Förslag till avgörande av generaladvokat Jean Richard de la Tour föredraget den 12 september 2024
1 Originalspråk: franska.
2 EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2.
3 EUT L 157, 2016, s. 1.
4 Den hänskjutande domstolen har betonat att Bundesverwaltungsgericht (Federala förvaltningsdomstolen, Österrike) i sitt beslut inte preciserade omfattningen av de behandlade personuppgifter som ska lämnas ut eller hur detaljerad information som ska lämnas ut om den bakomliggande logiken.
5 Nedan kallad stadgan.
6 BGBl. I, 165/1999.
7 BGBl. I, 14/2019. Genom denna bestämmelse utesluts i princip den registrerades rätt till tillgång, vilken föreskrivs i artikel 15 i dataskyddsförordningen, när denna tillgång skulle skada en personuppgiftsansvarigs eller tredje mans företags- eller affärshemlighet.
8 Se även skäl 71 i dataskyddsförordningen, där det anges att [d]en registrerade bör ha rätt att inte bli föremål för ett beslut, vilket kan inbegripa en åtgärd, med bedömning av personliga aspekter rörande honom eller henne, vilket enbart grundas på automatiserad behandling och medför rättsverkan för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, såsom ett automatiserat avslag på en kreditansökan online eller e-rekrytering utan personlig kontakt. Sådan behandling omfattar profilering …, i den mån [den] har rättsverkan rörande honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.
9 C‑634/21, EU:C:2023:957 (nedan kallad domen i målet SCHUFA Holding m.fl. (Scoring)).
10 Se domen i målet SCHUFA Holding m.fl. (Scoring) (punkt 73).
11 Samma dag som domstolen meddelade nämnda dom meddelade den även domen av den 7 december 2023, SCHUFA Holding (Skuldsanering) ( C‑26/22 och C‑64/22, EU:C:2023:958), i vilken den tolkade följande artiklar i dataskyddsförordningen: artikel 5.1 a, jämförd med artiklarna 6.1 första stycket f, 17.1 c och d samt 78.1.
12 C‑634/21, EU:C:2023:220.
13 Se förslag till avgörande av generaladvokaten Pikamäe i målet SCHUFA Holding m.fl. (Scoring) ( C‑634/21, EU:C:2023:220, punkt 54).
14 Se förslag till avgörande av generaladvokaten Pikamäe i målet SCHUFA Holding m.fl. (Scoring) ( C‑634/21, EU:C:2023:220, punkt 56).
15 Se förslag till avgörande av generaladvokaten Pikamäe i målet SCHUFA Holding m.fl. (Scoring) ( C‑634/21, EU:C:2023:220, punkt 56).
16 Min kursivering.
17 Se förslag till avgörande av generaladvokaten Pikamäe i målet SCHUFA Holding m.fl. (Scoring) ( C‑634/21, EU:C:2023:220, punkt 57).
18 Se förslag till avgörande av generaladvokaten Pikamäe i målet SCHUFA Holding m.fl. (Scoring) ( C‑634/21, EU:C:2023:220, punkt 57).
19 Se förslag till avgörande av generaladvokaten Pikamäe i målet SCHUFA Holding m.fl. (Scoring) ( C‑634/21, EU:C:2023:220, punkt 58). Generaladvokaten Pikamäe hänvisade härvid till Riktlinjer om automatiserat individuellt beslutsfattande och profilering enligt förordning (EU) 2016/679, som antogs den 3 oktober 2017 av Artikel 29-arbetsgruppen för uppgiftsskydd, i dess reviderade lydelse, vilken antogs den 6 februari 2018 (nedan kallade riktlinjerna), s. 28 och 30.
20 Det ska även påpekas att begreppet meningsfull information om logiken bakom automatiserat beslutsfattande i den mening som avses i artikel 15.1 h i dataskyddsförordningen har gett upphov till ett stort antal publikationer som genom mångfalden ståndpunkter kan berika diskussionen om vilken innebörd detta begrepp ska ges. Bland dessa publikationer kan nämnas följande: Goodman, B., och Flaxman, S., European Union Regulations on Algorithmic Decision Making and a Right to Explanation, AI Magazine, volym 38, nr 3, Wiley, Berlin, 2017, s. 50–57, Wachter, S., Mittelstadt, B., och Floridi, L., Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation, International Data Privacy Law, volym 7, nr 2, Oxford University Press, Oxford, 2017, s. 76–99, Selbst, A. D., och Powles, J., Meaningful information and the right to explanation, International Data Privacy Law, volym 7, nr 4, Oxford University Press, Oxford, 2017, s. 233–242, Cabral, T. S., AI and the Right to Explanation: Three Legal Bases under the GDPR, i Hallinan, D., Leenes, R., och De Hert, P., Data Protection and Privacy: Data Protection and Artificial Intelligence, Hart Publishing, Oxford, 2021, s. 29–56, Edwards, L., och Veale, M., Slave to the Algorithm? Why a Right to an Explanation Is Probably Not the Remedy You Are Looking For, Duke Law & Technology Review, volym 16, Duke Law School, Durham, 2017, s. 18–84, Brkan, M., Do algorithms rule the worlds? Algorithmic decision-making and data protection in the framework of the GDPR and beyond, International Journal of Law and Information Technology, volym 27, nr 2, Oxford University Press, Oxford, 2019, s. 91–121, Kaminski, M. E., och Malgieri, G., Algorithmic impact assessments under the GDPR: producing multi-layered explanations, International Data Privacy Law, volym 11, nr 2, Oxford University Press, Oxford, 2021, s. 125–144, Custers, B., och Heijne, A.-S., The right of access in automated decision-making: The scope of article 15(1)(h) GDPR in theory and practice, Computer Law & Security Review, volym 46, Elsevier, Amsterdam, 2022, samt Naudts, L., Dewitte, P., och Ausloos, J., Meaningful transparency through data rights: A multidimensional analysis, Research Handbook on EU Data Protection Law, Elgar, Cheltenham, 2022, s. 530–571.
