lagen.
EU-domstolen

Domstolens dom (första avdelningen) den 27 februari 2025

CELEX
62022CJ0203
Typ
EU-domstolen
Datum
20220211
ECLI
ECLI:EU:C:2025:117

Källa

Hänvisat till av

Begäran om förhandsavgörandeSkydd av personuppgifterFörordning (EU) 2016/679Artikel 15.1 hAutomatiserat beslutsfattande, inbegripet profileringScoringBedömning av en fysisk persons kreditvärdighetTillgång till meningsfull information om logiken bakom profileringKontroll av att den information som lämnats är riktigDirektiv (EU) 2016/943Artikel 2.1FöretagshemlighetAndras personuppgifter

I mål C‑203/22, angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Verwaltungsgericht Wien (Förvaltningsdomstolen i Wien, Österrike) genom beslut av den 11 februari 2022, som inkom till EU-domstolen den 16 mars 2022, i målet

DOMSTOLEN (första avdelningen) sammansatt av domstolens ordförande K. Lenaerts, tillika tillförordnad ordförande på första avdelningen, domstolens vice ordförande T. von Danwitz (referent) samt domarna A. Kumin, N. Jääskinen och I. Ziemele, generaladvokat: J. Richard de la Tour, justitiesekreterare: A. Calot Escobar,

efter det skriftliga förfarandet,

med beaktande av de yttranden som avgetts av: CK, genom C. Wirthensohn, Rechtsanwalt, Dun & Bradstreet Austria GmbH, genom D. Cooper, solicitor, A.‑S. Oberschelp de Meneses, avocate, samt K. Van Quathem och B. Van Vooren, advocaten, Spaniens regering, genom A. Ballesteros Panizo, i egenskap av ombud, Nederländernas regering, genom M.K. Bulterman och C.S. Schillemans, båda i egenskap av ombud, Polens regering, genom B. Majczyna, i egenskap av ombud, Europeiska kommissionen, genom A. Bouchagiar, F. Erlbacher och H. Kranenborg, samtliga i egenskap av ombud,

och efter att den 12 september 2024 ha hört generaladvokatens förslag till avgörande,

följande

Dom

Tillämpliga bestämmelser

Unionsrätt

Dataskyddsförordningen

Direktiv 2016/943

Österrikisk rätt

Målet vid den nationella domstolen och tolkningsfrågorna

Förfarandet vid EU-domstolen

Prövning av tolkningsfrågorna

Frågorna 1, 2 och 3 a

Frågorna 3 b och c, 4 a och b, 5 och 6

Rättegångskostnader

1 Begäran om förhandsavgörande avser tolkningen av dels artiklarna 15.1 h och 22 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2) (nedan kallad dataskyddsförordningen), dels artikel 2.1 i Europaparlamentets och rådets direktiv (EU) 2016/943 av den 8 juni 2016 om skydd mot att icke röjd know-how och företagsinformation (företagshemligheter) olagligen anskaffas, utnyttjas och röjs (EUT L 157, 2016, s. 1).

2 Begäran har framställts i ett mål mellan CK och Magistrat der Stadt Wien (stadsförvaltningen i Wien, Österrike). Målet rör verkställighet av ett domstolsavgörande genom vilket Bisnode Austria GmbH, sedermera Dun & Bradstreet Austria GmbH (nedan kallat D & B eller bolaget), som är ett kreditvärderingsföretag, förelades att ge CK meningsfull information om logiken bakom en profilering som bygger på hennes personuppgifter.

3 Skälen 4, 11, 58, 63 och 71 i dataskyddsförordningen har följande lydelse:

4 I artikel 4 (Definitioner) i dataskyddsförordningen föreskrivs följande i led 4:

5 I artikel 12 (Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter) i dataskyddsförordningen föreskrivs följande i punkt 1:

6 I punkt 2 f i artikel 13 (Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade) respektive i punkt 2 g i artikel 14 (Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade) föreskrivs att den personuppgiftsansvarige, för att säkerställa en rättvis och öppen behandling i förhållande till den registrerade, är skyldig att särskilt tillhandahålla den registrerade information om [f]örekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

7 I artikel 15 (Den registrerades rätt till tillgång) i dataskyddsförordningen föreskrivs följande:

8 I artikel 22 (Automatiserat individuellt beslutsfattande, inbegripet profilering) i dataskyddsförordningen föreskrivs följande:

