppgifter inom gemenskapen ske i enlighet med lagstiftningen i en av medlemsstaterna …

(20)      Den omständigheten att den registeransvarige är etablerad i ett tredje land får inte utgöra ett hinder för det skydd som enskilda personer ges i detta direktiv. I sådana fall skall på behandlingen av uppgifter tillämpas den medlemsstats lagstiftning som innehåller de hjälpmedel som används för behandlingen. Det bör finnas garantier för att de rättigheter som följer av detta direktiv respekteras i praktiken.

(37)      För sådan behandling av personuppgifter som sker för journalistiska ändamål eller för konstnärligt eller litterärt skapande – särskilt på det audiovisuella området – bör det fastställas undantag från eller begränsningar i förhållande till vissa bestämmelser i detta direktiv så långt detta är nödvändigt för att förena enskilda personers grundläggande rättigheter med yttrandefriheten, särskilt den rätt att ta emot och lämna upplysningar som särskilt fastslås i artikel 10 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. För att åstadkomma en avvägning mellan de grundläggande fri- och rättigheterna åligger det medlemsstaterna att besluta om nödvändiga undantag och begränsningar såvitt avser de generella åtgärder som har avseende på uppgiftsbehandlingens berättigande, …”

        Artikel 2 i nämnda direktiv har följande lydelse:

”I detta direktiv avses med

a)      personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade) …

b)      behandling av personuppgifter (behandling): varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring,

d)      registeransvarig: den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter …

…”

        Artikel 4 i direktivet, med rubriken ”Tillämplig nationell rätt”, lyder enligt följande:

”1.      Varje medlemsstat skall tillämpa de nationella bestämmelser som den för genomförandet av detta direktiv antar för behandlingen av personuppgifter när

a)      behandlingen utförs som ett led i verksamhet inom den medlemsstats territorium, där den registeransvarige är etablerad. Om en registeransvarig är etablerad inom flera medlemsstaters territorier skall han vidta nödvändiga åtgärder för att säkerställa att alla verksamheter uppfyller kraven enligt den tillämpliga nationella lagstiftningen,

b)      den registeransvarige inte är etablerad inom en medlemsstats territorium utan på en plats där medlemsstatens lagstiftning gäller på grund av folkrätten,

c)      den registeransvarige inte är etablerad på gemenskapens territorium och för behandling av personuppgifter använder databehandlad eller icke databehandlad utrustning som befinner sig på den nämnda medlemsstatens territorium, om inte sådan utrustning endast används för att låta uppgifter passera genom gemenskapen.

2.       Under de omständigheter som avses i punkt 1 c) måste den registeransvarige utse en företrädare som är etablerad inom den berörda medlemsstatens territorium, utan att detta i övrigt påverkar de eventuella rättsliga åtgärder som kan komma att inledas mot den ansvarige själv.”

        Artikel 9 i direktiv 95/46, som har rubriken ”Behandling av personuppgifter och yttrandefriheten”, lyder enligt följande:

”Medlemsstaterna skall med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från bestämmelserna i detta kapitel, kapitel IV och kapitel VI endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten.”

        Artikel 12 i direktivet har rubriken ”Rätt till tillgång” och innehåller följande bestämmelse:

”Medlemsstaterna skall säkerställa att varje registrerad har rätt att från den registeransvarige

b)      i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i detta direktiv rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga,

…”

        I direktivets artikel 14, som har rubriken ”Den registrerades rätt att göra invändningar”, anges följande:

”Medlemsstaterna skall tillförsäkra den registrerade rätten att

a)      åtminstone i de fall som avses i artikel 7 e) och f) när som helst av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. När invändningen är berättigad får den behandling som påbörjats av den registeransvarige inte längre avse dessa uppgifter,

…”

      Artikel 24 i direktiv 95/46 har rubriken ”Sanktioner” och där anges följande:

”Medlemsstaterna skall anta lämpliga bestämmelser för att säkerställa att detta direktiv genomförs fullständigt och skall särskilt besluta om de sanktioner som skall användas vid överträdelse av de bestämmelser som antagits för att genomföra detta direktiv.”

      I artikel 28 i direktivet, som har rubriken ”Tillsynsmyndighet”, föreskrivs följande:

”1.      Varje medlemsstat skall tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av detta direktiv.

3.      Varje tillsynsmyndighet skall särskilt ha

–        undersökningsbefogenheter, såsom befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen,

–        effektiva befogenheter att ingripa, som till exempel att … kunna besluta om blockering, utplåning eller förstöring av uppgifter, att kunna besluta om tillfälligt eller slutligt förbud mot behandling …

Sådana beslut av tillsynsmyndigheten som går en part emot kan överklagas till domstol.

4.      Var och en kan, på egen hand eller företrädd av en organisation, vända sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Den berörda personen skall informeras om vilka följder hans begäran har fått.

6.      En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, behörighet att inom sin egen medlemsstats territorium utöva de befogenheter som i enlighet med punkt 3 åligger den. Varje myndighet kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter.

De övervakande myndigheterna skall i den utsträckning som det behövs samarbeta med varandra, särskilt genom att utbyta användbar information.

…”

 Förordning (EU) 2016/679

      Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2), som grundar sig på artikel 16 FEUF, är enligt artikel 99.2 tillämplig från och med den 25 maj 2018. I artikel 94.1 i förordningen anges att direktiv 95/46 ska upphöra att gälla med verkan från och med samma datum.

      Skälen 1, 4, 9–11, 13, 22–25 och 65 i nämnda förordning lyder enligt följande:

”(1)      Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 [FEUF] föreskriver att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

(4)      Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Denna förordning respekterar alla grundläggande rättigheter och iakttar de friheter och principer som erkänns i stadgan, såsom de fastställts i fördragen, särskilt skydd för privat- och familjeliv, … skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, …

(9)      … direktiv 95/46/EG … har inte kunnat förhindra bristande enhetlighet i genomförandet av dataskyddet i olika delar av unionen … Skillnader i nivån på skyddet … i olika medlemsstater kan förhindra det fria flödet av personuppgifter över hela unionen. Dessa skillnader kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå …

(10)      För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater …

(11)      Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och specificeras och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av personuppgifter klargörs, samt att det finns likvärdiga befogenheter för övervakning och att det säkerställs att reglerna för skyddet av personuppgifter efterlevs och att sanktionerna för överträdelser är likvärdiga i medlemsstaterna.

