Artikel 4 led 7 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
Preliminär utgåva
FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
RIMVYDAS NORKUS
föredraget den 18 juni 2026( 1 )
Mål C ‑ 185/25 [Waldfelber] ( i )
RS
mot
TS
(begäran om förhandsavgörande från Oberster Gerichtshof (Högsta domstolen, Österrike))
” Begäran om förhandsavgörande – Skydd av personuppgifter – Förordning (EU) 2016/679 – Artikel 4 led 7 – Begreppet ’personuppgiftsansvarig’ – Fysisk person som agerar i egenskap av chef för en offentlig enhet – Rektor för en skola – Bestämmande av ändamålen med och medlen för behandlingen av personuppgifter – Personuppgifter i ett e-postmeddelande som rektorn skickat från sitt e-postkonto i tjänsten – Artikel 15.1 g – Den registrerades rätt att få tillgång till ’all tillgänglig information’ om varifrån personuppgifterna kommer – Personuppgifter i form av åsikter om den registrerade – Åsikter grundade på en diskussion med en tredje part – Den registrerades rätt att få tillgång till information om den tredje partens identitet – Artikel 82 – Ansvar och rätt till ersättning – Skada som påstås ha orsakats av ett åsidosättande av rätten till tillgång – Rektorn undantagen från ansvar – Giltigheten av undantaget ”
I. Inledning
1. Förevarande mål gäller en situation som inte är ovanlig i arbetslivet. En fysisk person, som agerar i egenskap av anställd eller ombud för en privat eller offentlig juridisk person, ber, i ett privat samtal, en tredje part att ge sin åsikt om en person som valts ut för att besätta en tjänst inom denna juridiska person. Efter denna diskussion skickar den anställde eller företrädaren ett e-postmeddelande från sitt e-postkonto i tjänsten till den person som ansvarar för att föreslå kandidaten, med en begäran om att en annan person ska föreslås i stället.
2. Den person som var avsedd att få tjänsten får kännedom om detta e-postmeddelande och försöker ta reda på vem den tredje parten är. Kan den personen få tillgång till den informationen med stöd av förordning (EU) 2016/679( 2 ), och mer specifikt artikel 15.1 g däri?
3. Enligt denna bestämmelse har den registrerade (det vill säga en identifierad eller identifierbar fysisk person vars personuppgifter( 3 ) har behandlats)( 4 ) rätt att av den ”personuppgiftsansvarige” få tillgång till ”all tillgänglig information om varifrån [uppgifter som rör honom eller henne] kommer”, om personuppgifterna inte har samlats in från den registrerade själv. I förevarande fall är den påstått ”personuppgiftsansvarige” (TS, motparten i det nationella målet) rektor för en grundskola i Österrike. I denna sin egenskap organiserar han fortbildningsprogram för lärarna vid sin skola. Dessa program anordnas av Pädagogische Hochschule (Lärarhögskolan, Österrike) med hjälp av ”Prozessbegleiter” (”programsamordnare”).
4. Den registrerade (RS, klaganden i det nationella målet) är en sådan programsamordnare. Efter att ha informerats om att ett kommande utbildningsprogram för lärarna vid hans skola skulle samordnas av RS, förhörde sig TS hos en tredje part om den förstnämndes anseende. Med anledning av den information han erhållit skickade TS ett e-postmeddelande till Lärarhögskolan från sin tjänsteadress, i vilket han begärde att en annan programsamordnare skulle utses i RS ställe. RS har, med stöd av artikel 15.1 g i dataskyddsförordningen, begärt att få kännedom om identiteten på den tredje part som uttalade sig negativt om honom.
5. Oberster Gerichtshof (Högsta domstolen, Österrike) önskar i detta sammanhang få klarhet i räckvidden av denna bestämmelse. Den hänskjutande domstolen vill även, som en prejudiciell fråga, få klarlagt huruvida en person såsom TS kan anses vara ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 i dataskyddsförordningen. Slutligen önskar nämnda domstol få klarhet i huruvida de negativa konsekvenserna av ett åsidosättande av den skyldighet att ge tillgång till information som föreskrivs i artikel 15.1 i dataskyddsförordningen kan anses utgöra ”skada som orsakats av behandling som strider mot denna förordning”, i den mening som avses i artikel 82.2 i dataskyddsförordningen, och leda till att den personuppgiftsansvarige blir ersättningsskyldig. Den hänskjutande domstolen vill även få utrett huruvida artikel 82 i dataskyddsförordningen i en sådan situation utgör hinder för nationella bestämmelser som undantar personer som agerar som ”företrädare” för vissa offentliga juridiska personer (såsom, i förevarande fall, TS) från ansvar för sådan skada.
II. Tillämpliga bestämmelser
A. Unionsrätt
6. I skäl 63 i dataskyddsförordningen anges följande:
”Den registrerade bör ha rätt att få tillgång till personuppgifter som insamlats om denne samt på enkelt sätt och med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna kontrollera att den är laglig. … Alla registrerade bör därför ha rätt att få kännedom och underrättelse om framför allt orsaken till att personuppgifterna behandlas, om möjligt vilken tidsperiod behandlingen pågår, vilka som mottar personuppgifterna, bakomliggande logik i samband med automatisk behandling av personuppgifter och, åtminstone när behandlingen bygger på profilering, konsekvenserna av sådan behandling. … Denna rätt bör inte inverka menligt på andras rättigheter eller friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt som skyddar programvaran. Resultatet av dessa överväganden bör dock inte bli att den registrerade förvägras all information. …”
7. I artikel 4 led 7 i nämnda förordning definieras en personuppgiftsansvarig som ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt”.
8. Enligt artikel 15.1 i dataskyddsförordningen har den registrerade ”rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och … [o]m personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer”.
9. I artikel 82.1 i dataskyddsförordningen föreskrivs att ”[v]arje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan”. Enligt artikel 82.2 i nämnda förordning ska ”[v]arje personuppgiftsansvarig som medverkat vid behandlingen … ansvara för skada som orsakats av behandling som strider mot denna förordning”. Där föreskrivs vidare att ”[e]tt personuppgiftsbiträde ska ansvara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter i denna förordning som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar”.
B. Österrikisk rätt
10. I kapitel I (som har rubriken ”Tredje parts ansvar”) Bundesgesetz über die Haftung der Gebietskörperschaften und der sonstigen Körperschaften und Anstalten des öffentlichen Rechts für in Vollziehung der Gesetze zugefügte Schäden (Amtshaftungsgesetz) (federal lag om lokala myndigheters och andra offentligrättsliga enheters och institutioners ansvar för skada som orsakats i samband med lagstadgad myndighetsutövning (nedan kallad lagen om offentligt ansvar)) av den 18 december 1948 (BGBl. 20/1949), i den lydelse som är tillämplig på tvisten i det nationella målet, föreskrivs följande i 1 § punkt 1:
”Förbundsstaten, delstaterna [ Länder ], kommunerna, andra offentligrättsliga organ och socialförsäkringsinstitutionerna – nedan kallade juridiska personer – ansvarar i enlighet med civilrättsliga bestämmelser för sak- och personskada som orsakats någon genom rättsstridiga handlingar begångna av personer som agerat i egenskap av företrädare för juridiska personer i samband med lagstadgad myndighetsutövning. Företrädarna ansvarar inte gentemot den skadelidande. Ersättning för skada ska endast utgå i form av pengar.”
11. 9 § punkt 5 (som ingår i kapitel II, som har rubriken ”Förfarande”) har följande lydelse: ”Den skadelidande kan inte vid allmän domstol rikta krav på ersättning mot en företrädare för en juridisk person enligt 1 § i denna federala lag för skada som denne företrädare orsakat honom eller henne i samband med lagstadgad myndighetsutövning”.