9 Artikel 23 (Begränsningar) i dataskyddsförordningen har följande lydelse:

10 I artikel 54 (Regler för inrättandet av en tillsynsmyndighet) i dataskyddsförordningen föreskrivs följande i punkt 2:

11 I artikel 58 (Befogenheter) i dataskyddsförordningen föreskrivs följande i punkt 1 e:

12 I skäl 35 i direktiv 2016/943 anges följande:

13 I artikel 2.1 i direktiv 2016/943 föreskrivs följande:

14 I artikel 9 (Bevarande av konfidentialiteten för företagshemligheter under domstolsförfaranden) i direktiv 2016/943 föreskrivs följande:

15 Av 4 § 6 i Datenschutzgesetz (dataskyddslagen) av den 17 augusti 1999 (BGBl. I, 165/1999), i den lydelse som är tillämplig i det nationella målet (nedan kallad DSG), framgår att den registrerade i princip inte har rätt att få tillgång till sina personuppgifter enligt artikel 15 i dataskyddsförordningen, om detta skulle skada den personuppgiftsansvariges eller någon annans företags- eller affärshemlighet.

16 CK nekades av en mobiloperatör att ingå eller förlänga ett avtal om mobiltelefoni, vilket skulle ha inneburit en månatlig betalning av ett belopp på 10 euro. Skälet som angavs var att CK, enligt en automatiserad kreditvärdering som gjorts av D & B, inte var tillräckligt kreditvärdig.

17 CK vände sig därefter till den österrikiska dataskyddsmyndigheten, som förelade D & B att ge CK meningsfull information om logiken bakom det automatiserade beslutsfattande som grundats på CK:s personuppgifter.

18 D & B överklagade myndighetens beslut till Bundesverwaltungsgericht (Federala förvaltningsdomstolen, Österrike) (nedan kallad Bundesverwaltungsgericht) och gjorde i huvudsak gällande att bolaget, på grund av en skyddad företagshemlighet, inte var skyldigt att lämna ut ytterligare information till CK utöver den som det redan lämnat ut till henne.

19 I dom av den 23 oktober 2019 fann Bundesverwaltungsgericht att D & B hade åsidosatt den rätt till tillgång som CK har enligt artikel 15.1 h i dataskyddsförordningen, genom att inte tillhandahålla henne meningsfull information om logiken bakom det automatiserade beslutsfattande som grundats på hennes personuppgifter eller åtminstone genom att inte tillräckligt motivera varför det var omöjligt att lämna ut denna information.

20 I domskälen anförde Bundesverwaltungsgericht särskilt att D & B inte hade gett CK tillräckliga förklaringar för att hon skulle kunna förstå hur sannolikheten för hennes framtida beteende (score) (nedan kallat kreditbetyg) hade beräknats. Denna sannolikhetsprognos hade bolaget lämnat ut till CK med preciseringen att vissa sociodemografiska uppgifter om CK hade viktats mot varandra på ett likvärdigt sätt vid beräkningen av hennes kreditbetyg.

21 Bundesverwaltungsgerichts dom av den 23 oktober 2019 vann laga kraft och blev därmed verkställbart enligt österrikisk rätt. När CK ansökte om verkställighet av domen vid Wiens stadsförvaltning, som är verkställande myndighet, avslogs dock hennes ansökan. Myndigheten ansåg nämligen att D & B hade uppfyllt sin informationsskyldighet i tillräcklig utsträckning, trots att bolaget inte hade lämnat någon ytterligare information efter det att nämnda dom meddelats.

22 CK överklagade beslutet från staden Wiens stadsförvaltning till den hänskjutande domstolen i förevarande mål, Verwaltungsgericht Wien (Förvaltningsdomstolen i Wien, Österrike), och yrkade att Bundesverwaltungsgerichts dom skulle verkställas.

23 Den hänskjutande domstolen har angett att den enligt österrikisk rätt är skyldig att verkställa nämnda dom, vilket innefattar att fastställa vilka konkreta åtgärder som D & B är skyldigt att vidta enligt domen.

24 Den hänskjutande domstolen ansåg att detta fastställande endast kunde göras av en sakkunnig med erforderlig kompetens och utsåg därför en sakkunnig, som kom fram till att D & B var skyldigt att åtminstone lämna ut följande information för att uppfylla sina skyldigheter gentemot CK:

25 För att säkerställa att CK, efter att ha erhållit denna minimiinformation, gavs möjlighet att kontrollera att den var riktig ansåg den sakkunnige att D & B även måste lämna ut en förteckning över de kreditbetyg som tilldelats enskilda personer under de sex månaderna före och efter fastställandet av CK:s kreditbetyg på grundval av samma beräkningsmetod.