(13)      För att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer, … och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar, så att övervakningen av behandling av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt. För att den inre marknaden ska fungera väl krävs att det fria flödet av personuppgifter inom unionen inte begränsas eller förbjuds av skäl som har anknytning till skydd för fysiska personer med avseende på behandling av personuppgifter. …

(22)      All behandling av personuppgifter inom ramen för den verksamhet som bedrivs på personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen inom unionen bör ske i överensstämmelse med denna förordning, oavsett om behandlingen i sig äger rum inom unionen. …

(23)      För att fysiska personer inte ska fråntas det skydd som denna förordning ger dem bör sådan behandling av personuppgifter om registrerade personer som befinner sig i unionen vilken utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad inom unionen omfattas av denna förordning, om behandlingen avser utbjudande av varor eller tjänster inom unionen till de registrerade, oavsett om detta är kopplat till en betalning. I syfte att avgöra om en personuppgiftsansvarig eller ett personuppgiftsbiträde erbjuder varor eller tjänster till registrerade som befinner sig i unionen bör man fastställa om det är uppenbart att den personuppgiftsansvarige eller personuppgiftsbiträdet avser att erbjuda tjänster till registrerade i en eller flera av unionens medlemsstater. …

(24)      Den behandling av personuppgifter som avser registrerade som befinner sig i unionen som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen bör också omfattas av denna förordning, om den hör samman med övervakningen av de registrerade personernas beteende när de befinner sig i unionen. För att avgöra huruvida en viss behandling kan anses övervaka beteendet hos registrerade, bör det fastställas om fysiska personer spåras på internet, och om personuppgifterna därefter behandlas med hjälp av teknik som profilerar fysiska personer, i synnerhet för att fatta beslut rörande honom eller henne eller för att analysera eller förutsäga hans eller hennes personliga preferenser, beteende och attityder.

(25)      Om medlemsstaternas nationella rätt är tillämplig i kraft av folkrätten, bör denna förordning också vara tillämplig på personuppgiftsansvariga som inte är etablerade inom unionen, exempelvis i en medlemsstats diplomatiska beskickning eller konsulat.

(65)      Den registrerade bör ha … en rätt att bli bortglömd, om lagringen av uppgifterna strider mot denna förordning eller unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av … Ytterligare lagring av personuppgifterna bör dock vara laglig, om detta krävs för att utöva yttrandefrihet och informationsfrihet …”

      Artikel 3 i förordning 2016/679, med rubriken ”Territoriellt tillämpningsområde”, har följande lydelse:

”1.      Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs på personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen inom unionen, oavsett om behandlingen utförs i unionen eller inte.

2.      Denna förordning ska tillämpas på behandling av personuppgifter som avser registrerade som befinner sig i unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen, om behandlingen har anknytning till

a)      utbjudande av varor eller tjänster till sådana registrerade i unionen, oavsett om dessa varor eller tjänster erbjuds kostnadsfritt eller inte, eller

b)      övervakning av deras beteende så länge beteendet sker inom unionen.

3.      Denna förordning ska tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten.”

      I artikel 4.23 i förordningen definieras begreppet ”gränsöverskridande behandling” på följande sätt

”a)      behandling av personuppgifter som äger rum inom ramen för verksamhet vid verksamhetsställen i mer än en medlemsstat tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen, när den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat, eller

b)      behandling av personuppgifter som äger rum inom ramen för verksamhet vid ett enda verksamhetsställe tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen men som i väsentlig grad påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat.”

      Artikel 17 i förordningen, med rubriken ”Rätt till radering (’rätten att bli bortglömd’)”, har följande lydelse:

”1.      Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

a)      Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

b)      Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a eller artikel 9.2 a och det finns inte någon annan rättslig grund för behandlingen.

c)      Den registrerade invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2.

d)      Personuppgifterna har behandlats på olagligt sätt.

e)      Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.

f)      Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i artikel 8.1.

3.      Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:

a)      För att utöva rätten till yttrande- och informationsfrihet.

…”

      Artikel 21 i samma förordning har rubriken ”Rätt att göra invändningar”. I artikel 21.1 föreskrivs följande:

”Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f, inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.”

      Artikel 55 i förordning 2016/679, med rubriken ”Behörighet”, ingår i kapitel VI i denna förordning, som i sin tur har rubriken ”Oberoende tillsynsmyndigheter”. I artikel 55.1 föreskrivs följande:

”Varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt denna förordning inom sin egen medlemsstats territorium.”

      I artikel 56 i förordningen, som har rubriken ”Den ansvariga tillsynsmyndighetens behörighet”, föreskrivs följande:

”1.      Utan att det påverkar tillämpningen av artikel 55 ska tillsynsmyndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller enda verksamhetsställe vara behörig att agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling i enlighet med det förfarande som föreskrivs i artikel 60.

2.      Genom undantag från punkt 1 ska varje tillsynsmyndighet vara behörig att behandla ett klagomål som lämnats in till denna eller en eventuell överträdelse av denna förordning, om sakfrågan i ärendet endast rör ett verksamhetsställe i medlemsstaten eller i väsentlig grad påverkar registrerade endast i medlemsstaten.

3.      I de fall som avses i punkt 2 i den här artikeln ska tillsynsmyndigheten utan dröjsmål informera den ansvariga tillsynsmyndigheten om detta ärende. Inom tre veckor från det att den underrättats ska den ansvariga tillsynsmyndigheten besluta huruvida den kommer att behandla ärendet i enlighet med det förfarande som föreskrivs i artikel 60, med hänsyn till huruvida den personuppgiftsansvarige eller personuppgiftsbiträdet har eller inte har ett verksamhetsställe som är beläget i den medlemsstat där den tillsynsmyndighet som lämnat informationen är belägen.

4.      Om den ansvariga tillsynsmyndigheten beslutar att behandla ärendet ska det ske i enlighet med det förfarande som föreskrivs i artikel 60. Den tillsynsmyndighet som underrättade den ansvariga tillsynsmyndigheten får lämna in ett utkast till beslut till den ansvariga tillsynsmyndigheten. Den ansvariga tillsynsmyndigheten ska ta största möjliga hänsyn till detta utkast till beslut när den utarbetar det utkast till beslut som avses i artikel 60.3.