III. Bakgrund, det nationella förfarandet och tolkningsfrågorna
12. TS, motparten i det nationella målet, är rektor för en grundskola i Österrike. I denna egenskap organiserar han fortbildningsprogram för lärarna på skolan, som omfattas av en lagstadgad skyldighet att delta i dessa utbildningsprogram.
13. De ifrågavarande fortbildningsprogrammen tillhandahålls av Lärarhögskolan. Denna högskola ställer framför allt administrativ personal (programsamordnare) till skolornas förfogande, som är särskilt utvald för att underlätta genomförandet av dessa program.
14. Efter att ha informerats om att Lärarhögskolan hade föreslagit RS, klaganden i det nationella målet, som samordnare för ett kommande fortbildningsprogram för lärarna vid hans skola, förhörde sig TS om RS anseende i ett privat samtal med en lärare (nedan kallad den tredje parten).
15. Några dagar efter samtalet med den tredje parten skickade TS ett e-postmeddelande från sitt e-postkonto i tjänsten, som han uteslutande använder för tjänsteändamål, via en skoldator och en särskilt anvisad server, till en anställd vid Lärarhögskolan, där han begärde att en annan programsamordnare skulle tilldelas uppdraget (”det omtvistade e-postmeddelandet”). Han grundade sin begäran på den information han fått om RS från den tredje parten, enligt vilken RS ifrågasatte det offentliga skolsystemet och stod i ständig konflikt med den berörda skolmyndigheten.
16. TS dokumenterade inte samtalet med den tredje parten i en minnesanteckning eller i någon annan handling. Han spred inte heller den information han erhållit under samtalet vidare på annat sätt. Förutom det omtvistade e-postmeddelandet i sig finns det ingen skriftlig dokumentation av de personuppgifter rörande RS som detta innehöll.
17. När RS fick kännedom om innehållet i det omtvistade e-postmeddelandet ingav han ett klagomål till TS. Han begärde att få tillgång till viss information, bland annat om den tredje partens identitet, i enlighet med artikel 15.1 i dataskyddsförordningen, och att få sig tillsänt en kopia av de personuppgifter som rörde honom och som TS hade behandlat i detta e-postmeddelande.
18. Samma dag informerade TS RS via e-post om att han aldrig hade förfogat över några personuppgifter som rörde TS och inte heller hade vidarebefordrat några sådana uppgifter till någon annan. TS uppgav att han endast hade uttryckt sin oro över att RS hade valts ut som programsamordnare för det utbildningsprogram som det var meningen att lärarna vid hans skola skulle delta i.
19. RS inledde därefter ett rättsligt förfarande och yrkade att TS skulle föreläggas att ge honom tillgång till viss information, bland annat rörande den tredje partens identitet, i enlighet med artikel 15.1 g i dataskyddsförordningen, samt en kopia av de personuppgifter som rörde honom. Han yrkade även att TS skulle förpliktas att utge ett belopp om 800 euro som ersättning för den ideella skada han lidit till följd av det påstådda åsidosättandet av hans rätt till information enligt artikel 15 i dataskyddsförordningen. TS bestred denna talan på den grunden att det endast var den juridiska person som utövar bestämmande inflytande över skolan för vars räkning han hade agerat som kunde hållas ansvarig och att han varken hade behandlat eller lagrat personuppgifter rörande RS.
20. Domstolen i första instans ogillade RS talan. Denna dom fastställdes senare av behörig appellationsdomstol. Båda domstolarna ansåg i huvudsak att TS hade agerat såsom företrädare för den juridiska person som utövar bestämmande inflytande över skolan och att han hade blivit anvisad medlen för behandlingen av personuppgifter (specifik server, e-postkonto i tjänsten). Mot bakgrund av dessa omständigheter fann de att det skulle strida mot lagen om offentligt ansvar att kvalificera TS som ”personuppgiftsansvarig” i den mening som avses i dataskyddsförordningen. Appellationsdomstolen fann vidare att det hur som helst inte fanns någon skyldighet att registrera den tredje partens namn och att det därför inte heller fanns någon skyldighet att lämna ut uppgifter om den partens identitet.
21. RS överklagade appellationsdomstolens dom i en rättsfråga till Oberster Gerichtshof (Högsta domstolen, Österrike), som är den hänskjutande domstolen.
22. Nämnda domstol hyser tvivel om den korrekta tolkningen av artiklarna 4 led 7, 15.1 och 82 i dataskyddsförordningen, och har därför beslutat att vilandeförklara målet och ställa följande tolkningsfrågor till EU-domstolen:
”1. Ska artikel 4 led 7 i [dataskyddsförordningen] tolkas så, att fysiska personer som i sin tjänsteutövning behandlar personuppgifter med hjälp av de verktyg som ställts till deras förfogande och som anvisats dem, inte i eget intresse utan i egenskap av chef för en organisation (en institution eller annan enhet som inte är ett rättssubjekt) för vilken en juridisk person svarar, ska anses vara ”personuppgiftsansvariga” mot vilka talan kan väckas vid domstol?
2. a) Ska artikel 15.1 g i dataskyddsförordningen, när de behandlade personuppgifterna består av en saklig beskrivning av eller ett omdöme om den registrerade i ett e-postmeddelande, tolkas så, att ”all tillgänglig information om varifrån dessa uppgifter kommer” endast omfattar e-postmeddelandets upphovsman, eller omfattar den även den grupp av personer med vilka upphovsmannen har diskuterat den registrerade?
2. b) Har det – om samtalsparternas namn, vilka inte lagrats, ska anses utgöra ”tillgänglig information om varifrån dessa uppgifter kommer” i den mening som avses i artikel 15.1 g i dataskyddsförordningen – någon betydelse vid avvägningen mellan den registrerades intressen och en sådan samtalsparts intressen att denne samtalspart inte kunde förutse att hans eller hennes utsagor skulle bli föremål för personuppgiftsbehandling?
3. Ska artikel 82.2 i dataskyddsförordningen tolkas så, att de negativa konsekvenserna för den registrerade till följd av en överträdelse av denna förordning, vilken skett först efter behandlingen av personuppgifterna och endast består i ett åsidosättande av den skyldighet att ge tillgång till information som föreskrivs i artikel 15.1 i dataskyddsförordningen, utgör en skada som orsakats av ”behandling som strider mot denna förordning” och som medför skadeståndsskyldighet för den personuppgiftsansvarige?
4. Utgör artikel 82 i dataskyddsförordningen, för det fall att fråga 1 eller fråga 3 ska besvaras jakande, hinder för nationella bestämmelser, enligt vilka ett anspråk på ersättning för skada som en företrädare för en juridisk person har orsakat en skadelidande i samband med lagstadgad myndighetsutövning inte kan göras gällande mot företrädaren själv?”
23. Begäran om förhandsavgörande, daterad den 18 februari 2025, inkom till EU-domstolens kansli den 7 mars 2025. Klaganden, den österrikiska och den italienska regeringen samt Europeiska kommissionen har inkommit med skriftliga yttranden. Någon förhandling har inte hållits.