26 Den hänskjutande domstolen har angett att det är nödvändigt att ha tillgång till minimiinformation av det av den sakkunnige nämnda slaget för att det ska vara möjligt att kontrollera att den information som lämnats av en personuppgiftsansvarig enligt artikel 15.1 h i dataskyddsförordningen är konsekvent och riktig.

27 I förevarande fall finns det enligt den hänskjutande domstolen en rad omständigheter som tydligt visar att den information som lämnats av D & B inte överensstämmer med de faktiska förhållandena. Av den information som lämnades till CK, däribland det kreditbetyg som hon erhållit, framgick nämligen att hon var mycket kreditvärdig, men trots detta ledde den faktiska profileringen till bedömningen att CK inte var kreditvärdig och inte ens hade förmåga att betala ett belopp på 10 euro per månad för ett mobilabonnemang.

28 Enligt den hänskjutande domstolen uppkommer därmed frågan huruvida artikel 15.1 h i dataskyddsförordningen garanterar en rätt för den registrerade att ges möjlighet kontrollera att den information som lämnats av den personuppgiftsansvarige är riktig.

29 Den hänskjutande domstolen anser att om artikel 15.1 h i dataskyddsförordningen inte säkerställer en sådan rätt till kontrollmöjligheter, blir den däri angivna rätten för den registrerade att få tillgång till sina personuppgifter och annan information tömd på innehåll och mening, särskilt eftersom en personuppgiftsansvarig då skulle kunna lämna felaktig information.

30 En annan fråga som uppkommer enligt den hänskjutande domstolen är huruvida, och i så fall i vilken utsträckning, undantaget med hänvisning till förekomsten av en företagshemlighet innebär en begränsning av den registrerades rätt till tillgång enligt artikel 15.1 h jämförd med artikel 22 i dataskyddsförordningen.

31 Den hänskjutande domstolen vill, mot bakgrund av artikel 9 i direktiv 2016/943, få klarhet i huruvida det är möjligt att göra en bedömning enligt vilken information som klassats som företagshemligheter, i den mening som avses i artikel 2.1 i direktivet, endast ska lämnas ut till behörig myndighet eller domstol, för att denna myndighet eller domstol självständigt ska kunna kontrollera huruvida det faktiskt är fråga om en sådan företagshemlighet och huruvida den information som lämnats av den personuppgiftsansvarige enligt artikel 15.1 i dataskyddsförordningen överensstämmer med de faktiska förhållandena i det aktuella fallet.

32 Slutligen vill den hänskjutande domstolen få klarhet i huruvida artikel 15.1 jämförd med artikel 22.3 i dataskyddsförordningen utgör hinder för en bestämmelse som 4 § 6 DSG, som i princip innebär att den registrerade inte kan göra gällande en rätt till tillgång enligt artikel 15 i dataskyddsförordningen i fall där detta skulle skada den personuppgiftsansvariges eller någon annans företags- eller affärshemlighet.

33 Det är mot den nu angivna bakgrunden som Verwaltungsgericht Wien (Förvaltningsdomstolen i Wien, Österrike) har beslutat att vilandeförklara målet och ställa följande frågor till EU domstolen:

34 Genom beslut av den 8 december 2022 vilandeförklarade domstolens ordförande förevarande mål i avvaktan på det slutliga avgörandet i mål C‑634/21, SCHUFA Holding m.fl. (Scoring).

35 I enlighet med det beslut som domstolens ordförande fattade den 13 december 2023 delgav domstolens kansli den hänskjutande domstolen domen av den 7 december 2023, SCHUFA Holding m.fl. (Scoring) ( C‑634/21, EU:C:2023:957) (nedan kallad SCHUFA II‑domen), och uppmanade den att ange huruvida den, mot bakgrund av den domen, önskade vidhålla sin begäran om förhandsavgörande.

36 Genom skrivelse som inkom till EU-domstolens kansli den 29 januari 2024 uppgav den hänskjutande domstolen att den vidhöll sin begäran om förhandsavgörande, eftersom SCHUFA II‑domen inte gjorde det möjligt att besvara de frågor som den ställt i förevarande mål.

37 Domstolens ordförande beslutade därför den 14 februari 2024 att handläggningen av förevarande mål skulle återupptas.

38 Den hänskjutande domstolen har ställt frågorna 1, 2 och 3 a, vilka ska prövas tillsammans, för att få klarhet i huruvida artikel 15.1 h i dataskyddsförordningen ska tolkas på så sätt att vid automatiserat beslutsfattande, inbegripet profilering, i den mening som avses i artikel 22.1 i förordningen, har den registrerade rätt att kräva att den personuppgiftsansvarige, såsom meningsfull information om [den bakomliggande logiken], lämnar en uttömmande förklaring av det förfarande och de principer som tillämpas för att på automatisk väg använda den registrerades personuppgifter i syfte att uppnå ett visst resultat, såsom en kreditvärdighetsprofil.