5.      Om den ansvariga tillsynsmyndigheten beslutar att inte behandla ärendet ska den tillsynsmyndighet som underrättade den ansvariga tillsynsmyndigheten behandla ärendet i enlighet med artiklarna 61 och 62.

6.      Den ansvariga tillsynsmyndigheten ska vara den personuppgiftsansvariges eller personuppgiftsbiträdets enda motpart när det gäller den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling.”

      Artikel 58 i samma förordning har rubriken ”Befogenheter”. I artikel 58.2 föreskrivs följande:

”Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter

g)      Förelägga om … radering av personuppgifter … enligt artiklarna … 17 ….

i)      Påföra administrativa sanktionsavgifter … utöver eller i stället för de åtgärder som avses i detta stycke, beroende på omständigheterna i varje enskilt fall.”

      I kapitel VII i förordning 2016/679, med rubriken ”Samarbete och enhetlighet” återfinns avsnitt I som har rubriken ”Samarbete” och innehåller artiklarna 60–62. I artikel 60, som har rubriken ”Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna”, föreskrivs följande:

”1.      Den ansvariga tillsynsmyndigheten ska samarbeta med de andra berörda tillsynsmyndigheterna i enlighet med denna artikel i en strävan att uppnå samförstånd. Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna ska utbyta all relevant information med varandra.

2.      Den ansvariga tillsynsmyndigheten får när som helst begära att andra berörda tillsynsmyndigheter ger ömsesidigt bistånd i enlighet med artikel 61 och får genomföra gemensamma insatser i enlighet med artikel 62, i synnerhet för att utföra utredningar eller övervaka genomförandet av en åtgärd som avser en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i en annan medlemsstat.

3.      Den ansvariga tillsynsmyndigheten ska utan dröjsmål meddela de andra berörda tillsynsmyndigheterna den relevanta informationen i ärendet. Den ska utan dröjsmål lägga fram ett utkast till beslut för de andra berörda tillsynsmyndigheterna så att de kan avge ett yttrande och ta vederbörlig hänsyn till deras synpunkter.

4.      Om någon av de andra berörda tillsynsmyndigheterna inom en period av fyra veckor efter att de har rådfrågats i enlighet med punkt 3 i den här artikeln uttrycker en relevant och motiverad invändning mot utkastet till beslut ska den ansvariga tillsynsmyndigheten, om den inte instämmer i den relevanta och motiverade invändningen eller anser att invändningen inte är relevant eller motiverad, överlämna ärendet till den mekanism för enhetlighet som avses i artikel 63.

5.      Om den ansvariga tillsynsmyndigheten avser att följa den relevanta och motiverade invändningen ska den till de andra berörda tillsynsmyndigheterna överlämna ett reviderat utkast till beslut så att de kan avge ett yttrande. Detta reviderade utkast till beslut ska omfattas av det förfarande som avses i punkt 4 inom en period av två veckor.

6.      Om ingen av de andra berörda tillsynsmyndigheterna har gjort invändningar mot det utkast till beslut som den ansvariga tillsynsmyndigheten har lagt fram inom den period som avses i punkterna 4 och 5 ska den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna anses samtycka till detta utkast till beslut och ska vara bundna av det.

7.      Den ansvariga tillsynsmyndigheten ska anta och meddela beslutet till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda verksamhetsställe, allt efter omständigheterna, och underrätta de andra berörda tillsynsmyndigheterna och styrelsen om beslutet i fråga, inbegripet en sammanfattning av relevanta fakta och en relevant motivering. Den tillsynsmyndighet till vilken ett klagomål har lämnats in ska underrätta den enskilde om beslutet.

8.      Om ett klagomål avvisas eller avslås ska den tillsynsmyndighet till vilken klagomålet lämnades in, genom undantag från punkt 7, anta beslutet och meddela den enskilde samt informera den personuppgiftsansvarige.

9.      Om den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna är överens om att avvisa eller avslå delar av ett klagomål och att vidta åtgärder beträffande andra delar av klagomålet ska ett separat beslut antas för var och en av dessa delar av frågan …

10.      Efter att den personuppgiftsansvarige eller personuppgiftsbiträdet har meddelats om den ansvariga myndighetens beslut i enlighet med punkterna 7 och 9 ska den personuppgiftsansvarige eller personuppgiftsbiträdet vidta nödvändiga åtgärder för att se till att beslutet efterlevs vad gäller behandling med koppling till alla deras verksamhetsställen i unionen. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska meddela den ansvariga tillsynsmyndigheten vilka åtgärder som har vidtagits för att efterleva beslutet, och den ansvariga tillsynsmyndigheten ska informera de andra berörda tillsynsmyndigheterna.

11.      Om en berörd tillsynsmyndighet under exceptionella omständigheter har skäl att anse att det finns ett brådskande behov av att agera för att skydda registrerades intressen ska det skyndsamma förfarande som avses i artikel 66 tillämpas.

…”

      Artikel 61 i nämnda förordning har rubriken ”Ömsesidigt bistånd”. I artikel 61.1 anges följande:

”Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning på ett enhetligt sätt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Det ömsesidiga biståndet ska i synnerhet omfatta begäranden om information och tillsynsåtgärder, till exempel begäranden om utförande av förhandstillstånd och förhandssamråd, inspektioner och utredningar.”

      Artikel 62 i samma förordning har rubriken ”Tillsynsmyndigheters gemensamma insatser” och innehåller följande bestämmelser:

”1.      Tillsynsmyndigheter ska vid behov genomföra gemensamma insatser, inbegripet gemensamma utredningar och gemensamma verkställighetsåtgärder i vilka ledamöter eller personal från andra medlemsstaters tillsynsmyndigheter deltar.

2.      Om den personuppgiftsansvarige eller personuppgiftsbiträdet har verksamhetsställen i flera medlemsstater eller om ett betydande antal registrerade personer i mer än en medlemsstat sannolikt kommer att påverkas i väsentlig grad av att uppgifter behandlas, ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i de gemensamma insatserna …”

      Avsnitt 2, med rubriken ”Enhetlighet”, som ingår i kapitel VII i förordning 2016/679, innehåller artiklarna 63–67. Artikel 63, som har rubriken ”Mekanism för enhetlighet”, lyder enligt följande:

”För att bidra till en enhetlig tillämpning av denna förordning i hela unionen ska tillsynsmyndigheterna samarbeta med varandra och, i förekommande fall, med kommissionen, genom den mekanism för enhetlighet som föreskrivs i detta avsnitt.”