IV. Bedömning
24. Dataskyddsförordningen antogs i syfte att inrätta ”en stark … ram för dataskyddet inom unionen”( 5 ) genom ”att de registrerades rättigheter förstärks och specificeras och de personuppgiftsansvarigas … skyldigheter vid behandling av personuppgifter klargörs”( 6 ) och i synnerhet genom att fysiska personer tillförsäkras en ”hög skyddsnivå”( 7 ) och ”kontroll över sina egna personuppgifter”.( 8 ) För detta ändamål ger artiklarna 12–15 i dataskyddsförordningen de registrerade rätt att få tillgång till viss information om bland annat behandlingen( 9 ) av deras personuppgifter, liksom om de berörda kategorierna av personuppgifter och mottagare. Som jag har förklarade inledningsvis har den registrerade, enligt artikel 15.1 g i nämnda förordningen, även rätt att få tillgång till ”all tillgänglig information om varifrån dessa uppgifter kommer” om personuppgifterna inte har samlats in från den registrerade. Det ankommer direkt på den ”personuppgiftsansvarige” att tillhandahålla denna information.( 10 )
25. Samtidigt slås det i skäl 4 i dataskyddsförordningen fast att rätten till skydd av personuppgifter, som stadfästs i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan), ”inte [är] en absolut rättighet”, utan ”måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter”, inbegripet rätten till tankefrihet och yttrandefrihet.
26. Härav följer att det finns gränser för de olika rättigheter som de registrerade har enligt dataskyddsförordningen och som syftar till att se till att rätten till skydd av personuppgifter, inbegripet rätten till tillgång till information enligt artikel 15.1 i nämnda förordning, får praktisk verkan.
27. Förevarande mål rör just gränserna för sistnämnda rättighet, mer specifikt i vilken utsträckning en registrerad (i förevarande fall RS, klaganden i det nationella målet) i enlighet med artikel 15.1 g i dataskyddsförordningen har rätt att få tillgång till information från den personuppgiftsansvarige om ”varifrån” de personuppgifter som rör honom eller henne kommer. Har den registrerade, när dessa uppgifter har lagts fram av den personuppgiftsansvarige efter ett muntligt samtal med en tredje part (såsom är fallet i det nationella målet), rätt att få kännedom om den tredje partens identitet?
28. Jag kommer att behandla denna fråga, som i huvudsak motsvarar Oberster Gerichtshofs (Högsta domstolen) andra fråga, i avsnitt B nedan. Innan jag gör det ska jag emellertid först, som svar på den första frågan, klargöra huruvida en fysisk person som (såsom TS) behandlar personuppgifter inte i eget intresse, utan i sin tjänsteutövning i egenskap av chef för en organisation (i detta fall en skola), med hjälp av de verktyg som denna organisation ställt till vederbörandes förfogande och anvisat honom eller henne att använda, kan anses vara ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 i dataskyddsförordningen (avsnitt A).
29. Slutligen kommer jag att behandla den tredje och den fjärde frågan, som rör de registrerades rätt till ersättning för skada enligt artikel 82 i dataskyddsförordningen. Mer specifikt avser den tredje frågan huruvida de negativa konsekvenserna av ett åsidosättande av skyldigheten att ge tillgång till information enligt artikel 15.1 i dataskyddsförordningen kan anses utgöra en ”skada som orsakats av behandling som strider mot denna förordning”, i den mening som avses i artikel 82.2 i nämnda förordning (avsnitt C). Genom den fjärde frågan har EU-domstolen ombetts att pröva huruvida denna artikel utgör hinder för nationella bestämmelser enligt vilka personer som agerar i egenskap av ”företrädare” för – det vill säga på uppdrag av – vissa offentliga juridiska personer, inte kan hållas ansvariga i egenskap av personuppgiftsansvariga eller personuppgiftsbiträden för skada som orsakats de registrerade (avsnitt D).
A. Begreppet ”personuppgiftsansvarig” (artikel 4 led 7 i dataskyddsförordningen) (fråga 1)
30. I artikel 4 led 7 i dataskyddsförordningen beskrivs två situationer där en ”fysisk eller juridisk person, offentlig myndighet, institution eller annat organ” kan anses vara personuppgiftsansvarig . Enligt den andra satsen i denna bestämmelse kan nämligen ”den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller medlemsstaternas nationella rätt” (den ena situationen).( 11 ) Den andra situationen föreligger när det kan anses att den ifrågavarande personen, efter en bedömning av de relevanta faktiska omständigheterna, ”[ensam] eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter”. EU-domstolen har indikerat att en fysisk eller juridisk person för att anses uppfylla det kriteriet faktiskt måste ”[påverka] behandlingen av personuppgifter”.( 12 ) Av detta följer att en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som faktiskt har förmågan att bestämma ändamålen och medlen för en behandling ska anses vara ”personuppgiftsansvarig”, oberoende av huruvida vederbörande formellt har utsetts till sådan (genom lag eller avtal eller på annat sätt).( 13 )
31. Den hänskjutande domstolens första fråga avser den andra situationen. Nämnda domstol uppger nämligen att österrikisk lag uttryckligen enbart betecknar rektorer för grundskolor som ”personuppgiftsansvariga” när det gäller elevernas personuppgifter. Det nationella målet avser inte behandling av sådana personuppgifter. Som jag redan har förklarat gäller det nationella målet behandling av personuppgifter som utförts av en rektor för en grundskola (TS) och som rör en person (RS) som valts ut för att samordna ett fortbildningsprogram för lärarna vid den ifrågavarande skolan.
32. Oberster Gerichtshof (Högsta domstolen) har identifierat följande omständigheter som relevanta för frågan om TS kan anses vara ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 i dataskyddsförordningen: TS behandlade personuppgifterna inom ramen för sin tjänsteutövning, inte i eget, utan i skolans intresse och han gjorde detta med hjälp av de verktyg som ställts till hans förfogande och som han anvisats att använda (genom att använda sitt e-postkonto i tjänsten, en skoldator och en särskilt anvisad server).
33. RS har ifrågasatt riktigheten i de faktiska omständigheter som den hänskjutande domstolen har presenterat. Han har hävdat att TS inte hade ålagts att använda de medel han använde för att samla in de omtvistade personuppgifterna (det muntliga samtalet med den tredje parten), att TS kan ha agerat i eget syfte när han samlade in dessa uppgifter från den tredje parten och när han skickade det omtvistade e-postmeddelandet (som innehöll personuppgifterna) och att dessa behandlingar i alla händelser varken var ”normala” eller nödvändiga för att TS skulle kunna fullgöra sina åligganden som rektor. Enligt RS har TS således överskridit sitt utrymme för skönsmässig bedömning och agerat utanför ramen för sina åligganden i tjänsten enligt österrikisk rätt.
34. Jag erinrar om att det i ett mål om förhandsavgörande inte ankommer på EU-domstolen att fastställa huruvida de påstådda sakförhållandena är styrkta, utan endast att tolka de relevanta bestämmelserna i unionsrätten. Av EU-domstolens fasta praxis framgår att frågorna om tolkningen av unionsrätten ställs av de nationella domstolarna mot bakgrund av den beskrivning av omständigheterna i målet och tillämplig lagstiftning som den nationella domstolen på eget ansvar har lämnat och vars riktighet det inte ankommer på EU-domstolen att pröva.( 14 )
35. Därav följer att jag, trots RS argument, som jag har sammanfattat i punkt 33 ovan, kommer att begränsa mig till de faktiska omständigheter som den hänskjutande domstolen har lagt fram och som beskrivits i punkt 32 ovan när jag besvarar den första frågan.
36. Mot denna bakgrund anser jag att en fysisk person som (såsom TS) behandlar personuppgifter inte i eget intresse, utan i sin tjänsteutövning i egenskap av chef för en organisation (i detta fall en skola), med hjälp av de verktyg som denna organisation ställt till vederbörandes förfogande och anvisat honom eller henne att använda, inte kan anses vara ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 i dataskyddsförordningen. Även den österrikiska och den italienska regeringen samt kommissionen har förespråkat denna ståndpunkt.
