Specifika mottagare av personuppgifter måste lämnas ut på den registrerades begäran

Enligt dataskyddsförordningen (GDPR) har en registrerad rätt till information om hur dennes personuppgifter behandlas. Enligt artikel 15(1)(c) i GDPR ska personuppgiftsansvariga på den registrerades begäran ge den registrerade information om ”de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut”. Hittills har personuppgiftsansvariga som utgångspunkt lämnat information om kategorier av mottagare, snarare än specifika mottagare av den registrerades personuppgifter. I avgörandet C-154/21 från den 12 januari 2023 fastslog dock EU-domstolen att personuppgiftsansvariga är skyldiga att meddela vilka de specifika mottagarna av personuppgifter är till en registrerad som efterfrågar informationen.

EU-domstolens avgörande har sin bakgrund i Österrike där en registrerad begärde att få information om mottagarna av sina personuppgifter. Den personuppgiftsansvarige gav den registrerade information om att personuppgifterna överförs till handelspartners i marknadsföringssyfte, men vägrade att identifiera de specifika mottagarna. Den registrerade väckte talan i österrikisk allmän domstol vilken uttalade att den personuppgiftsansvariga, till följd av ordalydelsen i artikel 15(1)(c) i GDPR, själv får välja huruvida den vill informera den registrerade om de specifika mottagarna av personuppgifter eller endast om kategorierna av mottagare. Den registrerade överklagade domen till nationell överdomstol som lyfte frågan till EU-domstolen för ett förhandsavgörande.

EU-domstolen uttalade i avgörandet att EU-rätten måste tolkas så att hänsyn tas till inte bara ordalydelsen, utan också till kontexten och syftet med regleringen. Dessutom lyfte EU-domstolen att den tolkning som bäst säkerställer regelns effektivitet ska ges företräde när flera tolkningsmöjligheter finns. Domstolen betonade vidare att registrerade behöver få veta vilka som behandlar deras personuppgifter för att kunna ta tillvara sina rättigheter under GDPR, såsom rätten till radering av personuppgifter och rätten till rättelse av felaktiga personuppgifter. Dessa ståndpunkter i förening med bland annat principen om öppenhet vid behandling av personuppgifter föranledde EU-domstolens tolkning av artikel 15(1)(c), vilken fastslår att den registrerade har rätt att på begäran bli informerad om de specifika mottagarnas identitet när hans eller hennes personuppgifter har lämnats ut.

Avgörandet klargör att valet mellan att informera om kategorier av mottagare eller specifika mottagare ligger hos den registrerade. I praktiken innebär detta att personuppgiftsansvariga måste säkerställa rutiner för att hålla koll på vilka mottagare de lämnar ut personuppgifter till för att kunna tillmötesgå registrerades krav om att få tillgång till information om mottagares identitet.

Denna artikel är skriven av Associate Olivia Svedmark.