      I artikel 65 i nämnda förordning har rubriken ”Tvistlösning genom styrelsen”. I artikel 65.1 föreskrivs följande:

”För att säkerställa en korrekt och enhetlig tillämpning av denna förordning i enskilda fall ska styrelsen anta ett bindande beslut i följande fall:

a)      Om en berörd tillsynsmyndighet i ett fall som avses i artikel 60.4 har gjort en relevant och motiverad invändning mot ett utkast till beslut av den ansvariga tillsynsmyndigheten och den ansvariga tillsynsmyndigheten inte har instämt i invändningen eller har avslagit denna invändning med motiveringen att den inte var relevant eller motiverad. Det bindande beslutet ska avse alla ärenden som är föremål för den relevanta och motiverade invändningen, särskilt frågan om huruvida det föreligger en överträdelse av denna förordning.

b)      Om det finns motstridiga åsikter om vilken av de berörda tillsynsmyndigheterna som är behörig för det huvudsakliga verksamhetsstället.

…”

      Artikel 66 i samma förordning har rubriken ”Skyndsamt förfarande”. I artikel 66.1 föreskrivs följande:

”Under exceptionella omständigheter får en berörd tillsynsmyndighet med avvikelse från den mekanism för enhetlighet som avses i artiklarna 63, 64 och 65 eller det förfarande som avses i artikel 60 omedelbart vidta provisoriska åtgärder avsedda att ha rättsverkan på det egna territoriet och med förutbestämd varaktighet som inte överskrider tre månader, om den anser att det finns ett brådskande behov av att agera för att skydda registrerades rättigheter och friheter. Tillsynsmyndigheten ska utan dröjsmål underrätta de andra berörda tillsynsmyndigheterna, styrelsen och kommissionen om dessa åtgärder och om skälen till att de vidtas.”

      I artikel 85 i förordning nr 2016/679, som har rubriken ”Behandling och yttrande- och informationsfriheten”, föreskrivs följande:

”1.      Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

2.      Medlemsstaterna ska, för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, fastställa undantag eller avvikelser från kapitel II (principer), kapitel III (den registrerades rättigheter), kapitel IV (personuppgiftsansvarig och personuppgiftsbiträde), kapitel V (överföring av personuppgifter till tredjeländer eller internationella organisationer), kapitel VI (oberoende tillsynsmyndigheter), kapitel VII (samarbete och enhetlighet) och kapitel IX (särskilda situationer vid behandling av personuppgifter) om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten.

…”

 Fransk rätt

      Direktiv 95/46 införlivades med fransk rätt genom loi no 78-17 relative à l’informatique, aux fichiers et aux libertés (lag nr 78-17 om databehandling, register och friheter) av den 6 januari 1978 i den lydelse som är tillämplig på omständigheterna i det nationella målet (nedan kallad lagen av den 6 januari 1978).

      Det framgår av artikel 45 i denna lag att om den registeransvarige inte uppfyller sina skyldigheter enligt lagen kan CNIL:s ordförande genom föreläggande förplikta vederbörande att vidta rättelse inom den frist som ordföranden fastställer. Om den registeransvarige inte rättar sig efter föreläggandet kan CNIL i liten sammansättning efter ett kontradiktoriskt förfarande fatta beslut om bland annat ekonomiska sanktioner.  

 Målet vid den nationella domstolen och tolkningsfrågorna

      Genom beslut av den 21 maj 2015 utfärdade CNIL:s ordförande ett föreläggande mot Google. Föreläggandet innebar att när en fysisk person har begärt att länkar till vissa webbsidor ska tas bort från den träfflista som visas vid en sökning på personens namn, och Google efterkommer denna begäran, så är bolaget skyldigt att se till att länkarna tas bort oavsett vilken toppdomän som har använts vid sökningen i Googles sökmotor.

      Google vägrade att efterkomma föreläggandet, och inskränkte sig till att ta bort länkarna från de sökresultat som visas när den version av Googles sökmotor som har använts motsvarar en medlemsstats landsdomän.

      Vidare fann CNIL att det inte räckte med de ytterligare åtgärder i form av en ”geoblockering” som Google, efter utgången av fristen för föreläggandet, erbjöd sig att vidta och som innebär att det blir omöjligt att från en IP-adress (Internet Protocol address) som anses vara knuten till den berörda personens bosättningsstat komma åt de omtvistade sökträffarna vid en sökning på personens namn, oberoende av den använda sökmotorns toppdomän.

      Vid en överläggning som ägde rum den 10 mars 2016 fattade CNIL, efter att ha konstaterat att Google inte hade rättat sig efter föreläggandet inom den angivna fristen, ett – därefter offentliggjort – beslut om att påföra bolaget en sanktionsavgift om 100 000 euro.

      Google överklagade beslutet till Conseil d’État (Högsta förvaltningsdomstolen, Frankrike), och yrkade att detta skulle ogiltigförklaras.

      Conseil d’État (Högsta förvaltningsdomstolen) konstaterade att lagen av den 6 januari 1978, med beaktande av den marknadsföring och försäljning av reklamutrymme som Google bedriver i Frankrike genom sitt dotterbolag Google France, är tillämplig på den behandling av personuppgifter som utförs av Googles sökmotor.

      Conseil d’État (Högsta förvaltningsdomstolen) påpekade vidare att Googles sökmotor använder olika geografiska toppdomäner för att anpassa visningen av sökresultaten till den situation – bland annat språksituationen – som råder i de olika länder där bolaget är verksamt. När en sökning görs från ”google.com” ser Google i princip till att sökningen automatiskt dirigeras om till toppdomänen för det land där sökningen, enligt vad som framgår av identifieringen av internetanvändarens IP-adress, har utförts. Internetanvändaren har dock alltid möjlighet att, oavsett var han eller hon befinner sig, utföra sina sökningar i sökmotorn från andra toppdomäner. Även om sökresultaten kan variera beroende på från vilken toppdomän sökningen har utförts i sökmotorn påstås det vara vedertaget att de sökträffar som visas härrör från gemensamma databaser och ett gemensamt indexeringsarbete.