37. I detta hänseende erinrar jag om att EU-domstolen har slagit fast att begreppet ”personuppgiftsansvarig” har getts en vid definition i artikel 4 led 7 i dataskyddsförordningen. Syftet med denna vida definition är att i överensstämmelse med denna förordnings syfte säkerställa ett effektivt skydd för fysiska personers grundläggande fri- och rättigheter och, i synnerhet, en hög skyddsnivå för envars rätt till skydd av de personuppgifter som rör honom eller henne.( 15 )
38. Samtidigt har EU-domstolen betonat att den personuppgiftsansvarige måste utöva inflytande över behandlingen av personuppgifter ” för egna syften ”.( 16 ) Det står således klart att en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för någon annans räkning, snarare än för sina egna ändamål, inte kan anses vara ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 i dataskyddsförordningen.
39. Detta bekräftas av såväl skäl 74 i den förordningen, där det föreskrivs att personuppgiftsansvariga bör åläggas ansvaret för ”all behandling av personuppgifter som de utför eller som utförs på deras vägnar ”,( 17 ) som av EU-domstolens praxis avseende artikel 29 i samma förordning, där det anges att ”personer som utför arbete under den personuppgiftsansvariges … överinseende, och som har tillgång till personuppgifter, … endast [får] behandla dessa uppgifter på instruktion från den personuppgiftsansvarige …”. EU-domstolen har slagit fast att den personuppgiftsansvarige inte kan undgå sitt ansvar enbart av det skälet att skadan har orsakats av misskötsamhet hos en person som utför arbete under dennes överinseende.( 18 )
40. Såsom den hänskjutande domstolen har påpekat i sin begäran om förhandsavgörande innehåller EU-domstolens praxis vidare en rad exempel på när de ifrågavarande personuppgifterna har behandlats av en fysisk person för en juridisk persons räkning och där denna juridiska person (och inte den fysiska personen) trots det har ansetts vara ”personuppgiftsansvarig”.( 19 ) EU-domstolen har särskilt slagit fast att när det gäller juridiska personer (såsom företag) är dessa inte bara ansvariga för överträdelser av dataskyddsförordningen som begåtts av deras företrädare, direktörer eller förvaltare [styrelseledamöter eller direktörer], utan även för sådana som begåtts av varje annan person som agerar inom ramen för dessa juridiska personers affärsverksamhet och för deras räkning.( 20 ) Enligt min mening gäller naturligtvis detsamma för varje ”offentlig myndighet, institution eller annat organ”, för att använda de uttryck som används i artikel 4 led 7 i dataskyddsförordningen.
41. Dessa slutsatser ligger i linje med EDPB:s riktlinjer 07/2020, som i huvudsak föreskriver att även om en juridisk person (företag eller offentlig myndighet) utser en specifik person som ansvarig för genomförandet av behandlingsaktiviteten, så förblir den juridiska personen ytterst ansvarig vid överträdelse av reglerna i egenskap av personuppgiftsansvarig.( 21 )
42. Enligt min mening följer det av dessa överväganden att en rektor som (såsom TS) behandlar personuppgifter, inte i eget intresse (det vill säga inte för sina egna ändamål) utan i egenskap av chef för en sådan offentlig enhet, måste anses agera för denna enhets räkning . I en sådan situation kan rektorn inte anses vara ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 i dataskyddsförordningen. I stället är det skolan som är ”personuppgiftsansvarig”.( 22 )
43. Denna bedömning påverkas inte av den omständigheten att skolan i sig inte är ett rättssubjekt. EU-domstolen har nämligen redan slagit fast att en enhet kan kvalificeras som ”personuppgiftsansvarig”, i den mening som avses i denna bestämmelse, även om enheten inte är en juridisk person.( 23 )
44. En annan slutsats skulle enligt min mening vara motiverad endast om den hänskjutande domstolen, inom ramen för sin bedömning av de föreliggande faktiska omständigheterna, skulle komma fram till att TS vid behandlingen av RS personuppgifter antingen agerade utanför ramen för sina åligganden i tjänsten, det vill säga uteslutande för sina egna ändamål (i vilket fall han skulle vara ensam ”personuppgiftsansvarig”), eller för både sina egna och skolans ändamål (som gemensamt personuppgiftsansvarig).( 24 ) Om någon av dessa situationer skulle anses föreligga i det nationella målet anser jag att TS måste anses vara den som bestämde inte bara ändamålen, utan även medlen för behandlingen. I den mån han använde sitt e-postkonto i tjänsten, liksom den skoldator och den oberoende server som ställts till hans förfogande för egna syften, skulle nämligen användningen av dessa medel vara ”otillåten”, och därmed inte kunna anses ha anvisats honom. Det ankommer emellertid på den hänskjutande domstolen att avgöra detta.
45. Mot bakgrund av vad som anförts ovan föreslår jag att EU-domstolen ska ge den första frågan ett nekande svar. Mot bakgrund av detta svar anser jag att det saknas anledning för EU-domstolen att besvara den andra, den tredje och den fjärde frågan, som rör de skyldigheter som en fysisk person som TS skulle omfattas av enligt artikel 15.1 g och artikel 82 i dataskyddsförordningen om han eller hon skulle anses vara ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 i den förordningen.( 25 ) Jag anser att så är fallet, trots att dessa frågor inte uttryckligen är formulerade så, att de villkoras av svaret på den första frågan.( 26 )
46. För det fall att EU-domstolen skulle ha en annan syn på saken, och för fullständighetens skull, kommer jag emellertid nu att behandla de sakfrågor som tas upp i den andra, den tredje och den fjärde frågan.
B. Omfattningen av rätten till information om varifrån personuppgifterna kommer (artikel 15.1 g i dataskyddsförordningen) (fråga 2)
47. Den andra frågan består av två delar. Den hänskjutande domstolen har ställt den första delen av den andra frågan för att få klarhet i huruvida artikel 15.1 g i dataskyddsförordningen, när de personuppgifter som har behandlats består av en saklig beskrivning av eller ett omdöme om den registrerade i ett e-postmeddelande, ska tolkas så, att uttrycket ”all tillgänglig information om varifrån uppgifterna kommer” endast avser identiteten på den person som är upphovsman till e-postmeddelandet, eller om den även avser identiteten på de personer med vilka upphovsmannen (muntligen) har diskuterat den registrerade och på vars åsikter denna sakliga beskrivning eller detta omdöme grundar sig.
48. För att sätta denna fråga i sitt sammanhang vill jag påminna om att RS i det nationella målet har gjort gällande att han, på grundval av artikel 15.1 g i dataskyddsförordningen, ska anses ha rätt att av TS (som han anser vara ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 i den förordningen) få reda på identiteten på den tredje parten (med vilken TS diskuterade RS anseende), eftersom denna tredje part måste anses vara den ”varifrån” de personuppgifter – åsikterna om RS – som ingår i det aktuella e-postmeddelandet kommer.
49. Den andra delen av den andra frågan avser huruvida det, för det fall att EU-domstolen skulle finna att en sådan tredje parts identitet utgör ”tillgänglig information om varifrån dessa uppgifter kommer” i den mening som avses i artikel 15.1 g i dataskyddsförordningen, vid avvägningen mellan den registrerades och en sådan persons intressen har någon betydelse att den sistnämnde inte kunde ha förutsett att hans eller hennes utsagor skulle bli föremål för personuppgiftsbehandling.
