Förslag till avgörande av generaladvokat Maciej Szpunar föredraget den 18 september 2025
1 Originalspråk: franska.
2 Se Basedow, J., EU Private Law – Anatomy of a Growing Legal Order, Intersentia, Cambridge, 2021, punkterna 98 och 99.
3 Se, till exempel, i fråga om konsumentkreditavtal, dom av den 21 december 2023, BMW Bank m.fl. ( C‑38/21, C‑47/21 och C‑232/21, EU:C:2023:1014, punkterna 280–282 och där angiven rättspraxis).
4 Europaparlamentets och rådets förordning av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1).
5 Dom av den 26 oktober 2023 ( C‑307/22, EU:C:2023:811, punkt 31) (nedan kallad domen FT).
6 Se, för ett liknande resonemang, dom av den 30 april 2025, Generalstaatsanwaltschaft Frankfurt am Main (Export av kontanta medel till Ryssland) ( C‑246/24, EU:C:2025:295, punkt 27 och där angiven rättspraxis).
7 Se, analogt, med avseende på artikel 57.4 i dataskyddsförordningen, dom av den 9 januari 2025, Österreichische Datenschutzbehörde (Orimlig begäran) ( C‑416/23, EU:C:2025:3, punkterna 33 och 48) (nedan kallad domen Österreichische Datenschutzbehörde).
8 Se, för ett liknande resonemang, dom av den 22 juni 2023, Pankki S ( C‑579/21, EU:C:2023:501, punkt 59).
9 Se, för ett liknande resonemang, förslag till avgörande av generaladvokaten Richard de la Tour i målet Österreichische Datenschutzbehörde (Orimlig begäran) ( C‑416/23, EU:C:2024:701, punkt 62).
10 Dom av den 27 februari 2025, Dun & Bradstreet Austria m.fl. ( C‑203/22, EU:C:2025:117, punkt 54 och där angiven rättspraxis).
11 Se, för ett liknande resonemang, domen FT (punkt 47), och domen Österreichische Datenschutzbehörde (punkt 38).
12 Punkt 31.
13 Punkterna 31 och 32.
14 Punkterna 18 och 23.
15 Domen FT (punkterna 35–51 och, särskilt punkterna 38, 43, 50 och 51). Domstolen bekräftade denna tolkning i sitt beslut av den 27 maj 2024, Addiko Bank ( C‑312/23, EU:C:2024:458), angående en banks vägran att till sina kunder, av vilka vissa övervägde att inge klagomål eller väcka talan vid domstol mot banken, lämna ut kopior av de kredithandlingar som rörde dem.
16 Se, för ett liknande resonemang, domen Österreichische Datenschutzbehörde (punkt 50).
17 Domstolen har redan i punkt 48 i domen Österreichische Datenschutzbehörde tillämpat tolkningen i punkt 31 i domen FT analogt.
18 Se, angående hänvisningen till den hänskjutande domstolen, dom av den 12 januari 2023, Österreichische Post (Information om mottagarna av personuppgifter) ( C‑154/21, EU:C:2023:3, punkt 50).
19 Domen Österreichische Datenschutzbehörde (punkt 49).
20 Se, till exempel, i privaträttsliga mål, dom av den 21 december 2023, BMW Bank m.fl. ( C‑38/21, C‑47/21 och C‑232/21, EU:C:2023:1014, punkterna 284 och 285 och där angiven rättspraxis), och dom av den 19 september 2024, Matmut ( C‑236/23, EU:C:2024:761, punkt 54).
21 Se mitt förslag till avgörande i målet Matmut ( C‑236/23, EU:C:2024:560, punkt 67).
22 Domen Österreichische Datenschutzbehörde (punkt 50).
23 Se, för ett liknande resonemang, domen Österreichische Datenschutzbehörde (punkt 56).
24 Se, bland annat, dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF ( C‑487/21, EU:C:2023:369, punkterna 33–35).
25 Nämligen när registrerade använder rätten till tillgång på ett orimligt sätt i det enda syftet att skada den personuppgiftsansvarige eller när en person framställer en begäran men samtidigt erbjuder sig att dra tillbaka den i utbyte mot någon form av prestation från den personuppgiftsansvariges sida; se Europeiska dataskyddsstyrelsens riktlinjer 01/2022 om registrerades rättigheter – Rätten till tillgång, version 2.1, som antogs den 28 mars 2023, https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_fr, punkterna 188 och 190.
26 Se, för ett liknande resonemang, domen Österreichische Datenschutzbehörde (punkterna 51–57).
27 Se, även, de exempel som återfinns i Europeiska dataskyddsstyrelsens riktlinjer 01/2022 om registrerades rättigheter – Rätten till tillgång, version 2.1, som antogs den 28 mars 2023, https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_fr, punkterna 13, 185, 188 och 190.
28 Min kursivering.
29 Se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter) ( C‑300/21, EU:C:2023:370, punkterna 32–34), och, senast, dom av den 4 oktober 2024, Patērētāju tiesību aizsardzības centrs ( C‑507/23, EU:C:2024:854, punkt 24).