      Conseil d’État (Högsta förvaltningsdomstolen) anser att med beaktande av dels att Googles sökmotors samtliga toppdomäner är åtkomliga från franskt territorium, dels att det finns ”broar” mellan dessa olika domäner, något som bland annat illustreras av den automatiska omdirigeringen och av de kakor (”cookies”) som återfinns även på andra toppdomäner för sökmotorn än den där de ursprungligen lades in, ska denna sökmotor – som för övrigt inte har blivit föremål för mer än en anmälan till CNIL – vid tillämpningen av lagen av den 6 januari 1978 anses utföra en enda behandling av personuppgifter. Av detta följer att Googles sökmotors behandling av personuppgifter sker inom ramen för ett av Googles verksamhetsställen, Google France, som är etablerat på franskt territorium, och som därmed omfattas av lagen av den 6 januari 1978.

      Google anförde vid Conseil d’État (Högsta förvaltningsdomstolen) att den omtvistade sanktionsåtgärden grundas på en felaktig tolkning av de bestämmelser i lagen av den 6 januari 1978 som införlivar artikel 12 b och artikel 14 första stycket a i direktiv 95/46 med fransk rätt, vilka artiklar låg till grund för EU-domstolens erkännande av en ”rätt till borttagande av länkar” i domen av den 13 maj 2014, Google Spain och Google (C‑131/12, EU:C:2014:317). Google gjorde gällande att denna rätt inte nödvändigtvis innebär att länkarna ska tas bort, utan någon geografisk begränsning, från sökmotorns samtliga domäner. Genom att göra en sådan tolkning har CNIL enligt Google åsidosatt de folkrättsligt erkända principerna om hövlighet och icke-inblandning och på ett oproportionerligt sätt inskränkt den yttrandefrihet, informationsfrihet och spridningsrätt som bland annat garanteras i artikel 11 i stadgan.

      Efter att ha konstaterat att dessa argument ger upphov till ett flertal allvarliga tolkningsproblem med avseende på direktiv 95/46 beslutade Conseil d’État (Högsta förvaltningsdomstolen) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

”1)      Ska den ’rätt till borttagande av länkar’ som [EU-domstolen] erkände i domen av den 13 maj 2014 [Google Spain och Google (C‑131/12, EU:C:2014:317)] på grundval av bestämmelserna i artiklarna 12 b och 14 [första stycket] a i direktiv [95/46] tolkas så, att en sökmotorleverantör som efterkommer en begäran om borttagande av länkar måste ta bort dessa länkar från samtliga av sökmotorns toppdomäner, så att de omtvistade länkarna inte längre visas oavsett från vilken plats sökningen på namnet på den person som har framställt begäran görs, inte ens om den görs från en plats utanför det geografiska tillämpningsområdet för direktiv [95/46]?

2)      För den händelse att den första frågan ska besvaras nekande, ska då den ’rätt till borttagande av länkar’ som [EU-domstolen] erkände i den ovannämnda domen tolkas så, att en sökmotorleverantör som efterkommer en begäran om borttagande av länkar endast är skyldig att ta bort de länkar som visas vid en sökning på namnet på den person som har framställt begäran från sökmotorns toppdomän för det land där begäran anses ha framställts, eller ska nämnda rätt ges en mer allmän tolkning som innebär att denna skyldighet för sökmotorleverantören gäller för samtliga av sökmotorns domännamn som motsvarar medlemsstaternas landsdomäner …?

3)      Ska vidare den ’rätt till borttagande av länkar’ som [EU-domstolen] erkände i den ovannämnda domen tolkas så, att en sökmotorleverantör som efterkommer en begäran om borttagande av länkar, utöver att fullgöra den i [den andra frågan] angivna skyldigheten, även måste avlägsna, med hjälp av tekniken ’geoblockering’, de omtvistade länkarna från den träfflista som visas vid en sökning på namnet på den person vars ’rätt till borttagande av länkar’ är i fråga som utförs från en IP-adress vilken anses vara knuten till den berörda personens bosättningsstat, eller ska nämnda rätt till och med ges en ännu mer allmän tolkning som innebär att denna skyldighet gäller för samtliga sökningar som utförs från en IP-adress som anses vara knuten till någon av de medlemsstater som omfattas av [direktiv [95/46], detta oberoende av vilken av sökmotorns toppdomäner som den internetanvändare som utför sökningen använder?”

 Prövning av tolkningsfrågorna

      Målet vid den nationella domstolen har sin upprinnelse i en tvist mellan Google och CNIL som handlar om på vilket sätt en sökmotorleverantör ska genomföra rätten till borttagande av länkar när den konstaterar att den registrerade har rätt att få en eller flera länkar till webbsidor med personuppgifter om den registrerade personen raderade från den lista över sökresultat som visas vid en sökning på den berörda personens namn. Direktiv 95/46 var tillämpligt när begäran om förhandsavgörande framställdes, men upphävdes med verkan från och med den 25 maj 2018, då förordning 2016/679 blev tillämplig.

      EU-domstolen kommer att pröva tolkningsfrågorna mot bakgrund av både direktivet och förordningen, för att se till att svaren på frågorna under alla omständigheter blir användbara för den hänskjutande domstolen.

      Under förfarandet vid EU-domstolen har Google uppgett att bolaget efter det att begäran om förhandsavgörande framställdes införde en ny utformning av de nationella versionerna av sökmotorn som innebär att det domännamn som internetanvändaren anger inte längre är avgörande för vilken nationell version av sökmotorn som vederbörande kommer till. Hädanefter kommer en internetanvändare således automatiskt att dirigeras till den nationella version av Googles sökmotor som svarar mot den plats från vilken internetanvändaren förutsätts utföra sin sökning. Visningen av sökresultaten kommer att variera beroende på vilken denna plats är. Platsen kommer att fastställas av Google med hjälp av geolokalisering.