1. Den första delen av fråga 2
50. Det ska inledningsvis erinras om att EU-domstolen har slagit fast att användningen av uttrycket ”varje upplysning” i definitionen av begreppet ”personuppgifter” i artikel 4 led 1 i dataskyddsförordningen avspeglar unionslagstiftarens avsikt att ge detta begrepp en vid innebörd, vilken potentiellt innefattar alla typer av upplysningar, såväl objektiva som subjektiva, i form av åsikter eller bedömningar, under förutsättning att uppgifterna ”avser” den registrerade.( 27 )
51. Såsom den hänskjutande domstolen med rätta har antagit följer det av detta att åsikter (ett ”omdöme”) om en registrerad (i förevarande fall RS) som framförs i ett e-postmeddelande (i förevarande fall det e-postmeddelande som TS skickade till Lärarhögskolan) utgör ”personuppgifter” i den mening som avses i artikel 4 led 1 i dataskyddsförordningen.
52. När det gäller frågan om ”varifrån” dessa uppgifter, nämligen de åsikter om eller den sakliga beskrivning av den registrerade som återfinns i ett e-postmeddelande, kommer, i den mening som avses i artikel 15.1 g i dataskyddsförordningen, noterar jag att detta uttryck inte definieras i vare sig den bestämmelsen eller någon annan bestämmelse i den förordningen. I avsaknad av en sådan definition ska, enligt fast rättspraxis, vid tolkningen av detta uttryck hänsyn tas både till den normala betydelsen av uttrycket ”varifrån dessa uppgifter kommer” i vanligt språkbruk och till den bestämmelsens sammanhang samt till de mål som eftersträvas med de föreskrifter som den ingår i.( 28 )
53. Uttrycket ”varifrån dessa uppgifter kommer” betecknar i vanligt språkbruk ”källan” (på engelska source ) till dessa uppgifter, som definieras som ”personen, platsen eller saken som det härrör från”.( 29 ) När det gäller information som ska lämnas ut enligt artikel 15.1 g i dataskyddsförordningen är det följaktligen nödvändigt att beakta ursprunget till dessa personuppgifter. Eftersom artikel 15.1 g i dataskyddsförordningen dessutom endast är tillämplig ”[o]m personuppgifterna inte samla[t]s in från den registrerade”, är det uppenbart att dessa uppgifter inte kan komma från den registrerade själv enligt den bestämmelsen.
54. Vad gäller det sammanhang i vilket artikel 15.1 g i dataskyddsförordningen ingår, vill jag påpeka att det ifrågavarande uttrycket även förekommer i artikel 14.2 f i förordningen, där det föreskrivs att den personuppgiftsansvarige ska förse den registrerade med information om ” varifrån personuppgifterna kommer”,( 30 ) om personuppgifterna inte har erhållits från den registrerade själv. Detta bekräftar enligt min mening att uttrycket ”varifrån dessa uppgifter kommer” i artikel 15.1 g i dataskyddsförordningen avser personuppgifternas ursprung .
55. Vad slutligen gäller målen med dataskyddsförordningen, ska det erinras om att artikel 15 i dataskyddsförordningen ”kompletterar dataskyddsförordningens öppenhetsreglering genom att den registrerade ges rätt att få tillgång till sina personuppgifter och rätt till information om hur uppgifterna behandlas”.( 31 )
56. Leden a-h i artikel 15.1 i dataskyddsförordningen syftar till att ge verkan åt sistnämnda rättighet. Genom att föreskriva att den registrerade har rätt till information om hur hans eller hennes personuppgifter behandlas gör denna bestämmelse det möjligt för den registrerade att försäkra sig om att de personuppgifter som rör honom eller henne är korrekta och att de behandlas på ett lagenligt sätt samt att på ett effektivt sätt utöva de därmed sammanhängande rättigheter som föreskrivs i den förordningen, bland annat sin rätt till rättelse, sin rätt till radering (”rätten att bli bortglömd”), sin rätt till begränsning av behandling och sin rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne( 32 ) – vilka alla syftar till att stärka den registrerades ”kontroll” över sina egna personuppgifter.( 33 )
57. Jag anser att det är mot bakgrund av denna särskilda funktion som omfattningen av rätten till information om ”varifrån” personuppgifterna ”kommer” i artikel 15.1 g i dataskyddsförordningen ska fastställas.( 34 ) Man måste därför överväga om den information som efterfrågas med stöd av den bestämmelsen som sådan är nödvändig för att den registrerade ska kunna försäkra sig om att de personuppgifter som rör honom eller henne är korrekta eller att de behandlas på ett lagenligt sätt, eller för att den registrerade på ett effektivt sätt ska kunna utöva sina rättigheter enligt den förordningen.( 35 )
58. Så är enligt min mening exempelvis fallet när den registrerade åberopar artikel 15.1 g i dataskyddsförordningen för att ta reda på ”varifrån” felaktiga uppgifter som rör honom eller henne kommer för att förhindra att dessa uppgifter därefter sprids mellan olika personuppgiftsansvariga( 36 ) (det vill säga förhindra ytterligare ”behandling”), eller när tillhandahållandet av tillgänglig information om ”varifrån” de relevanta personuppgifterna kommer gör det möjligt för den registrerade att fastställa att samma uppgifter – med avseende på vilka den registrerade har rätt att utöva sina rättigheter enligt denna förordning – redan tidigare har varit föremål för en behandling, eller serie behandlingsåtgärder, som omfattas av dataskyddsförordningens materiella tillämpningsområde.
59. Efter dessa förtydliganden vill jag påpeka att kommissionen och den italienska regeringen anser att när de berörda personuppgifterna består av åsikter (ett ”omdöme”) om eller en saklig beskrivning av den registrerade som återfinns i ett e-postmeddelande, är det upphovsmannen till e-postmeddelandet (i förevarande fall TS) som är den ”varifrån” dessa åsikter kommer. De har gjort gällande att artikel 15.1 g i dataskyddsförordningen i en sådan situation ska tolkas så, att ”all tillgänglig information om varifrån dessa uppgifter kommer” inte inbegriper identiteten på de personer med vilka upphovsmannen (muntligen) diskuterade den registrerade innan han eller hon bildade sig en egen åsikt om eller skrev ner den sakliga beskrivningen av den registrerade.
60. Jag delar denna uppfattning. Enligt min mening kan en sådan slutsats dock endast dras under förutsättning att åsikterna (”omdömet”) om eller den sakliga beskrivningen av den registrerade i det ifrågavarande e-postmeddelandet faktiskt kan tillskrivas författaren. I det hänseendet delar jag kommissionens ståndpunkt att det saknar betydelse att upphovsmannen i e-postmeddelandet anspelar på andra personers åsikter om den registrerade, så länge de ifrågavarande personuppgifterna (det vill säga åsikterna eller den sakliga beskrivningen) fortfarande kan tillskrivas upphovsmannen själv och inte endast citerar dessa åsikter. I sistnämnda fall anser jag nämligen att det skulle vara den eller de tredje parter vars åsikter citeras, och inte författaren till e-postmeddelandet, som är den eller de ”varifrån” dessa personuppgifter (åsikterna) kommer.
61. I förevarande fall ankommer det på den hänskjutande domstolen att, mot bakgrund av föreliggande faktiska omständigheter, avgöra huruvida de åsikter (det ”omdöme”) om RS som förmedlades i det omtvistade e-postmeddelandet faktiskt kan tillskrivas TS eller om det tvärtom endast rör sig om av åsikter som tidigare framförts till TS av en tredje part (nämligen den andra lärare med vilken TS diskuterade RS), vilka TS helt enkelt återgav eller citerade i e-postmeddelandet, såsom RS tycks hävda.( 37 ) Om nämnda domstol skulle finna att åsikterna om RS i det aktuella e-postmeddelandet kan tillskrivas TS, anser jag – i likhet med kommissionen och den italienska regeringen – att RS rätt till information om ”varifrån” dessa åsikter kommer, enligt artikel 15.1 g i dataskyddsförordningen, inte kan utsträckas till att omfatta information som inhämtats från en sådan tredje part, eftersom de ifrågavarande åsikterna måste anses komma enbart från TS.
