Förvaltningsrätten i Stockholm har slagit fast att ett beslut av Integritetsskyddsmyndigheten (IMY), att utesluta en person från en utredning av ett klagomål som denne lämnat in, är oförenligt med dataskyddsförordningen (GDPR).
Av domen framgår bland annat följande. I januari 2019 lämnade en person (den klagande) in ett klagomål till den österrikiska tillsynsmyndigheten (Datenschutzbehörde, DSB) angående ett bolags sätt att hantera hans begäran om tillgång enligt artikel 15 GDPR. Eftersom IMY är den ansvariga tillsynsmyndigheten i Sverige lämnades ärendet över dit. Mot bakgrund av detta och ett antal andra klagomål riktade mot bolaget gällande rätten till tillgång inledde IMY i juni 2019 en tillsyn av bolagets generella rutiner vid begäran om tillgång. I november 2020 utvidgade IMY tillsynen till att även omfatta vad som förevarit i tre enskilda klagomål.
Den klagande lämnade in en begäran enligt 12 § förvaltningslagen (FL) om att ärendet ska avgöras. Frågan i det aktuella målet är om den klagande är part i tillsynsärendet och om han har inlett det.
Läst i ljuset av punkterna 141 och 143 i ingressen till dataskyddsförordningen, artikel 8 i EU:s rättighetsstadga samt EU-domstolens uttalanden i avgöranden Schrems I (C-362/14) och Schrems II (C-311/18) finner förvaltningsrätten att artikel 57.1 (f), artikel 77 och artikel 78 GDPR ger en registrerad person ett antal individuella rättigheter. Enligt förvaltningsrättens mening ger artiklarna och EU-domstolens uttalanden bland annat uttryck för att den behöriga tillsynsmyndigheten är skyldig att behandla, och i lämplig utsträckning utreda, samtliga klagomål avseende behandlingen av en registrerads personuppgifter som lämnas in av denne. Vidare måste varje klagomål som inte beviljas resultera i ett motiverat beslut, gentemot vilket den registrerade personen ska ha rätt till ett effektivt rättsmedel.
IMY har fört fram att det aktuella tillsynsärendet har inletts av IMY på myndighetens eget initiativ och att det avser bolagets generella rutiner vid begäran om tillgång, även om det sedan november 2020 också innefattar en granskning av den klagandes klagomål.
Förvaltningsrätten konstaterar att IMY både ska, och får, inleda tillsynsärenden på eget initiativ, och att registrerade personer rent allmänt inte har ovan nämnda rättigheter eller partsställning enbart för att deras uppgifter förekommer i ett tillsynsärende.
Den klagande har emellertid lämnat in sitt klagomål för att skydda och tillvarata just sina rättigheter enligt dataskyddsförordningen. I ett sådant fall anser förvaltningsrätten det oförenligt med unionsrätten att den enskilde, genom att inte tillerkännas ställning som part i ärendet, kommer i ett sämre läge, med avseende på de olika rättigheter som tillförsäkras genom dataskyddsförordningen, än denne annars skulle ha gjort. Och detta enbart med anledning av att IMY väljer att handlägga klagomålet inom ramen för ett tillsynsärende som på ett övergripande plan avser det tillsynade bolagets generella rutiner. Enligt förvaltningsrättens mening är den klagandes således part i ärendet såvitt det avser hans klagomål och hanteringen av hans personuppgifter.
När det gäller frågan om ärendet har inletts av den klagande gör förvaltningsrätten bedömningen att han i vart fall har inlett den del av ärendet som inleddes i november 2020 och som omfattar tre enskilda klagomål, varav ett är från honom. Detta även i beaktande av att ärendet av IMY, av andra skäl, påbörjades i juni 2019.
IMY har således enligt förvaltningsrätten inte haft rätt att avvisa begäran enligt 12 § FL. Beslutet ska därför enligt förvaltningsrätten undanröjas och målet återförvisas till IMY för förnyad handläggning.