EU-domstolen har i mål C‑526/24 prövat hur artikel 12.5 och artikel 82.1 dataskyddsförordnignen (GDPR) ska tolkas vid en första begäran om tillgång till personuppgifter som potentiellt syftar till att erhålla ersättning. Domen behandlar frågor om otillbörlig avsikt, rätt till ersättning och immateriell skada.
Bakgrund
Målet rör Brillen Rottler GmbH & Co. KG, ett familjeägt optikföretag i tyska Arnsberg, och den fysiska personen TC från Österrike. TC registrerade sig för företagets nyhetsbrev och lämnade sina personuppgifter, för att tretton dagar senare, begära tillgång till dessa uppgifter enligt artikel 15 GDPR. Brillen Rottler avslog begäran med hänvisning till artikel 12.5 GDPR, eftersom företaget ansåg att begäran hade ett otillbörligt syfte och att TC systematiskt använder begäran om tillgång för att kunna kräva ersättning. Den tyska domstolen hänsköt därför frågor till EU-domstolen om hur begreppen ”orimlig begäran”, rättsmissbruk och ersättning enligt artikel 82 GDPR ska tolkas, inklusive första begäranden och immateriell skada.
Analys
Domstolen fastställer att en första begäran om tillgång enligt artikel 15 GDPR kan anses vara ”orimlig” enligt artikel 12.5 GDPR, men endast om den personuppgiftsansvarige kan visa att syftet med begäran inte varit att kontrollera behandlingen av egna uppgifter, utan att artificiellt skapa förutsättningar för att erhålla ersättning. Faktorer som kan beaktas är bland annat: att den registrerade frivilligt lämnat ut uppgifterna, syftet med utlämnandet, tid som förflutit mellan utlämnandet och begäran, samt den registrerades övriga agerande. Att TC tidigare gjort upprepade begäranden och begärt ersättning från andra aktörer kan ingå som en omständighet som stöd för otillbörlig avsikt, men det är inte ett krav för att en första begäran ska kunna bedömas som orimlig.
Domstolen klargör vidare att artikel 82 GDPR ger rätt till ersättning även om själva behandlingen inte varit olaglig. Rätt till ersättning uppstår när den registrerade lidit materiell eller immateriell skada till följd av att rättigheten till tillgång enligt artikel 15.1 GDPR har åsidosatts. Immateriell skada inkluderar förlust av kontroll över personuppgifter eller osäkerhet om huruvida de har behandlats, men den registrerade måste kunna visa att skada faktiskt föreligger och att skadan inte huvudsakligen beror på den registrerades egna handlingar.
Domstolen betonar att rättsprinciperna bakom GDPR syftar till att säkerställa en hög och enhetlig skyddsnivå för fysiska personer, att förstärka de registrerades rättigheter och att möjliggöra effektiva rättsmedel vid överträdelser, samt att undantag som artikel 12.5 GDPR ska tolkas restriktivt.
Praktiska konsekvenser
För personuppgiftsansvariga innebär domen att det i princip går att avslå en första begäran om tillgång till uppgifter om begäran kan anses orimlig, men det krävs starka bevis för detta. Vid bedömningen måste man ta hänsyn till alla relevanta faktorer, till exempel varför den registrerade lämnat begäran, tidigare agerande från personen och om det finns tecken på att syftet med begäran varit otillbörligt, exempelvis för att försöka få ersättning.
Rätten till ersättning enligt artikel 82 GDPR gäller även immateriell skada, till exempel när någon förlorar kontrollen över sina uppgifter eller är osäker på om uppgifter har behandlats. Den som kräver ersättning måste dock kunna visa att skadan verkligen har uppstått och att den inte huvudsakligen orsakats av den registrerades eget handlande.
Praktiskt betyder det att företag behöver dokumentera begäranden noggrant, göra en intern prövning av varje fall och bedöma riskerna, för att både kunna hantera begäranden på ett korrekt sätt och förebygga eventuella rättstvister.
Relaterad expertis
TechLaw bistår verksamheter i frågor som rör dataskydd, personuppgiftsansvar och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur domen påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: EU-domstolen, mål C‑526/24.