62. Den hänskjutande domstolen vill emellertid få klarhet i huruvida det följer av den omständigheten att det i artikel 15.1 g i dataskyddsförordningen inte bara föreskrivs en rätt att få kännedom om ”varifrån” de ifrågavarande personuppgifterna ”kommer”, utan även ”all tillgänglig information om varifrån dessa uppgifter kommer”, att den registrerade, även när upphovsmannen till e-postmeddelandet ska anses vara den ”varifrån” ett omdöme om eller en saklig beskrivning av den registrerade kommer, har rätt att få tillgång till information om de faktorer eller personer som bidrog till att dessa åsikter formades eller till att upphovsmannen formulerade en sådan saklig beskrivning (såsom identiteten på en tredje part med vilken upphovsmannen hade ett muntligt samtal).
63. I detta avseende delar jag för det första den italienska regeringens och kommissionens uppfattning att en sådan tolkning av artikel 15.1 g i dataskyddsförordningen skulle vara alltför vidsträckt, med tanke på de otaliga faktorer som kan spela in, särskilt när man bildar sig en åsikt. Låt oss till exempel betrakta omständigheterna i det mål som ledde till domen i målet Nowak.( 38 )En del av de berörda personuppgifterna utgjordes av examinatorns subjektiva kommentarer på ett skriftligt prov. Skulle ”all tillgänglig information om varifrån dessa uppgifter kommer”, i den mening som avses i artikel 15.1 g i dataskyddsförordningen, i en sådan situation kunna anses omfatta all information om personer som examinatorn kan ha interagerat med vid bedömningen av provsvaren – allt från exempelvis en kollega som gav råd om bedömningen av kandidaternas svar, till en granne som åstadkom ett särskilt irriterande ljud och därmed förargade examinatorn så till den grad att han satte strängare betyg än han annars skulle ha gjort? Enligt min mening skulle den inte det.
64. För det andra, och med hänvisning till den särskilda funktion som rätten till information om varifrån personuppgifterna kommer enligt artikel 15.1 g i dataskyddsförordningen har och som jag redogjort för i punkt 57 ovan, kan jag inte se hur information om identiteten på en tredje part som inte är den ”varifrån” de relevanta personuppgifterna ”kommer” (i förevarande fall åsikter om eller en saklig beskrivning av den registrerade i ett e-postmeddelande), utan som endast bidragit till att sådana åsikter formades eller till att avsändaren av e-postmeddelandet formulerade en sådan saklig beskrivning efter ett muntligt samtal med honom eller henne, skulle göra det möjligt för den registrerade att försäkra sig om att de personuppgifter som rör honom eller henne är korrekta eller att behandlingen av dessa uppgifter är lagenlig, eller att utöva sina rättigheter enligt dataskyddsförordningen.
65. För det tredje framgår det, såsom redan har påpekats i punkterna 25 och 26 ovan, av skäl 4 i dataskyddsförordningen att rätten till skydd av personuppgifter i alla händelser ”inte [är] en absolut rättighet” utan ”måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter”, däribland rätten till tanke- och yttrandefrihet. Detsamma gäller de olika rättigheter som de registrerade har enligt dataskyddsförordningen och som syftar till att ge praktisk verkan åt rätten till skydd av personuppgifter, såsom rätten att få till tillgång till personuppgifter enligt artikel 15 i dataskyddsförordningen,( 39 ) vilken EU-domstolen har slagit fast inte bör inverka menligt på andras rättigheter eller friheter.( 40 ) Det säger sig självt att en liknande avvägning även måste göras när det gäller rätten till information om varifrån dessa personuppgifter kommer enligt artikel 15.1 g i dataskyddsförordningen.
66. Mot denna bakgrund är det för mig uppenbart att det på ett otillbörligt sätt skulle tippa vågskålen till den registrerades fördel genom att inverka menligt på ett stort antal av den tredje partens rättigheter eller friheter, särskilt hans eller hennes rätt till tanke- och yttrandefrihet( 41 ) och rätten till respekt för privatlivet och informationsfrihet,( 42 ) att lämna ut identiteten på en tredje part som inte själv är den ”varifrån” de relevanta personuppgifterna (i förevarande fall åsikter om eller en saklig beskrivning av den registrerade i ett e-postmeddelande) kommer, utan endast har bidragit till att dessa åsikter formades eller till att denna beskrivning formulerades av upphovsmannen till e-postmeddelandet efter ett muntligt samtal med honom eller henne.
67. Av dessa överväganden följer att när den ”varifrån” åsikter (ett ”omdöme”) om eller en saklig beskrivning av den registrerade i ett e-postmeddelande kommer själv är upphovsmannen till e-postmeddelandet, har den registrerade inte rätt att med stöd av artikel 15.1 g i dataskyddsförordningen få tillgång till information om de faktorer eller personer (såsom identiteten på en tredje part med vilken upphovsmannen har haft ett muntligt samtal) som bidragit till att upphovsmannen bildade sig sådana åsikter eller formulerade en sådan saklig beskrivning.
68. Som en avslutande anmärkning vill jag erinra om att artikel 15.1 g i dataskyddsförordningen ger de registrerade rätt att få tillgång till ”all tillgänglig information om varifrån” de personuppgifter som rör dem kommer, inte rätt att få tillgång till all information om varifrån dessa personuppgifter kommer och den källans källor . Om EU-domstolen, i motsats till vad jag föreslår, skulle godta den tolkning av denna bestämmelse som redovisats i punkt 62 ovan, skulle detta leda till att den registrerade, när personuppgifterna exempelvis kommer från en akt eller ett register, enligt artikel 15.1 g i dataskyddsförordningen skulle ha rätt inte bara till ”all tillgänglig information” om akten eller registret, utan även till alla tidigare akter eller register som den grundar sig på. Denna bestämmelse skulle med andra ord få ett obegränsat tillämpningsområde.
2. Den andra delen av fråga 2
69. Den andra delen av den andra frågan avser den situation som uppstår när en tredje part, och inte e-postmeddelandets upphovsman, ska anses vara den ”varifrån” de ifrågavarande personuppgifterna, i förevarande fall åsikter om eller en saklig beskrivning av den registrerade som återfinns i ett e-postmeddelande, kommer. Som jag har förklarat i punkt 60 ovan kan en sådan situation endast uppstå om åsikterna eller den sakliga beskrivningen i e-postmeddelandet inte kan tillskrivas avsändaren till e-postmeddelandet, eftersom de endast återger eller citerar åsikter som tidigare uttryckts av den tredje parten.
70. Enligt min mening är det i en sådan situation uppenbart att även den avvägning som omtalas i punkt 65 ovan skulle vara tillämplig. Med andra ord skulle identiteten på den ”varifrån” de berörda personuppgifterna kom enligt artikel 15.1 g i dataskyddsförordningen inte lämnas ut automatiskt. Den person som ska anses vara den ”varifrån dessa uppgifter kommer” har rättigheter och friheter som också måste beaktas och vägas mot den registrerades rätt enligt den bestämmelsen att få tillgång till information om varifrån personuppgifterna kommer.
