Den registreredes ret til indsigt i personoplysninger: Dataansvarlig skal oplyse de konkrete modtageres identitet ifølge GDPR artikel 15, stk. 1, litra c)

Denne præjudicielle forelæggelse vedrører fortolkningen af Europa-Parlamentets og Rådets forordning (EU) 2016/679 (databeskyttelsesforordningen eller GDPR), specifikt artikel 15, stk. 1, litra c), om den registreredes ret til indsigt i modtagerne af deres personoplysninger.

Sagen opstod mellem en registreret, RW, og Österreichische Post AG (OP), det østrigske postselskab, som behandlede RW’s oplysninger med henblik på markedsføring og videregav dem til handelspartnere. RW anmodede i medfør af artikel 15 om indsigt i de konkrete modtageres identitet, som hans personoplysninger var blevet videregivet til.

Österreichische Post afviste at give de konkrete navne og begrænsede sig til at oplyse, at dataene var videregivet til generelle kategorier af modtagere, såsom postordrehandelsvirksomheder, IT-virksomheder og politiske partier. OP argumenterede for, at GDPR artikel 15(1)(c) tillader den dataansvarlige at vælge mellem at oplyse konkrete modtagere eller blot kategorier af modtagere.

Eftersom de østrigske domstole i de foregående instanser støttede OP’s fortolkning, forelagde Oberster Gerichtshof (øverste domstol, Østrig) spørgsmålet for EU-Domstolen for at fastslå den præcise rækkevidde af den registreredes ret til indsigt, især om denne ret nødvendigvis omfatter oplysninger om de konkrete modtagere, når oplysningerne allerede er videregivet.

Domstolen fastslog, at databeskyttelsesforordningens artikel 15, stk. 1, litra c), skal fortolkes således, at den registrerede som udgangspunkt har ret til at få oplyst de konkrete modtageres identitet, når personoplysningerne er eller vil blive videregivet til dem.

Domstolens ræsonnement om gennemsigtighed og effektivitet

Domstolen betonede, at oplysninger om modtagere skal være så præcise som muligt for at opfylde princippet om gennemsigtighed, jf. artikel 5, stk. 1, litra a). Selv om ordlyden af artikel 15, stk. 1, litra c), nævner både »modtagere eller kategorier af modtagere«, er formålet med indsigtsretten at sikre, at den registrerede kan kontrollere lovligheden af databehandlingen og effektivt udøve sine øvrige rettigheder, såsom retten til berigtigelse, sletning og indsigelse.

»Med henblik på at sikre den effektive virkning af samtlige de rettigheder, der er nævnt i nærværende doms foregående præmis, skal den registrerede navnlig have ret til at blive informeret om de konkrete modtagere, når den registreredes personoplysninger allerede er blevet videregivet.« (Præmis 39)

Uden kendskab til de konkrete modtagere ville disse efterfølgende rettigheder, fastsat i GDPR artikel 16-19, 21, 79 og 82, miste deres effektive virkning (effet utile).