39 EU-domstolen gör i denna del följande bedömning. Av fast rättspraxis framgår att vid tolkningen av en unionsbestämmelse ska inte bara lydelsen beaktas, utan också sammanhanget och de mål som eftersträvas med de föreskrifter som bestämmelsen ingår i (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 19 och där angiven rättspraxis).

40 Vad först gäller lydelsen av artikel 15.1 h i dataskyddsförordningen ska följande påpekas angående begreppet meningsfull information, i den bestämmelsens mening. Betydelserna av detta begrepp skiljer sig åt mellan de olika språkversionerna av förordningen. I vissa språkversioner betonas förmågan hos den information som ska lämnas att kunna uppfylla sitt syfte (utiles på franska, nuttige på nederländska, úteis på portugisiska) eller informationens relevans (pertinente på rumänska), medan tonvikten i andra språkversioner läggs på informationens betydelsefullhet (significativa på spanska och istotne på polska). Vad gäller den tyska och den engelska språkversionen kan det ord som används i dessa versioner (aussagekräftig respektive meaningful) förstås både som att informationen ska vara lättbegriplig och att den ska vara av en viss kvalitet.

41 Mångfalden av betydelser i de olika språkversionerna ska dock förstås så, att de i föregående punkt angivna innebörderna kompletterar varandra. Såsom generaladvokaten har påpekat i punkt 65 i sitt förslag till avgörande är detta något som ska beaktas vid tolkningen av begreppet meningsfull information om [den bakomliggande logiken], i den mening som avses i artikel 15.1 h i dataskyddsförordningen.

42 Vidare kan det konstateras att hänvisningen i denna bestämmelse till vad den meningsfulla informationen ska avse, det vill säga logiken bakom ett automatiserat beslutsfattande, är allmänt formulerad. Mot bakgrund av detta måste denna hänvisning anses kunna omfatta ett brett spektrum av olika typer av logik bakom användningen av personuppgifter och andra uppgifter i syfte att på automatiserad väg erhålla ett visst resultat. Denna tolkning vinner stöd av vissa språkversioner av nämnda bestämmelse, vilka använder uttryck som på ett kompletterande sätt avser olika aspekter av den gängse betydelsen av begreppet logik. I den tjeckiska och den polska språkversionen hänvisas exempelvis till begreppen postupu respektive zasady, vilka kan översättas med förfarande respektive principer.

43 EU-domstolen finner således att ordalydelsen i artikel 15.1 h i dataskyddsförordningen avser all relevant information om förfarandet och principerna för användning av personuppgifter på automatiserad väg i syfte att uppnå ett visst resultat.

44 Vad sedan gäller det sammanhang i vilket begreppet meningsfull information om [den bakomliggande logiken] i artikel 15.1 h i dataskyddsförordningen ingår, ska följande påpekas. För det första är denna information endast en del av den information som omfattas av den i artikel 15 angivna rätten till tillgång, eftersom denna rätt även gäller för information om den aktuella personuppgiftsbehandlingens betydelse och förutsedda följder för den registrerade.

45 Nyss nämnda information måste åtföljas av verkliga, greppbara exempel för att vara meningsfull och begriplig, såsom framgår av riktlinjerna om automatiserat individuellt beslutsfattande och profilering enligt förordning (EU) 2016/679, vilka antogs den 3 oktober 2017 av den genom artikel 29 i direktiv 95/46 inrättade arbetsgruppen (senast granskade och antagna den 6 februari 2018) (nedan kallade riktlinjerna om automatiserat beslutsfattande och profilering). Även om den hänskjutande domstolens frågor inte gäller denna information, ska den ändå beaktas som en del av det sammanhang i vilket begreppet meningsfull information om [den bakomliggande logiken] ingår.

46 För det andra kan det konstateras att begreppet meningsfull information om [den bakomliggande logiken] även förekommer i artiklarna 13.2 f och 14.2 g i dataskyddsförordningen. Mot denna bakgrund har EU-domstolen redan slagit fast att vid automatiserat beslutsfattande enligt artikel 22.1 i förordningen, bildar rätten att få tillgång till sådan information enligt artikel 15.1 h i förordningen en helhet tillsammans med de ytterligare informationsskyldigheter som åligger den personuppgiftsansvarige enligt artiklarna 13.2 f och 14.2 g i förordningen (se, för ett liknande resonemang, SCHUFA II‑domen, punkt 56 samt där angiven rättspraxis).