21 Se, bland annat, dom av den 26 oktober 2023, FT (Kopior av patientjournalen) ( C‑307/22, EU:C:2023:811, punkterna 47 och 48, och där angiven rättspraxis) (nedan kallad domen i målet FT (Kopior av patientjournalen)).
22 Med profilering avses enligt artikel 4.4 i dataskyddsförordningen varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.
23 Detta begrepp används även i artiklarna 13.2 f och 14.2 g i dataskyddsförordningen. Se även skäl 63 i samma förordning, där det anges att [a]lla registrerade bör … ha rätt att få kännedom och underrättelse om … bakomliggande logik i samband med automatisk behandling av personuppgifter och, åtminstone när behandlingen bygger på profilering, konsekvenserna av sådan behandling.
24 Även om förevarande begäran om förhandsavgörande särskilt avser begreppet meningsfull information om den bakomliggande logiken i den mening som avses i artikel 15.1 h i dataskyddsförordningen, ska man inte underskatta den omständigheten att den registrerade även ska underrättas om betydelsen och de förutsedda följderna av sådan behandling. Artikel 29-arbetsgruppen för uppgiftsskydd har angett att [d]essa formuleringar tyder på att information måste tillhandahållas om planerade framtida behandlingar, och hur det automatiserade beslutsfattandet kan tänkas påverka den registrerade … För att göra informationen meningsfull och begriplig bör verkliga, greppbara exempel på typen av potentiella följder ges (se riktlinjerna, s. 29).
25 Se, bland annat, dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF ( C‑487/21, EU:C:2023:369, punkt 34 och där angiven rättspraxis) (nedan kallad domen i målet Österreichische Datenschutzbehörde och CRIF), och domen i målet FT (Kopior av patientjournalen) (punkt 73 och där angiven rättspraxis).
26 Se, bland annat, domen i målet FT (Kopior av patientjournalen) (punkt 73 och där angiven rättspraxis).
27 Se, bland annat, domen i målet Österreichische Datenschutzbehörde och CRIF (punkt 35 och där angiven rättspraxis).
28 Som domstolen preciserade i domen i målet SCHUFA Holding m.fl. (Scoring) (punkt 52) innehåller denna bestämmelse ett principiellt förbud vars åsidosättande inte kräver att en registrerad åberopar det individuellt.
29 Se domen i målet SCHUFA Holding m.fl. (Scoring) (punkt 54).
30 Se domen i målet SCHUFA Holding m.fl. (Scoring) (punkt 57). Enligt domstolen innebär sådan personuppgiftsbehandling nämligen, såsom framgår av skäl 71 i dataskyddsförordningen, en bedömning av personliga aspekter rörande den fysiska person som berörs av behandlingen, särskilt för att analysera eller förutse aspekter avseende den registrerades arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar (punkt 58). Enligt detta skäl kan dessa särskilda risker utgöra risker för den registrerades intressen och rättigheter, bland annat med hänsyn till potentiella diskriminerande effekter för fysiska personer (punkt 59).
31 Se domen i målet Österreichische Datenschutzbehörde och CRIF (punkt 37).
32 Se domen i målet Österreichische Datenschutzbehörde och CRIF (punkt 38).
33 Se domen i målet Österreichische Datenschutzbehörde och CRIF (punkt 39) och domen i målet FT (Kopior av patientjournalen) (punkt 73).
34 Se domen i målet Österreichische Datenschutzbehörde och CRIF (punkt 41) och domen i målet FT (Kopior av patientjournalen) (punkt 74).
35 Se domen i målet Österreichische Datenschutzbehörde och CRIF (punkt 42).
36 Se domen i målet Österreichische Datenschutzbehörde och CRIF (punkt 45) och domen i målet FT (Kopior av patientjournalen) (punkt 75).
