Search for a command to run...
Myndighed
Dato
Dokumenttype
Sted
Emner
Eksterne links
Parter
Dommer
EU-medlemsstater, EU’s institutioner og organer, Europa-Kommissionen, Tjekkiet
Generaladvokat
von Danwitz
Denne præjudicielle forelæggelse fra Nejvyšší správní soud (øverste domstol i forvaltningsretlige sager, Tjekkiet) vedrører fortolkningen af den generelle databeskyttelsesforordning (GDPR), navnlig i lyset af en anmodning om aktindsigt i officielle dokumenter relateret til offentlige indkøb under COVID-19-pandemien.
Sagen udspringer af en tvist mellem L.H. og det tjekkiske sundhedsministerie (Ministerstvo zdravotnictví). L.H. anmodede om at få oplysninger om de fysiske personer (repræsentanter) der havde underskrevet kontrakter og certifikater vedrørende køb af COVID-19-tests.
Ministeriet afslog delvist anmodningen og slørede de pågældende repræsentanters fornavn, efternavn, underskrift og kontaktoplysninger. Ministeriet begrundede udeladelsen i beskyttelsen af personoplysninger i overensstemmelse med GDPR.
Den forelæggende ret var i tvivl om, hvorvidt disse oplysninger overhovedet udgjorde »personoplysninger« i GDPR’s forstand, når de udelukkende tjente til at identificere en juridisk person. Hvis de var personoplysninger, rejste retten spørgsmålet om, hvorvidt national retspraksis kunne pålægge den dataansvarlige en pligt til forudgående at informere og høre de registrerede, før oplysningerne videregives, selv i situationer hvor behandlingen er baseret på en retlig forpligtelse eller samfundsinteresse (Art. 6(1)(c) eller (e)).
De centrale juridiske spørgsmål omhandlede:
Domstolen fastslog, at de pågældende oplysninger om repræsentanterne udgør personoplysninger, og at nationale procedureregler om forudgående høring er tilladte, forudsat de overholder proportionalitetsprincippet og ikke underminerer retten til aktindsigt.
Domstolen understregede, at begrebet »personoplysninger« skal fortolkes bredt. Oplysninger om identiteten (navn, underskrift, kontaktoplysninger) for identificerbare fysiske personer, der handler som repræsentanter for juridiske personer, udgør personoplysninger omfattet af GDPR artikel 4, nr. 1).
Den omstændighed, at videregivelsen af sådanne oplysninger udelukkende har til formål at gøre det muligt at identificere den juridiske person, på hvis vegne den fysiske person handler, er uden betydning for kvalificeringen som »behandling« af personoplysninger.
Domstolen fandt, at GDPR artikel 6, stk. 1, litra c) og e), sammenholdt med artikel 86, ikke er til hinder for en national retspraksis, der pålægger offentlige myndigheder at informere og høre den registrerede, inden de videregiver officielle dokumenter, der indeholder personoplysninger.
Imidlertid er denne nationale forpligtelse underlagt proportionalitetsprincippet. En national retspraksis må ikke anvendes, hvis den er umulig at gennemføre i praksis eller kræver en uforholdsmæssig stor indsats, da dette ville medføre en uforholdsmæssig begrænsning af offentlighedens ret til aktindsigt i officielle dokumenter. Et systematisk afslag på videregivelse alene på grund af praktisk umulighed af at høre personen strider mod kravet om interesseafvejning i artikel 86.
Datatilsynet har udarbejdet en vejledende udtalelse om leverandørers hjemmel til at videregive medarbejderoplysninger til ordregiver som dokumentation for overholdelse af arbejdsklausuler i kontrakten.

Sagen vedrører en præjudiciel forelæggelse fra Bulgarien, som omhandler sammenstødet mellem beskyttelse af personoplysninger (GDPR) og forpligtelsen til offentliggørelse af selskabsdokumenter i et nationalt handelsregister, fastsat i henhold til EU’s selskabsdirektiv (nu Direktiv 2017/1132).
Tvisten opstod mellem Agentsia po vpisvaniyata (det bulgarske registreringsagentur, der fører handelsregistret) og en selskabsdeltager, OL. OL anmodede om sletning af visse personoplysninger (såsom identifikationsnummer, detaljer om identitetskort, bopælsadresse og underskrift) fra en selskabsaftale, der var blevet offentliggjort i registret i forbindelse med selskabets stiftelse. Disse oplysninger var ikke lovpligtige i henhold til national lovgivning eller EU-direktivet.
OL gjorde gældende, at offentliggørelsen udgjorde ulovlig behandling og krævede sletning af oplysningerne samt erstatning for immateriel skade som følge af frygt og bekymring over potentielt misbrug. Agenturet afviste sletning med henvisning til, at OL ikke havde indsendt en renset (skjult/redigeret) kopi af aftalen, som krævet af nationale procedureregler, hvilket Agenturet fastholdt var nødvendigt for at opretholde dokumentets integritet.
EU-Domstolens dom fra 2023 har medført en ny praksis for indsigt i logfiler, hvilket her afklares i en sag om adgang til CPR-registrets sikkerhedslog.
Information om hvordan Den Sociale Investeringsfond indsamler, behandler og beskytter dine personoplysninger samt dine rettigheder som registreret.
De centrale spørgsmål, som den forelæggende ret stillede, omhandlede Agenturets status som dataansvarlig, lovligheden af behandlingen af ikke-obligatoriske oplysninger, rækkevidden af retten til sletning i lyset af nationale formkrav, og fortolkningen af ”immateriel skade” under GDPR Artikel 82.
Dette lovforslag har til formål at tilvejebringe den nødvendige nationale hjemmel for Konkurrence- og Forbrugerstyrelsen...
Læs mere### Formål og baggrund Lovforslaget, kaldet "datadelingsloven", har til formål at supplere og gennemføre Europa-Parlamen...
Læs mereForslag til Lov om tilgængelighedskrav for produkter og tjenester