Search for a command to run...
Myndighed
Dato
Dokumenttype
Sted
Emner
Eksterne links
Parter
Dommer
EU’s institutioner og organer, Østrig, Europa-Kommissionen, Rumænien, Italien, Letland, Tjekkiet, Sverige, EU-medlemsstater
Generaladvokat
Ziemele
Denne præjudicielle forelæggelse vedrører fortolkningen af Europa-Parlamentets og Rådets forordning (EU) 2016/679 (databeskyttelsesforordningen eller GDPR), specifikt artikel 15, stk. 1, litra c), om den registreredes ret til indsigt i modtagerne af deres personoplysninger.
Sagen opstod mellem en registreret, RW, og Österreichische Post AG (OP), det østrigske postselskab, som behandlede RW’s oplysninger med henblik på markedsføring og videregav dem til handelspartnere. RW anmodede i medfør af artikel 15 om indsigt i de konkrete modtageres identitet, som hans personoplysninger var blevet videregivet til.
Österreichische Post afviste at give de konkrete navne og begrænsede sig til at oplyse, at dataene var videregivet til generelle kategorier af modtagere, såsom postordrehandelsvirksomheder, IT-virksomheder og politiske partier. OP argumenterede for, at GDPR artikel 15(1)(c) tillader den dataansvarlige at vælge mellem at oplyse konkrete modtagere eller blot kategorier af modtagere.
Eftersom de østrigske domstole i de foregående instanser støttede OP’s fortolkning, forelagde Oberster Gerichtshof (øverste domstol, Østrig) spørgsmålet for EU-Domstolen for at fastslå den præcise rækkevidde af den registreredes ret til indsigt, især om denne ret nødvendigvis omfatter oplysninger om de konkrete modtagere, når oplysningerne allerede er videregivet.
Domstolen fastslog, at databeskyttelsesforordningens artikel 15, stk. 1, litra c), skal fortolkes således, at den registrerede som udgangspunkt har ret til at få oplyst de konkrete modtageres identitet, når personoplysningerne er eller vil blive videregivet til dem.
Domstolen betonede, at oplysninger om modtagere skal være så præcise som muligt for at opfylde princippet om gennemsigtighed, jf. artikel 5, stk. 1, litra a). Selv om ordlyden af artikel 15, stk. 1, litra c), nævner både »modtagere eller kategorier af modtagere«, er formålet med indsigtsretten at sikre, at den registrerede kan kontrollere lovligheden af databehandlingen og effektivt udøve sine øvrige rettigheder, såsom retten til berigtigelse, sletning og indsigelse.
»Med henblik på at sikre den effektive virkning af samtlige de rettigheder, der er nævnt i nærværende doms foregående præmis, skal den registrerede navnlig have ret til at blive informeret om de konkrete modtagere, når den registreredes personoplysninger allerede er blevet videregivet.« (Præmis 39)
Uden kendskab til de konkrete modtagere ville disse efterfølgende rettigheder, fastsat i GDPR artikel 16-19, 21, 79 og 82, miste deres effektive virkning (effet utile).
Domstolen anerkendte, at retten til indsigt ikke er absolut og kan begrænses under særlige omstændigheder. Den dataansvarlige kan nøjes med at oplyse om kategorier af modtagere i to situationer:
EU-Domstolens dom fra 2023 har medført en ny praksis for indsigt i logfiler, hvilket her afklares i en sag om adgang til CPR-registrets sikkerhedslog.


Sagen vedrører en præjudiciel forelæggelse fra Bulgarien, som omhandler sammenstødet mellem beskyttelse af personoplysninger (GDPR) og forpligtelsen til offentliggørelse af selskabsdokumenter i et nationalt handelsregister, fastsat i henhold til EU’s selskabsdirektiv (nu Direktiv 2017/1132).
Tvisten opstod mellem Agentsia po vpisvaniyata (det bulgarske registreringsagentur, der fører handelsregistret) og en selskabsdeltager, OL. OL anmodede om sletning af visse personoplysninger (såsom identifikationsnummer, detaljer om identitetskort, bopælsadresse og underskrift) fra en selskabsaftale, der var blevet offentliggjort i registret i forbindelse med selskabets stiftelse. Disse oplysninger var ikke lovpligtige i henhold til national lovgivning eller EU-direktivet.
OL gjorde gældende, at offentliggørelsen udgjorde ulovlig behandling og krævede sletning af oplysningerne samt erstatning for immateriel skade som følge af frygt og bekymring over potentielt misbrug. Agenturet afviste sletning med henvisning til, at OL ikke havde indsendt en renset (skjult/redigeret) kopi af aftalen, som krævet af nationale procedureregler, hvilket Agenturet fastholdt var nødvendigt for at opretholde dokumentets integritet.
Datatilsynet har truffet afgørelse i en sag, hvor en borger klagede over Telmore A/S’ videregivelse af hans e-mailadresse til Meta Irland. Sagen har været behandlet i Datarådet.
Dokumentation for behandling af personoplysninger i forbindelse med 360-graders evalueringer hos EU's Agentur for Grundlæggende Rettigheder.
De centrale spørgsmål, som den forelæggende ret stillede, omhandlede Agenturets status som dataansvarlig, lovligheden af behandlingen af ikke-obligatoriske oplysninger, rækkevidden af retten til sletning i lyset af nationale formkrav, og fortolkningen af ”immateriel skade” under GDPR Artikel 82.

Sagen omhandler en anmodning om præjudiciel afgørelse fra Gerechtshof te 's-Hertogenbosch (Nederlandene) vedrørende fort...
Læs mere
František Ryneš installerede et kamera ved sin private bolig for at beskytte sin families ejendom, sundhed og liv efter ...
Læs mere