      Under dessa förhållanden ska tolkningsfrågorna, som ska prövas gemensamt, uppfattas så, att de handlar om huruvida artikel 12 b och artikel 14 första stycket a i direktiv 95/46 samt artikel 17.1 i förordning 2016/679 ska tolkas på så sätt att en sökmotorleverantör, som efterkommer en begäran om borttagande av länkar med tillämpning av dessa bestämmelser, är skyldig att se till att borttagandet omfattar samtliga versioner av dess sökmotor eller om dennes skyldighet – tvärtom – endast gäller för de versioner av sökmotorn som motsvarar medlemsstaternas landsdomäner, eller till och med endast för den version av sökmotorn som motsvarar landsdomänen för den medlemsstat där begäran om borttagande har lämnats in, vid behov i kombination med användning av den teknik som kallas geoblockering, för att säkerställa att en internetanvändare inte kan komma åt de länkar som ska tas bort, oavsett vilken nationell version av sökmotorn som används, när internetanvändaren gör sökningen från en IP-adress som anses vara knuten till den stat där den person som har rätt till borttagande av länkar är bosatt.

      Först och främst ska det erinras om att EU-domstolen har slagit fast att artikel 12 b och artikel 14 första stycket a i direktiv 95/46 ska tolkas så, att sökmotorleverantören, för att iaktta de rättigheter som föreskrivs i dessa bestämmelser och i den mån villkoren i dessa bestämmelser faktiskt är uppfyllda, är skyldig att från listan över sökresultat, som visas till följd av en sökning på en persons namn, avlägsna länkar till webbsidor som publicerats av tredje män och som innehåller information om denna person, även för det fall detta namn eller denna information inte tidigare eller samtidigt avlägsnas från dessa webbsidor och, i förekommande fall, även om själva publiceringen av namnet eller informationen på nämnda webbsidor är laglig (dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 88).

      Därutöver har domstolen preciserat att det vid prövningen av villkoren för att tillämpa dessa bestämmelser, bland annat ska undersökas huruvida den berörda personen har en rätt att förhindra att informationen rörande hans eller hennes person inte längre, i det aktuella skedet, ska kopplas till dennes namn genom en lista över sökresultat som visas efter det att en sökning gjorts på personens namn. För att en sådan rätt ska anses föreligga krävs det inte att den berörda personen orsakas skada av att informationen i fråga återfinns i listan över sökresultat. Eftersom den berörda personen, med beaktande av dennes grundläggande rättigheter enligt artiklarna 7 och 8 i stadgan, kan begära att informationen i fråga inte längre ska göras tillgänglig för den breda allmänheten genom att tas med i en sådan lista över sökresultat, väger dessa rättigheter i princip inte bara tyngre än sökmotorleverantörens ekonomiska intressen, utan också tyngre än den breda allmänhetens intresse av att få tillgång till denna information vid en sökning på den berörda personens namn. Så är emellertid inte fallet om ingreppet i den berörda personens grundläggande rättigheter av särskilda skäl, såsom den roll den berörda personen spelar i det offentliga livet, är motiverat av den breda allmänhetens övervägande intresse av att få tillgång till informationen i fråga genom att den tas med i listan över sökresultat (dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 99).

      Inom ramen för förordning 2016/679 har den berörda personens rätt till borttagande av länkar numera sin grund i artikel 17 i förordningen, som specifikt reglerar ”rätten till radering”. I artikelns rubrik kallas den även för ”rätten att bli bortglömd”.

      Enligt artikel 17.1 i förordning nr 2016/679 ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera dessa uppgifter om något av de fall som räknas upp i den bestämmelsen föreligger. I artikel 17.3 i denna förordning preciseras att nämnda artikel 17.1 inte ska gälla i den utsträckning som behandlingen är nödvändig av något av de skäl som räknas upp i artikel 17.3. Ett av de skäl som artikel 17.3 a i nämnda förordning täcker in är att rätten till informationsfrihet måste kunna utövas.

      Det följer av artikel 4.1 a i direktiv 95/46 och av artikel 3.1 i förordning 2016/679 att både direktivet och förordningen gör det möjligt för registrerade personer att göra gällande sin rätt till borttagande av länkar mot en sökmotorleverantör som förfogar över ett eller flera verksamhetsställen inom unionen om denne behandlar personuppgifter som rör dessa personer inom ramen för dessa verksamhetsställen, detta oavsett om behandlingen utförs i unionen eller inte.

      Domstolen har slagit fast att det utförs en behandling av personuppgifter som ett led i verksamheten vid ett etableringsställe tillhörande den registeransvarige på en medlemsstats territorium när sökmotorleverantören etablerar en filial eller ett dotterbolag i en medlemsstat för att marknadsföra och sälja reklamutrymme hos sökmotorn, och filialen eller dotterbolagets verksamhet är riktad mot invånarna i den medlemsstaten (dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 60).

      Under sådana förhållanden har nämligen sökmotorleverantörens verksamhet och den verksamhet som bedrivs av etableringsstället i unionen ett oupplösligt samband, eftersom verksamheten avseende marknadsföring och försäljning av reklamutrymme är det som gör sökmotorn ekonomiskt lönsam och sökmotorn samtidigt är det som gör att verksamheten avseende marknadsföring och försäljning av reklamutrymme kan genomföras, och eftersom träfflistan och den reklam som har ett samband med sökorden visas på samma sida (se, för ett liknande resonemang, dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkterna 56 och 57).

      Under dessa förhållanden kan den omständigheten att sökmotorn tillhandahålls av ett företag i en stat utanför unionen inte medföra att ett undantag från skyldigheterna och garantierna i direktiv 95/46 och förordning 2016/679 ska gälla för den behandling av personuppgifter som, för att sökmotorn ska fungera, utförs som ett led i den reklamrelaterade och kommersiella verksamhet som bedrivs av den registeransvariges etableringsställe på en medlemsstats territorium (se, för ett liknande resonemang, dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 58).

      I förevarande fall framgår det av de uppgifter som lämnats i begäran om förhandsavgörande dels att Googles etableringsställe i Frankrike bedriver verksamhet, bland annat reklamrelaterad och kommersiell sådan, som är oupplösligt förbunden med den behandling av personuppgifter som utförs för att sökmotorn ska fungera, dels att denna sökmotor, bland annat med beaktande av de ”broar” som existerar mellan dess olika nationella versioner, ska anses utföra en enda behandling av personuppgifter. Den hänskjutande domstolen anser att nämnda behandling under dessa omständigheter ska anses utföras inom ramen för verksamhet vid Googles etableringsställe i Frankrike. Det framgår således att en sådan situation omfattas av det territoriella tillämpningsområdet för direktiv 95/46 och förordning 2016/679.