71. I detta hänseende utgör den omständigheten att den ifrågavarande tredje parten inte kunde ha förutsett att hans eller hennes uttalanden skulle bli föremål för personuppgiftsbehandling en relevant faktor. Detta tyder nämligen på att den tredje parten deltog i vad han eller hon antog vara ett konfidentiellt eller privat samtal, och att vederbörande inte förväntade sig att innehållet i eller det faktum att han eller hon deltog i detta samtal skulle delas med den registrerade med stöd av bestämmelserna i dataskyddsförordningen. Enligt min mening måste man i en sådan situation lägga särskild tonvikt vid vikten av att respektera den tredje partens rätt till tanke- och yttrandefrihet( 43 ) samt till respekt för privatlivet och informationsfrihet.( 44 )
72. Inte ens när åsikterna om eller beskrivningen av den registrerade i ett e-postmeddelande endast återger eller citerar synpunkter som tidigare framförts muntligen av den tredje parten kan jag förstå hur den omständigheten att den registrerade får tillgång till information om den tredje partens identitet (såsom varande den ”varifrån dessa uppgifter kommer”) med stöd av artikel 15.1 g i dataskyddsförordningen skulle kunna bidra till att uppnå det mål som eftersträvas med denna bestämmelse, vilket, såsom jag har erinrat om i punkt 57 ovan, är att göra det möjligt för den registrerade att bland annat försäkra sig om att de personuppgifter som rör honom eller henne är korrekta. Åsikter är nämligen till sin natur subjektiva. Detta innebär att det är svårt att verifiera huruvida åsikter, till skillnad från sakliga beskrivningar, är riktiga eller korrekta.( 45 )
C. Rätten till ersättning enligt artikel 82 i dataskyddsförordningen till följd av en överträdelse av artikel 15.1 i dataskyddsförordningen (fråga 3)
73. Den hänskjutande domstolen har ställt den tredje frågan för att få klarhet i huruvida de negativa konsekvenserna för en registrerad till följd av att en personuppgiftsansvarig åsidosätter den skyldighet att ge tillgång till information som föreskrivs i artikel 15.1 i dataskyddsförordningen (i förevarande fall skyldigheten enligt led g däri att ge tillgång till information om ”varifrån” de insamlade personuppgifterna kommer) utgör en ”skada som orsakats av behandling som strider mot denna förordning”, i den mening som avses i artikel 82.2 i dataskyddsförordningen, vilken medför ansvar för den personuppgiftsansvarige och en motsvarande skyldighet för honom eller henne att ersätta den registrerade.
74. Såsom den hänskjutande domstolen har förklarat vill den i huvudsak att EU-domstolen ska klargöra huruvida ett åsidosättande av denna skyldighet kan föranleda krav på ersättning från den registrerade enligt artikel 82 i dataskyddsförordningen i dess helhet. Har RS mer konkret rätt till ersättning enligt artikel 82 i dataskyddsförordningen, om TS ska anses vara ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 i dataskyddsförordningen och anses ha agerat i strid med artikel 15.1 g däri? Jag föreslår därför att EU-domstolen omformulerar den tredje frågan så, att den innefattar en tolkning av artikel 82 i dataskyddsförordningen i dess helhet, i stället för att endast avse punkt 2 däri.( 46 )
75. När det sedan gäller tolkningen av artikel 82 i dataskyddsförordningen uppfattar jag det som att den hänskjutande domstolens tvivel beträffande tolkningen av den bestämmelsen har sin grund i den omständigheten att den skyldighet att ge tillgång till information som föreskrivs i artikel 15.1 i nämnda förordning uppkommer först efter det att den ifrågavarande behandlingen av personuppgifter har ägt rum,( 47 ) samt när någon behandling faktiskt inte har ägt rum alls,( 48 ) medan artikel 82.2 i dataskyddsförordningen hänvisar till ”skada som orsakats av behandling …”.( 49 ) Mot bakgrund av denna formulering skulle man, såsom den hänskjutande domstolen tycks göra, kunna anta att den rätt till ersättning som föreskrivs i artikel 82 i nämnda förordning endast uppkommer med avseende på skada som orsakats av behandling som strider mot dataskyddsförordningen, och inte med avseende på rätt till ersättning för skada till följd av ett åsidosättande av en skyldighet som föreskrivs i detta instrument och som, liksom den skyldighet att ge tillgång till information som föreskrivs i artikel 15.1 i den förordningen, uppkommer först efter eller oberoende av sådan behandling.
76. Enligt min mening är det dock uppenbart att den rätt till ersättning som föreskrivs i förstnämnda bestämmelse även omfattar skada som orsakats av ett åsidosättande av denna skyldighet att ge tillgång till information.
77. Vad för det första gäller lagstiftningshistoriken för artikel 82 i dataskyddsförordningen erinrar jag om att motsvarande bestämmelse i dess föregångare, det vill säga artikel 23 i direktiv 95/46, hänvisade till ”skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av [direktiv 95/46]”. Det är uppenbart att unionslagstiftaren vid antagandet av dataskyddsförordningen inte hade för avsikt att sänka skyddsnivån för de registrerade jämfört med den skyddsnivå de åtnjutit enligt direktiv 95/46, utan snarare tvärtom( 50 ).
78. I detta hänseende noterar jag vidare att rådet, under det lagstiftningsförfarande som ledde fram till antagandet av dataskyddsförordningen, föreslog att de registrerades rätt till ersättning skulle begränsas till skada ”till följd av behandling som inte [var] förenlig med [dataskyddsförordningen]”.( 51 ) Denna begränsning slopades dock i den slutliga versionen av artikel 82 i nämnda förordning.
79. För det andra fyller artikel 82 i dataskyddsförordningen en dubbel funktion. Å ena sidan ges den registrerade rätt till ersättning i denna artikel och där fastställs i princip motsvarande ansvar för den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan (artikel 82.1 i nämnda förordning). Å andra sidan fastställs de specifika villkor på vilka den personuppgiftsansvarige eller personuppgiftsbiträdet, eller båda, kan hållas ansvariga (eller undgå ansvar) för denna skada samt hur ansvaret bör fördelas mellan dem om flera parter har medverkat vid behandlingen av de ifrågavarande uppgifterna (artikel 82.2–82.5 i dataskyddsförordningen).
80. Därav följer att syftet med artikel 82.2 i dataskyddsförordningen inte är att fastställa omfattningen av de registrerades rätt till ersättning som sådan. Syftet är snarare att precisera reglerna för det ansvarssystem vars princip fastställs i punkt 1 i denna artikel.( 52 )
81. Omfattningen av rätten till ersättning ska i sin tur fastställas mot bakgrund av ordalydelsen i artikel 82.1 i dataskyddsförordningen, som inte innehåller samma begränsning som punkt 2 i den artikeln, eftersom det där i mer allmänna ordalag anges att ”[v]arje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan”.( 53 ) Där nämns ingenting om ”behandling”.
82. Mot bakgrund av dessa omständigheter anser jag att hänvisningen till ”skada som orsakats av behandling” i artikel 82.2 i dataskyddsförordningen inte kan tolkas så, att den begränsar omfattningen av den rätt till ersättning som föreskrivs i artikel 82.1 i den förordningen till att enbart avse sådan skada. En liknande slutsats har dragits av generaladvokaten Szpunar som i sitt förslag till avgörande i målet Brillen Rottler,( 54 ) beskrev artikel 82.2 i dataskyddsförordningen som en ”kompletterande regel” och inte som en begränsning av punkt 1 i den artikeln.
