EU-domstolen avsa 12. januar 2023 prejudisiell avgjørelse i sak C-154/21. Saken gjelder tolkning av forordning (EU) 2016/679 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF.
Sakens bakgrunn
RW henvendte seg til Österreichische Post (hovedoperatøren av post- og logistikktjenester i Østerrike) for å få innsyn i hvem Österreichische Post hadde delt RWs personopplysninger med. Österreichische Post besvarte henvendelsen med å si at de bruker personopplysninger for markedsføringsformål, uten å dele informasjon om mottakernes identitet. RW gikk til sak og krevde å få innsyn i mottakernes identitet. Under rettergangen informerte Österreichische Post om hva slags type kategori de ulike mottakere tilhørte, men oppga ikke deres identitet. RW fikk ikke medhold og anket til østerrikske høyesterett, som er den foreleggende rett.
EU-domstolens vurdering
Spørsmålet for EU-domstolen er om artikkel 15 (1) (c) i personvernforordningen skal tolkes slik at den behandlingsansvarlige kan velge mellom å avsløre enten den spesifikke identiteten til mottakerne eller kategorier av mottakerne.
EU-domstolen bemerker at etter ordlyden i artikkel 15 (1) (c) har den registrerte rett til å få bekreftelse fra den behandlingsansvarlige på om det behandles personopplysninger om vedkommende, og informasjon om mottakerne eller kategoriene av mottakere som har eller vil få adgang på personopplysningene. Uttrykkene «mottakere» og «kategorier av mottakere» anvendes suksessivt i bestemmelsen, uten at det er mulig å utlede en rangorden mellom dem. EU-domstolen fremholder derfor at det ikke er mulig å besvare spørsmålet bare ut ifra ordlyden.
Hva gjelder sammenhengen bestemmelsen inngår i, fremhever EU-domstolen at det følger av fortalens punkt 63 at den registrerte bør bli orientert om mottakerne av sine personopplysninger. Fortalen sier ikke at denne retten må være begrenset til kun kategorier av mottakere. At den registrerte bør ha rett til å kjenne den konkrete identiteten på mottakerne av personopplysningene, understøttes av prinsippet om gjennomsiktighet i personvernforordningens artikkel 5 (1) (c). Etter fortalepunkt 39 fremgår det at den registrerte har adgang til informasjon om hvordan personopplysningene behandles, og at denne informasjonen er lett tilgjengelig og lett forståelig.
Videre understreker EU-domstolen at personvernforordningens artikkel 15 (1) (c) skal gjøre det mulig for den registrerte å etterprøve om opplysningene behandles lovlig, se C-141/12, C-372/12 og C-434/16. Innsynsretten er også nødvendig for at den registrerte kan utøve andre rettigheter i forordningen, herunder retten til sletting og retten til å kreve begrenset behandling etter henholdsvis artikkel 16, 17 og 18, se C-141/12 og C-372/12. Også retten til å protestere mot behandling av personopplysninger etter artikkel 21 og adgangen til å iverksette rettsmidler i medhold av personvernforordningens artikler 79 og 82 er betinget av at den registrerte gjøres klar over hvem som er mottakere av personopplysningene.
Denne løsningen understøttes også av formålsbetraktninger. Formålet til personvernforordningen er å sikre et høyt beskyttelsesnivå av fysiske personer i Unionen, se C-511/18, C-512/18 og C-520/18. Forordningen gjennomfører i praksis de krav som følger av den grunnleggende rett til beskyttelse av personopplysninger som sikres ved charterets artikkel 8.
Tolkningen støttes også av forordningen artikkel 19 som gir den registrerte rett til å få opplysninger fra den dataansvarlige om hvem som er de konkrete mottakere som følge av den dataansvarliges forpliktelser etter artikkel 16, 17 og 18.
Etter dette kommer EU-domstolen til at den behandlingsansvarlige må opplyse om identiteten til mottakerne av de innsamlede personopplysningene dersom den registrerte ber om det. Dette gjelder imidlertid ikke dersom mottakerne er uidentifiserbare eller den behandlingsansvarlige beviser at den registrertes krav er åpenbart grunnløst eller overdrevet etter personvernforordningens artikkel 12 (5).
EU-domstolens konklusjon
Artikkel 15 (1) (c) skal tolkes slik at den gir den registrerte krav på å bli informert om mottakernes spesifikke identitet.
Forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [GDPR] er innlemmet i EØS-avtalens vedlegg XI og gjelder som norsk lov med EØS-tilpasningene, jf. lov 15. juni 2018 nr. 38 om behandling av personopplysninger § 1.
(C-154/21)
MJT