47 För det tredje instämmer EU-domstolen i vad generaladvokaten i huvudsak har anfört i punkterna 58–60 i sitt förslag till avgörande, nämligen att det vid en kontextuell tolkning av de registrerades informationsrättigheter vid automatiserat beslutsfattandes måste tas hänsyn till domstolens praxis om vilka krav som den personuppgiftsansvarige ska uppfylla enligt artikel 15.3 i dataskyddsförordningen.

48 Det ska därmed bland annat beaktas att det i artikel 12.1 i förordningen angivna kravet på öppenhet avseende den tillhandahållna informationen är tillämpligt på alla uppgifter och all information som avses i artikel 15 i förordningen, däribland information som har samband med automatiserat beslutsfattande.

49 Enligt artikel 12.1 i förordningen är den personuppgiftsansvarige skyldig att vidta lämpliga åtgärder bland annat för att se till att nämnda uppgifter och information lämnas till den registrerade i en koncis, transparent, begriplig och lättillgänglig form, med användning av klart och tydligt språk. Detta för att säkerställa att den registrerade ges möjlighet att fullt ut förstå den aktuella informationen (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 38).

50 Det nu anförda innebär följande. Prövningen av det sammanhang i vilket artikel 15.1 h i dataskyddsförordningen ingår ger stöd åt den tolkning som följer av prövningen av denna bestämmelses ordalydelse, det vill säga att uttrycket meningsfull information om logiken bakom ett automatiserat beslutsfattande, i bestämmelsens mening, avser all relevant information om förfarandet och principerna för användning av personuppgifter i syfte att på automatiserad väg uppnå ett visst resultat, varvid kravet på öppenhet dessutom innebär att informationen ska tillhandahållas på ett koncist, transparent, begripligt och lättillgängligt sätt.

51 EU-domstolen övergår slutligen till att behandla de mål som eftersträvas med dataskyddsförordningen. I detta avseende ska det påpekas att ett av dessa mål är att säkerställa en hög skyddsnivå för fysiska personers grundläggande fri- och rättigheter, i synnerhet för deras rätt till skydd av personuppgifter, vilken slås fast i artikel 16 FEUF och utgör en grundläggande rättighet som skyddas enligt artikel 8 i stadgan, som ett komplement till den i artikel 7 fastslagna rätten till privatliv (se, för ett liknande resonemang, dom av den 4 oktober 2024, Schrems (Offentliggörande av uppgifter för allmänheten), C‑446/21, EU:C:2024:834, punkt 45 och där angiven rättspraxis).

52 Dataskyddsförordningen syftar därmed, såsom framgår av dess skäl 11, till att förstärka och specificera de registrerades rättigheter (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 33 och där angiven rättspraxis).

53 Vad särskilt gäller den rätt till tillgång som föreskrivs i artikel 15 i dataskyddsförordningen, framgår det av domstolens praxis att denna rätt ska göra det möjligt för den registrerade att försäkra sig om att de personuppgifter som rör honom eller henne är riktiga och att de behandlas på ett lagenligt sätt (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 34, och dom av den 26 oktober 2023, FT (Kopior av hälsojournalen), C‑307/22, EU:C:2023:811, punkt 73).

54 Denna rätt till tillgång är nödvändig för att möjliggöra för den registrerade att, i förekommande fall, kunna utöva sin rätt till rättelse, sin rätt till radering (rätten att bli bortglömd) och sin rätt till begränsning av behandling, vilka tillerkänns den registrerade i artiklarna 16, 17 respektive 18 i dataskyddsförordningen, liksom sin i artikel 21 i förordningen föreskrivna rätt att göra invändningar mot behandlingen av hans eller hennes personuppgifter, och sin rätt att föra talan till följd av skada, i enlighet med artiklarna 79 och 82 i dataskyddsförordningen (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 35).

55 Vad närmare gäller det specifika sammanhang som avser beslutsfattande grundat enbart på automatiserad behandling av personuppgifter kan följande konstateras. Det huvudsakliga syftet med den registrerades rätt att få tillgång till den i artikel 15.1 h i dataskyddsförordningen angivna informationen är att han eller hon ska ha möjlighet att på ett effektivt sätt utöva sina rättigheter enligt artikel 22.3 i förordningen, det vill säga rätten att uttrycka sin åsikt om beslutet och rätten att bestrida det.