37 Se, beträffande domstolens tolkning av begreppet information i den mening som avses i artikel 15.3 tredje meningen i dataskyddsförordningen, domen i målet Österreichische Datenschutzbehörde och CRIF (punkterna 46–53).
38 Se Selbst, A. D., och Powles, J., a.a., s. 236.
39 Se Malgieri, G., och Comandé, G., Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation, International Data Privacy Law, Oxford University Press, Oxford, 2017, volym 7, nr 4, s. 243–265, särskilt s. 257.
40 Se, bland annat, Cabral, T. S., a.a. Se även, beträffande diskussionen om huruvida en rätt till förklaring föreligger, Brkan, M., a.a., s. 110 och följande sidor.
41 Se Foss-Solbrekk, K., och Glenster, A. K., The intersection of data protection rights and trade secrets privileges in algorithmic transparency, i Research Handbook on EU Data Protection Law, a.a., s. 163–183. Upphovsmännen påpekar, som ett av problemen med användningen av algoritmer, möjligheten att algoritmerna … grundas på inexakta uppgifter, vilket således ger resultat som inte återspeglar den registrerades situation (s. 166) (fritt översatt).
42 Se domen i målet SCHUFA Holding m.fl. (Scoring) (punkt 59).
43 C‑26/22 och C‑64/22, EU:C:2023:958.
44 Se dom av den 7 december 2023, SCHUFA Holding (Skuldsanering) ( C‑26/22 och C‑64/22, EU:C:2023:958, punkt 94 och där angiven rättspraxis).
45 Se Selbst, A. D., och Powles, J., a.a., s. 236.
46 Se, bland annat, beträffande den omfattande diskussion som denna fråga har gett upphov till, Foss-Solbrekk, K. och Glenster, A. K., a.a., s. 167.
47 Se riktlinjerna (s. 28). Min kursivering.
48 Se riktlinjerna (s. 30).
49 Se riktlinjerna (s. 28). Som arbetsgruppen har angett följer det av skäl 58 i dataskyddsförordningen att öppenhetsprincipen är särskilt relevant i situationer där mängden olika aktörer och den tekniska komplexiteten gör det svårt för den registrerade att veta och förstå om personuppgifter som rör honom eller henne samlas in, vem som gör det och för vilket syfte, exempelvis i fråga om reklam på nätet.
50 Se Malgieri, G., och Comandé, G., a.a., som påpekar att [o]fta är algoritmerna inte endast okända, utan även omöjliga att förstå för den enskilde (fritt översatt) (s. 243).
51 Se Poullet, Y., Le RGPD face aux défis de l’intelligence artificielle, Larcier, Bryssel, 2021, där det påpekas att med begreppet meningsfull information förstås olika typer av anonyma uppgifter eller obehandlade uppgifter, deras källor, det sätt på vilket algoritmen fungerar och antagligen, utan att behöva ange några detaljer, den vikt som i grundalgoritmen lagts vid respektive typ av uppgifter (s. 115).
52 Se, bland annat, domen i målet FT (Kopior av patientjournalen) (punkt 59 och där angiven rättspraxis).
53 Se domen i målet FT (Kopior av patientjournalen) (punkt 61).
54 Se domen i målet FT (Kopior av patientjournalen) (punkt 62).
55 Se domen i målet Österreichische Datenschutzbehörde och CRIF (punkt 43).
56 Se, analogt, domen i målet FT (Kopior av patientjournalen) (punkt 63).
57 Enligt denna bestämmelse avses med företagshemlighet i den mening som avses i detta direktiv information som uppfyller samtliga följande krav: a) Den är hemlig i den meningen att den inte, som helhet eller i den form dess beståndsdelar ordnats och satts samman, är allmänt känd hos eller lättillgänglig för personer i de kretsar som normalt sett handskas med typen av information i fråga. b) Den har kommersiellt värde på grund av att den är hemlig. c) Den person som lagligen kontrollerar den har med hänsyn till omständigheterna vidtagit rimliga åtgärder för att hålla den hemlig.
58 EGT L 281, 1995, s. 31.
59 Se för ett liknande resonemang, beträffande artikel 15.4 i dataskyddsförordningen, enligt vilken den rätt att erhålla en kopia av personuppgifter som anges i artikel 15.3 kan begränsas, domen i målet Österreichische Datenschutzbehörde och CRIF (punkt 44).
60 Se domen i målet Österreichische Datenschutzbehörde och CRIF (punkt 44).
61 Se dom av den 2 mars 2023, Norra Stockholm Bygg ( C‑268/21, EU:C:2023:145, punkt 58).
62 Se, bland annat, domen i målet SCHUFA Holding m.fl. (Scoring) (punkt 70 och där angiven rättspraxis).
63 Se, bland annat, dom av den 17 juni 2021, M.I.C.M. ( C‑597/19, EU:C:2021:492, punkt 111 och där angiven rättspraxis).