      Den hänskjutande domstolen har ställt sina frågor för att få klarhet i vilken territoriell räckvidd som borttagandet av länkar ska ges i en sådan här situation.

      Det framgår av skäl 10 i direktiv 95/46 och av skälen 10, 11 och 13 i förordning 2016/679, som antogs med stöd av artikel 16 FEUF, att målet med direktivet och förordningen är att säkerställa en hög skyddsnivå för personuppgifter i hela unionen.

      Detta mål kan mycket riktigt uppfyllas till fullo om länkarna tas bort från samtliga versioner av en sökmotor.

      Internet är nämligen ett världsomspännande nätverk utan gränser, och sökmotorerna gör att den information och de länkar som visas i träfflistan vid en sökning på namnet på en fysisk person finns tillgängliga överallt på samma gång (se, för ett liknande resonemang, dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 80, och dom av den 17 oktober 2017, Bolagsupplysningen och Ilsjan, C‑194/16, EU:C:2017:766, punkt 48).

      Domstolen finner således att då vi lever i en globaliserad värld kan det faktum att internetanvändare, bland annat de som befinner sig utanför unionen, ges tillgång till länkar till information om en person vars huvudsakliga intressen finns inom unionen, få omedelbara och väsentliga verkningar för denna person inom unionen.

      Sådana överväganden kan tala för att unionslagstiftaren bör vara behörig att föreskriva en skyldighet för sökmotorleverantörer att, när dessa efterkommer en begäran om borttagande av länkar som framställts av en sådan person, ta bort länkarna från samtliga versioner av sökmotorn.

      Det ska dock understrykas att det finns många stater utanför unionen som antingen inte erkänner någon rätt till borttagande av länkar eller som har en annan inställning till denna rättighet.

      Dessutom är rätten till skydd för personuppgifter inte någon absolut rättighet, utan den ska ses mot bakgrund av dess funktion i samhället och vägas mot andra grundläggande rättigheter, i enlighet med proportionalitetsprincipen (se, för ett liknande resonemang, dom av den 9 november 2010, Volker und Markus Schecke och Eifert, C‑92/09 och C‑93/09, EU:C:2010:662, punkt 48, och yttrande 1/15 (avtal om passageraruppgifter EU–Kanada), av den 26 juli 2017, EU:C:2017:592, punkt 136). Till detta kommer att balansen mellan å ena sidan rätten till respekt för privatlivet och skyddet för personuppgifter och å andra sidan internetanvändarnas informationsfrihet kan variera avsevärt beroende på var i världen man befinner sig.

      Unionslagstiftaren har visserligen i artikel 17.3 a i förordning 2016/679 gjort en avvägning mellan denna rättighet och denna frihet vad gäller unionen (se, för ett liknande resonemang, den dom som meddelas i dag i målet GC m.fl. (Borttagande av länkar till känsliga uppgifter), C‑136/17, punkt 59). Den har däremot hittills inte gjort någon sådan avvägning beträffande borttagandet av sökträffar utanför unionen.

      Framför allt följer det inte på något sätt av ordalydelsen i artikel 12 b och artikel 14 första stycket a i direktiv 95/46 eller i artikel 17 i förordning 2016/679 att unionslagstiftaren, i syfte att säkerställa förverkligandet av det mål som nämns ovan i punkt 54, skulle ha valt att tillerkänna de rättigheter som stadgas i dessa bestämmelser räckvidd utöver medlemsstaternas territorier och att den skulle ha haft för avsikt att tvinga en aktör som är underkastad direktivet eller förordningen, såsom Google, att ta bort sökträffar även från de nationella versioner av dess sökmotor som inte motsvarar medlemsstaternas landsdomäner.

      För övrigt konstaterar domstolen att förordning 2016/679, genom artiklarna 56 och 60–66, ger medlemsstaternas tillsynsmyndigheter de instrument och mekanismer de behöver för att, vid behov, samarbeta för att nå fram till ett gemensamt beslut grundat på en avvägning mellan å ena sidan den registrerades rätt till respekt för sitt privatliv och till skydd för personuppgifter som rör honom eller henne och å andra sidan det intresse som allmänheten i olika medlemsstater har av att få tillgång till viss information, men att unionsrätten i nuläget inte innehåller några sådana instrument och mekanismer för samarbete när det gäller borttagande av länkar utanför unionen.

      Av detta följer att en sökmotorleverantör som efterkommer en begäran om borttagande av länkar som framställts av en registrerad person, i förekommande fall efter ett föreläggande från en tillsynsmyndighet eller en domstol i en medlemsstat, för närvarande inte har någon skyldighet enligt unionsrätten att ta bort länkarna från samtliga versioner av dess sökmotor.

      Mot bakgrund av samtliga dessa överväganden finner domstolen att en sökmotorleverantör inte kan vara skyldig, enligt artikel 12 b och artikel 14 första stycket a i direktiv 95/46 och artikel 17.1 i förordning 2016/679, att ta bort länkarna från samtliga versioner av dess sökmotor.

      När det gäller frågan huruvida ett sådant borttagande ska omfatta samtliga versioner av sökmotorn som motsvarar medlemsstaternas landsdomäner eller om det endast ska omfatta den version av sökmotorn som motsvarar landsdomänen för den stat där den person som har rätt till borttagandet av länkar är bosatt gör EU-domstolen följande bedömning. Bland annat det faktum att unionslagstiftaren har valt att uppgiftsskyddet hädanefter ska vara reglerat genom en förordning, som är direkt tillämplig i samtliga medlemsstater, och att unionslagstiftaren – såsom understryks i skäl 10 i förordning 2016/679 – har gjort detta för att säkra en enhetlig och hög skyddsnivå i hela unionen och för att se till att hindren för uppgiftsflödena inom unionen undanröjs, visar att det i princip förutsätts att borttagandet i fråga ska ske med avseende på samtliga medlemsstater.