56 Personer som berörs av ett automatiserat beslut, inbegripet profilering, måste nämligen ges möjlighet att förstå på vilka grunder beslutet har fattats innan de uttrycker sin åsikt eller bestrider beslutet, eftersom nämnda rättigheter annars inte fullt ut kan anses uppfylla sitt syfte att skydda enskilda mot de särskilda riskerna för deras rättigheter och friheter vid automatiserad personuppgiftsbehandling (se, för ett liknande resonemang, SCHUFA II‑domen, punkt 57 samt där angiven rättspraxis).

57 I detta avseende framgår av skäl 71 i dataskyddsförordningen att den registrerade ska ha rätt att få en förklaring av ett beslut som fattats enbart på grundval av automatiserad personuppgiftsbehandling och som i betydande grad påverkar honom eller henne. EU-domstolen finner således, i likhet med vad generaladvokaten har påpekat i punkt 67 i sitt förslag till avgörande, att artikel 15.1 h i dataskyddsförordningen ger den registrerade en verklig rätt att få en förklaring av hur mekanismen bakom det automatiserade beslutsfattande som han eller hon varit föremål för fungerar och av det resultat som beslutsfattandet lett fram till.

58 Det framgår av prövningen av dataskyddsförordningens syften, i synnerhet syftena med artikel 15.1 h i förordningen, att rätten att erhålla meningsfull information om logiken bakom automatiserat beslutsfattande, i den bestämmelsens mening, ska förstås som en rätt att få en förklaring av det förfarande och de principer som konkret tillämpats för att på automatiserad väg använda den registrerades personuppgifter i syfte att uppnå ett visst resultat, såsom en kreditvärdighetsprofil. Denna förklaring ska ges med hjälp av relevant information och i en koncis, transparent, begriplig och lättillgänglig form, för att den registrerade på ett effektivt sätt ska kunna utöva sina rättigheter enligt dataskyddsförordningen, i synnerhet enligt artikel 22.3 i förordningen.

59 De nu angivna kraven kan inte uppfyllas genom att enbart ge den registrerade information i form av en komplicerad matematisk formel, såsom en algoritm, och inte heller genom att tillhandahålla en detaljerad beskrivning av alla steg i ett automatiserat beslutsfattande. Detta eftersom inget av dessa sätt kan anses utgöra en tillräckligt koncis och begriplig förklaring.

60 Av sidan 28 i de ovan i punkt 45 nämnda riktlinjerna om automatiserat beslutsfattande och profilering framgår nämligen följande. För det första bör den personuppgiftsansvarige försöka att på ett enkelt sätt förklara de underliggande skälen eller kriterierna för att komma fram till det aktuella beslutet. För det andra kräver dataskyddsförordningen att den personuppgiftsansvarige lämnar meningsfull information om logiken bakom beslutet, men inte att denne nödvändigtvis [ger] en komplex förklaring av de algoritmer som används eller [lämnar] ut den fullständiga algoritmen.

61 Det nu anförda innebär att meningsfull information om logiken bakom automatiserat beslutsfattande, i den mening som avses i artikel 15.1 h i dataskyddsförordningen, ska innehålla en beskrivning av det förfarande och de principer som faktiskt tillämpats vid det aktuella automatiserade beslutsfattandet. Denna beskrivning ska vara av sådant slag att den registrerade kan förstå vilka av hans eller hennes personuppgifter som har använts – och på vilket sätt – i samband med det automatiserade beslutsfattandet. Den personuppgiftsansvarige kan inte för att befria sig från sin förklaringsskyldighet åberopa att automatiserat beslutsfattande innefattar komplicerade processer.

62 Vad närmare gäller en profilering som den nu aktuella skulle den hänskjutande domstolen bland annat kunna anse att kravet på öppenhet och begriplighet är uppfyllt om den registrerade informeras om i vilken utsträckning beaktandet av andra personuppgifter skulle ha lett till ett annat resultat.

63 Med detta sagt ska dock följande precisering göras vad gäller frågan huruvida den information som den personuppgiftsansvarige lämnar ska göra det möjligt för den registrerade att kontrollera riktigheten av de av hans eller hennes personuppgifter som legat till grund för det automatiserade beslutsfattandet. Den registrerades rätt att i det fallet få tillgång till sina personuppgifter följer inte av artikel 15.1 h i dataskyddsförordningen, utan av den inledande meningen i artikel 15.1, som innebär en garanti för den registrerade att kunna förvissa sig om att de behandlade personuppgifter som rör honom eller henne är riktiga (se ovan i punkt 53 angiven rättspraxis).