30 Se, i detta avseende, mitt förslag till avgörande i de förenade målen X och Visser ( C‑360/15 och C‑31/16, EU:C:2017:397, punkt 132).
31 I punkt 36 i dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter) ( C‑300/21, EU:C:2023:370), slog domstolen fast att I artikel 82.2 i dataskyddsförordningen, som innehåller reglerna för det ansvarssystem vars princip fastställs i punkt 1 i denna artikel, återges … de tre nödvändiga villkoren för att ge rätt till ersättning. Dessa är en personuppgiftsbehandling som utförs i strid med bestämmelserna i dataskyddsförordningen, en skada som den registrerade har lidit samt ett orsakssamband mellan den otillåtna behandlingen och skadan (min kursivering). Denna tolkning upprepades i punkt 159 i domen av den 4 oktober 2024, Agentsia po vpisvaniyata ( C‑200/23, EU:C:2024:827). Se även dom av den 21 december 2023, Krankenversicherung Nordrhein ( C‑667/21, EU:C:2023:1022, punkterna 92–97), i vilken det inte tycks göras någon åtskillnad mellan överträdelser av dataskyddsförordningen och den behandling som utgör en överträdelse av denna förordning.
32 Europaparlamentets och rådets direktiv av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).
33 Se, för ett liknande resonemang, förslag till avgörande av generaladvokaten Campos Sánchez-Bordona i målet Österreichische Post (Ideell skada på grund av behandling av personuppgifter) ( C‑300/21, EU:C:2022:756, punkt 41).
34 Dom av den 21 december 2023, Krankenversicherung Nordrhein ( C‑667/21, EU:C:2023:1022, punkterna 94 och 95).
35 Se dom av den 11 juli 2024, Meta Platforms Ireland (Grupptalan) ( C‑757/22, EU:C:2024:598, punkterna 40 och 42 samt 59–64), i vilken domstolen tolkade kravet på kränkning av en registrerad persons rättigheter som en följd av behandlingen mot bakgrund av den preventiva funktionen som grupptalan har. Se även dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter) ( C‑300/21, EU:C:2023:370, punkt 39), enligt vilken det i artiklarna 77 och 78 i dataskyddsförordningen, vilka ingår i [kapitel VIII], föreskrivs rättsmedel till eller mot en tillsynsmyndighet vid en påstådd överträdelse av förordningen ….
36 Se, senast, dom av den 30 april 2025, Inspektorat kam Visshia sadeben savet ( C‑313/23, C‑316/23 och C‑332/23, EU:C:2025:303, punkt 136 och där angiven rättspraxis).
37 Se, för ett liknande resonemang, Martini, M., Article 79, DSGVO BDSG, i Paal, B.P., och Pauly, D.A (utg.), 3:e uppl., München, 2021, punkt 22a.
38 Det vill säga villkoret att den registrerades personuppgifter ska behandlas.
39 Se senast dom av den 3 april 2025, Ministerstvo zdravotnictví (Uppgifter om en juridisk persons företrädare) ( C‑710/23, EU:C:2025:231, punkt 27).
40 Såsom den hänskjutande domstolen och kommissionen med rätta har påpekat är behandlingen av den registrerades personuppgifter i syfte att besvara en begäran om information som framställts enligt artikel 15 i dataskyddsförordningen laglig, i den mening som avses i artikel 6.1 c och 6.3 i förordningen, oavsett om den personuppgiftsansvarige redan har behandlat den registrerades uppgifter eller inte. Denna behandling är i själva verket nödvändig, i den mening som avses i ovannämnda bestämmelser, för att uppfylla en rättslig förpliktelse som den personuppgiftsansvarige omfattas av enligt unionsrätten.
41 Se vad gäller artikel 79 i dataskyddsförordningen, Martini, M., Artikel 79, DSGVO BDSG, i Paal, B.P., och Pauly, D.A (utg.), 3:e uppl., München, 2021, punkt 22a.
42 Dom av den 4 oktober 2024, Agentsia po vpisvaniyata ( C‑200/23, EU:C:2024:827, punkt 142 och där angiven rättspraxis).
43 Se, bland annat, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter) ( C‑300/21, EU:C:2023:370, punkterna 32–36), dom av den 20 juni 2024, PS (Felaktig adress) ( C‑590/22, EU:C:2024:536, punkt 33), och dom av den 4 september 2025, Quirin Privatbank ( C‑655/23, EU:C:2025:655, punkterna 62 och 64).
44 Se, för ett liknande resonemang, dom av den 14 december 2023, Gemeinde Ummendorf ( C‑456/22, EU:C:2023:988, punkt 18), dom av den 20 juni 2024, Scalable Capital ( C‑182/22 och C‑189/22, EU:C:2024:531, punkt 44), och dom av den 4 oktober 2024, Agentsia po vpisvaniyata ( C‑200/23, EU:C:2024:827, punkt 149).
45 Dom av den 20 juni 2024, Scalable Capital ( C‑182/22 och C‑189/22, EU:C:2024:531, punkt 46).