      Det ska dock konstateras att allmänhetens intresse av att få tillgång till viss information kan variera, till och med inom unionen, från en medlemsstat till en annan – så att den avvägning som ska göras mellan å ena sidan detta intresse, och å andra sidan rätten till respekt för privatlivet och skyddet för personuppgifter som rör den registrerade, inte nödvändigtvis leder till samma resultat för samtliga medlemsstater – särskilt med hänsyn till att det enligt artikel 9 i direktiv 95/46 och artikel 85 i förordning 2016/679 ankommer på medlemsstaterna att, bland annat med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande, besluta om de undantag och avvikelser som är nödvändiga för att jämka samman dessa rättigheter med, bland annat, informationsfriheten.

      Det framgår bland annat av artiklarna 56 och 60 i förordning 2016/679 att de berörda nationella tillsynsmyndigheterna, när det gäller gränsöverskridande behandling i den mening som avses i artikel 4.23 i förordningen, och med förbehåll för vad som anges i artikel 56.2, ska samarbeta i enlighet med det förfarande som föreskrivs i dessa bestämmelser, för att uppnå ett samförstånd och ett enda beslut. Beslutet är bindande för samtliga dessa myndigheter och den personuppgiftsansvarige ska se till att beslutet efterlevs vad gäller behandling med koppling till alla sina verksamhetsställen i unionen. Vidare är tillsynsmyndigheterna enligt artikel 61.1 i förordning 2016/679 bland annat skyldiga att utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning på ett enhetligt sätt inom hela unionen, och i artikel 63 i nämnda förordning preciseras att det är för detta ändamål som man har infört mekanismen för enhetlighet enligt artiklarna 64 och 65 i samma förordning. Slutligen införs genom artikel 66 i förordning 2016/679 ett brådskande förfarande. Enligt detta får en berörd tillsynsmyndighet, under exceptionella omständigheter, omedelbart vidta provisoriska åtgärder avsedda att ha rättsverkan på det egna territoriet och med förutbestämd varaktighet som inte överskrider tre månader, om den anser att det finns ett brådskande behov av att agera för att skydda registrerades rättigheter och friheter.

      Detta regelverk ger således de nationella tillsynsmyndigheterna de instrument och mekanismer som är nödvändiga för man ska kunna jämka samman rätten till respekt för privatlivet och till skydd för personuppgifter som rör den registrerade med det intresse som allmänheten i sin helhet i medlemsstaterna har av att få tillgång till informationen i fråga och, således, för att man vid behov ska kunna besluta om borttagande av länkar med avseende på samtliga sökningar på personens namn som görs från unionens territorium.

      Dessutom åligger det sökmotorleverantören att vid behov vidta åtgärder som är tillräckligt effektiva för att säkerställa ett verkningsfullt skydd av den registrerades grundläggande rättigheter. Dessa åtgärder måste i sig uppfylla samtliga rättsliga krav och hindra, eller åtminstone i betydande utsträckning avhålla, internetanvändarna i medlemsstaterna från att skaffa sig tillgång till de aktuella länkarna utifrån en sökning på personens namn (se, analogt, dom av den 27 mars 2014, UPC Telekabel Wien, C‑314/12, EU:C:2014:192, punkt 62, och dom av den 15 september 2016, Mc Fadden, C‑484/14, EU:C:2016:689, punkt 96).

      Det ankommer på den hänskjutande domstolen att, med beaktande även av de nyligen gjorda anpassningarna av Googles sökmotor som beskrivs ovan i punkt 42, pröva huruvida de åtgärder som bolaget vidtagit eller föreslagit uppfyller dessa krav.

      Det ska slutligen understrykas att även om unionsrätten, såsom har angetts ovan i punkt 64, i nuläget inte kräver att det borttagande av länkar som beviljas ska omfatta samtliga versioner av sökmotorn, så innehåller den inte heller något förbud mot detta. Medlemsstaternas myndigheter och domstolar förblir således behöriga att tillämpa de nationella normerna för skydd av grundläggande rättigheter (se, för ett liknande resonemang, dom av den 26 februari 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, punkt 29, och dom av den 26 februari 2013, Melloni, C‑399/11, EU:C:2013:107, punkt 60) för att göra en avvägning mellan å ena sidan den registrerades rätt till respekt för sitt privatliv och till skydd för personuppgifter som rör honom eller henne, och å andra sidan rätten till informationsfrihet, och de behåller sin behörighet att efter denna avvägning, i förekommande fall, förelägga sökmotorleverantören att ta bort länkarna från samtliga versioner av sökmotorn.

      Mot bakgrund av det ovan anförda ska tolkningsfrågorna besvaras enligt följande: Artikel 12 b och artikel 14 första stycket a i direktiv 95/46 samt artikel 17.1 i förordning 2016/679 ska tolkas på så sätt att den skyldighet att ta bort länkar som åligger en sökmotorleverantör som efterkommer en begäran om borttagande av länkar med tillämpning av dessa bestämmelser, inte omfattar samtliga versioner av dess sökmotor, men däremot samtliga de versioner av sökmotorn som motsvarar medlemsstaternas landsdomäner. Sökmotorleverantören är även skyldig att vid behov vidta åtgärder vilka, samtidigt som de uppfyller de rättsliga kraven, faktiskt kan hindra, eller åtminstone i betydande utsträckning avhålla, de internetanvändare som gör en sökning på personens namn från någon av medlemsstaterna, från att skaffa sig tillgång till de länkar som begäran avser via den träfflista som visas vid denna sökning.

 Rättegångskostnader

      Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (stora avdelningen) följande:

Artikel 12 b och artikel 14 första stycket a i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter samt artikel 17.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46, ska tolkas på så sätt att den skyldighet att ta bort länkar som åligger en sökmotorleverantör som efterkommer en begäran om borttagande av länkar med tillämpning av dessa bestämmelser, inte omfattar samtliga versioner av dess sökmotor, men däremot samtliga de versioner av sökmotorn som motsvarar medlemsstaternas landsdomäner. Sökmotorleverantören är även skyldig att vid behov vidta åtgärder vilka, samtidigt som de uppfyller de rättsliga kraven, faktiskt kan hindra, eller åtminstone i betydande utsträckning avhålla, de internetanvändare som gör en sökning på personens namn från någon av medlemsstaterna, från att skaffa sig tillgång till de länkar som begäran avser via den träfflista som visas vid denna sökning.

Underskrifter


*      Rättegångsspråk: franska.