64 EU-domstolen ska slutligen behandla den hänskjutande domstolens påstående att den information som D & B har lämnat till CK enligt artikel 15.1 h i dataskyddsförordningen inte överensstämmer med de faktiska förhållandena, eftersom den faktiska profileringen ledde till bedömningen att hon inte var kreditvärdig trots att informationen från D & B tydde på motsatsen. I detta avseende ska det påpekas att om den hänskjutande domstolen anser att den konstaterade bristande överensstämmelsen beror på att D & B inte tillhandahållit CK den profilering av henne som bolaget gjort på uppdrag av det mobiltelefoniföretag som, på grundval av nämnda profilering, vägrar att ingå eller förnya ett avtal med henne, så ska denna brist avhjälpas med hjälp av rätten till tillgång till den kreditvärdighetsprofil som skapats genom den faktiska profileringen. Därvid framgår av EU-domstolens praxis att personuppgifter som genererats av den personuppgiftsansvarige själv omfattas av artikel 14 i dataskyddsförordningen (se, för ett liknande resonemang, dom av den 28 november 2024, Másdi, C‑169/23, EU:C:2024:988, punkt 48).

65 En förklaring av skillnaderna mellan resultatet av en faktisk profilering av nyss nämnt slag, om det antas att en sådan har gjorts, och det resultat som D & B har lämnat ut till CK, vilket bolaget påstår att det erhållit genom att vikta [uppgifterna om CK] mot varandra på ett likvärdigt sätt, måste däremot anses ingå i vad som utgör meningsfull information om logiken bakom den på detta sätt utförda profileringen. I enlighet med vad som har påpekats i punkt 58 ovan är D & B således skyldigt att på ett koncist, transparent, begripligt och lättillgängligt sätt förklara det förfarande och de principer som tillämpats för att komma fram till resultatet av den faktiska profileringen.

66 Av det ovan anförda följer att frågorna 1, 2 och 3 a ska besvaras enligt följande. Artikel 15.1 h i dataskyddsförordningen ska tolkas på så sätt att vid automatiserat beslutsfattande, inbegripet profilering, i den mening som avses i artikel 22.1 i förordningen, har den registrerade rätt att kräva att den personuppgiftsansvarige, såsom meningsfull information om [den bakomliggande logiken], förklarar – med hjälp av relevant information som lämnas i en koncis, transparent, begriplig och lättillgänglig form – vilket förfarande och vilka principer som tillämpats för att på automatisk väg använda den registrerades personuppgifter i syfte att uppnå ett visst resultat, såsom en kreditvärdighetsprofil.

67 Den hänskjutande domstolen har ställt frågorna 3 b och c, 4 a och b, 5 och 6, vilka ska prövas tillsammans, för att få klarhet i huruvida artikel 15.1 h i dataskyddsförordningen ska tolkas på så sätt att om den personuppgiftsansvarige anser att den information som ska lämnas till den registrerade i enlighet med denna bestämmelse innehåller andras – av förordningen skyddade – personuppgifter eller att den innehåller företagshemligheter, i den mening som avses i artikel 2.1 i direktiv 2016/943, så är den personuppgiftsansvarige skyldig att överlämna den påstått skyddade informationen till behörig tillsynsmyndighet eller domstol, på vilka det ankommer att göra en avvägning mellan berörda motstående rättigheter och intressen för att fastställa omfattningen av den registrerades rätt till tillgång enligt artikel 15 i dataskyddsförordningen.

68 EU-domstolen gör i denna del följande bedömning. Av skäl 4 i dataskyddsförordningen framgår att rätten till skydd av personuppgifter inte är en absolut rättighet utan måste vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Dataskyddsförordningen respekterar således alla grundläggande rättigheter och iakttar de friheter och principer som erkänns i stadgan, vilka är stadfästa i fördragen (dom av den 26 oktober 2023, FT (Kopior av patientjournalen), C‑307/22, EU:C:2023:811, punkt 59 och där angiven rättspraxis).

69 Vidare framgår av skäl 63 i dataskyddsförordningen att den registrerades rätt att få tillgång till de personuppgifter som insamlats om honom eller henne inte bör inverka menligt på andras fri- och rättigheter, däribland företagshemligheter eller immateriell äganderätt, och särskilt inte på upphovsrätt som skyddar programvaran.

70 I samma skäl anges att resultatet av dessa överväganden dock inte bör bli att den registrerade förvägras all information. Det nu redovisade kommer till uttryck i artikel 23.1 i) i dataskyddsförordningen. Enligt denna bestämmelse får tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i bland annat artikel 15 i förordningen endast begränsas om en sådan begränsning sker med respekt för andemeningen i de grundläggande fri- och rättigheterna och utgör en nödvändig och proportionerlig åtgärd i ett demokratiskt samhälle i syfte att säkerställa skydd av andras fri- och rättigheter.

71 Mot bakgrund av den i artikel 15.4 i förordningen angivna närliggande rätten att erhålla en kopia har domstolen redan slagit fast att tillämpningen av denna rätt inte får inverka menligt på andras fri- och rättigheter, däribland företagshemligheter eller immateriell äganderätt, och särskilt inte på upphovsrätt som skyddar programvaran (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 43).

72 Domstolen anförde i detta sammanhang att det vid en eventuell konflikt mellan å ena sidan utövandet av rätten till full och oinskränkt tillgång till personuppgifter och å andra sidan andras fri- och rättigheter ska göras en avvägning mellan de aktuella fri- och rättigheterna. I möjligaste mån ska de former för tillhandahållande av personuppgifter väljas som inte inverkar menligt på andras fri- och rättigheter med beaktande av att resultatet av dessa överväganden, såsom framgår av skäl 63 i dataskyddsförordningen, inte bör bli att den registrerade förvägras all information (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 44).

73 Vad gäller frågan hur rätten till tillgång enligt artikel 15.1 h i dataskyddsförordningen kan genomföras på ett sätt som respekterar andras fri- och rättigheter, framgår av rättspraxis att en nationell domstol kan besluta att en handling som innehåller parternas eller andras personuppgifter ska ges in till den för att den med beaktande av samtliga omständigheter i målet och i enlighet med proportionalitetsprincipen ska kunna göra en avvägning mellan berörda intressen. Denna bedömning kan i förekommande fall föranleda att den nationella domstolen beslutar att de personuppgifter som handlingen innehåller helt eller delvis ska lämnas ut till motparten, om domstolen finner att ett sådant utlämnande inte går utöver vad som är nödvändigt för att säkerställa att parternas rättigheter enligt artikel 47 i stadgan faktiskt upprätthålls (dom av den 2 mars 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, punkt 58).

74 Såsom generaladvokaten har påpekat i punkt 94 i sitt förslag till avgörande är denna rättspraxis helt överförbar på den situationen att informationen som ska lämnas till den registrerade enligt den i artikel 15.1 h i dataskyddsförordningen garanterade rätten till tillgång kan inverka menligt på andras fri- och rättigheter. Det kan bland annat röra sig om att den aktuella informationen innehåller andras – av förordningen skyddade – personuppgifter eller att den innehåller företagshemligheter, i den mening som avses i artikel 2.1 i direktiv 2016/943. Även i den situationen ska den personuppgiftsansvarige ge in nämnda information till behörig tillsynsmyndighet eller domstol, på vilka det ankommer att göra en avvägning mellan berörda motstående rättigheter och intressen för att fastställa i vilken omfattning den registrerade har rätt att få tillgång till de personuppgifter som rör honom eller henne.

75 Mot bakgrund av att detta är något som måste fastställas från fall till fall finner EU-domstolen att artikel 15.1 h i dataskyddsförordningen bland annat utgör hinder för att tillämpa en bestämmelse som 4 § 6 DSG, som innebär att den registrerade i princip inte har rätt att få tillgång till sina personuppgifter enligt artikel 15 i dataskyddsförordningen, om detta skulle skada den personuppgiftsansvariges eller någon annans företags- eller affärshemlighet. I detta avseende ska det påpekas att en medlemsstat inte har rätt att slutgiltigt ange vad resultatet av en enligt unionsrätten erforderlig avvägning från fall till fall mellan berörda motstående rättigheter och intressen blir (se, för ett liknande resonemang, SCHUFA II‑domen, punkt 70 samt där angiven rättspraxis).

76 Av det ovan anförda följer att frågorna 3 b och c, 4 a och b, 5 och 6 ska besvaras enligt följande. Artikel 15.1 h i dataskyddsförordningen ska tolkas på så sätt att om den personuppgiftsansvarige anser att den information som ska lämnas till den registrerade i enlighet med denna bestämmelse innehåller andras – av förordningen skyddade – personuppgifter eller att den innehåller företagshemligheter, i den mening som avses i artikel 2.1 i direktiv 2016/943, så är den personuppgiftsansvarige skyldig att överlämna den påstått skyddade informationen till behörig tillsynsmyndighet eller domstol, på vilka det ankommer att göra en avvägning mellan berörda motstående rättigheter och intressen för att fastställa omfattningen av den registrerades rätt till tillgång enligt artikel 15 i dataskyddsförordningen.

77 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

1 Rättegångsspråk: tyska.