83. I den nyligen meddelade domen i det målet( 55 ) slog EU-domstolen dessutom uttryckligen fast att eftersom artikel 82.1 i dataskyddsförordningen inte innehåller någon hänvisning till ”behandling”, kan ”rätten till ersättning inte … anses vara begränsad till skada till följd av behandling av personuppgifter”.( 56 )
84. I den domen erinrade EU-domstolen även om att artikel 82.1 i dataskyddsförordningen ingår i kapitel VIII i förordningen, som reglerar de rättsmedel, ansvarsregler och sanktioner som gör det möjligt att skydda de registrerades rättigheter, och att den ska tolkas mot bakgrund av skäl 141 i dataskyddsförordningen, av vilket framgår att alla registrerade bör ha rätt till ett effektivt rättsmedel inför en domstol i enlighet med artikel 47 i stadgan ”om [de] anser att [deras] rättigheter enligt [förordningen] har kränkts”.( 57 ) EU-domstolen tillade att detta omfattar de registrerades rätt att få tillgång till sina personuppgifter enligt artikel 15.1 i dataskyddsförordningen. Denna rätt, tillsammans med de övriga rättigheter som de registrerade tillerkänns genom artikel 15 i dataskyddsförordningen, inbegripet rätten att få tillgång till den information som anges i punkt 1 a-h i nämnda artikel, ska således skyddas av artikel 82 i nämnda förordning. Denna artikel ska därför tolkas på så sätt att den är tillämplig på skada som en registrerad lidit till följd av åsidosättanden av dessa rättigheter.
85. För det tredje är det enligt min mening uppenbart att en begränsning av den registrerades rätt till ersättning enligt denna bestämmelse till skada som orsakats av otillåten behandling av personuppgifter även skulle vara oförenlig med de mål som eftersträvas med förordningen som helhet, vilka, såsom jag har angett i punkt 24 ovan, är att säkerställa en ”hög skyddsnivå” samt att ”de registrerades rättigheter [förstärks] … och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av personuppgifter [skärps]”. I domen i målet Brillen Rottler( 58 ) slog EU-domstolen i huvudsak fast att artikel 82 i dataskyddsförordningen syftar till att säkerställa att dessa mål uppnås.
86. Om den registrerades rätt till ersättning enligt den bestämmelsen begränsades till skada som uppkommit till följd av olaglig behandling av personuppgifter skulle detta, såsom kommissionen med rätta har påpekat, inte bara påverka skyddet av de rättigheter som fastställs i artikel 15 i dataskyddsförordningen, utan även nästan alla de registrerades rättigheter enligt kapitel III i nämnda förordning,( 59 ) vilka i stort sett skulle bli symboliska.( 60 ) Var och en av dessa rättigheter korresponderar nämligen med en motsvarande skyldighet för de personuppgiftsansvariga, som aktualiseras först efter det ( 61 ) att den ifrågavarande (påstådda) personuppgiftsbehandlingen har ägt rum.( 62 )
87. Av dessa skäl anser jag att de negativa konsekvenserna för en registrerad till följd av ett åsidosättande av skyldigheten att ge tillgång till information enligt artikel 15.1 i dataskyddsförordningen kan anses utgöra en ”skada” i den mening som avses i artikel 82 i den förordningen, vilket därmed medför en skyldighet för den personuppgiftsansvarige att betala ersättning till den registrerade i enlighet med den bestämmelsen.
D. Huruvida artikel 82 i dataskyddsförordningen utgör hinder för nationella bestämmelser enligt vilka den personuppgiftsansvarige är undantagen från ansvar (fråga 4)
88. Jag kommer nu att övergå till den fjärde frågan, genom vilken den hänskjutande domstolen vill få klarhet i huruvida artikel 82 i dataskyddsförordningen, för det fall att den första eller den tredje frågan ska besvaras jakande, utgör hinder för nationella bestämmelser enligt vilka personer som agerar som ”företrädare” – det vill säga på uppdrag av – vissa offentliga juridiska personer, inte kan hållas ansvariga för den skada de orsakar de registrerade i egenskap av personuppgiftsansvariga eller personuppgiftsbiträden.
89. Denna fråga har ställts med anledning av vissa särdrag i österrikisk rätt, nämligen de som anges i 1 § lagen om offentligt ansvar, enligt vilken personer som agerar i egenskap av ”företrädare” för förbundsstaten, delstaterna, kommunerna, andra offentligrättsliga organ och socialförsäkringsinstitutionerna, inte ansvarar för skada som de tillfogat någon genom rättsstridiga handlingar i samband med lagstadgad myndighetsutövning. Följaktligen kan ersättningsanspråk inte framställas mot sådana personer enligt artikel 82 i dataskyddsförordningen.( 63 )
90. I förevarande fall förstår jag det som att TS, i egenskap av rektor för en grundskola i Österrike, ska anses agera som ”företrädare” för den berörda delstaten ( Land ) (eftersom skolorna enligt österrikisk rätt inte är rättssubjekt och följaktligen inte kan stämmas vid domstol). Av 1 § lagen om offentligt ansvar följer, att även om TS uppfyllde alla nödvändiga villkor för att anses vara ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 i dataskyddsförordningen med avseende på den behandling av personuppgifter som är omtvistad i det nationella målet (vilket jag, såsom jag förklarat ovan, inte anser vara fallet), så skulle RS inte kunna väcka talan mot honom om ersättning enligt artikel 82 i den förordningen för den skada som TS påstås ha orsakat genom sin överträdelse av artikel 15.1 g däri. Den hänskjutande domstolen önskar få klarhet i huruvida en sådan nationell bestämmelse strider mot artikel 82 i dataskyddsförordningen.
91. Jag anser inte att den gör det. En nationell bestämmelse som 1 § lagen om offentligt ansvar hindrar nämligen inte i sig en registrerad från att väcka en talan om ersättning för skada när den ifrågavarande överträdelsen av dataskyddsförordningen begicks av en person som agerade på uppdrag av en offentlig juridisk person. Tvärtom för den endast över ersättningsansvaret till den berörda enheten.
92. Det framgår att huvudsyftet med en sådan ansvarsförskjutning är att säkerställa skyddet för den skadelidande genom att förse denne med en betalningsförmögen gäldenär.( 64 ) I motsats till vad klaganden har hävdat är således syftet med en sådan nationell bestämmelse som 1 § lagen om offentligt ansvar inte att begränsa det rättsliga skyddet för de registrerade, utan snarare att stärka det.
93. Mot bakgrund av dessa överväganden kan jag inte se att en sådan nationell bestämmelse skulle kunna anses oförenlig med artikel 82 i dataskyddsförordningen.
94. Jag medger att artikel 82.2 i den förordningen, där det anges att ”[v]arje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot [dataskyddsförordningen]”, vid första anblicken skulle kunna tolkas så, att den ålägger den personuppgiftsansvarige ett direkt ansvar.
95. Den bakomliggande tanken med artikel 82 i dataskyddsförordningen är dock, enligt EU-domstolens fasta praxis,( 65 ) att de registrerade ska få full och effektiv ersättning för den skada som de har lidit till följd av en överträdelse av dataskyddsförordningen.( 66 ) Som jag redan har påpekat i punkt 84 ovan ingår denna bestämmelse i kapitel VIII i den förordningen, som reglerar de rättsmedel, ansvarsregler och sanktioner som gör det möjligt att skydda de registrerades rättigheter. Den ska således tolkas mot bakgrund av skäl 141 i dataskyddsförordningen, i vilket det uttryckligen hänvisas till de registrerades rätt till ett effektivt rättsmedel inför en domstol i enlighet med artikel 47 i stadgan, om deras rättigheter enligt denna förordning har kränkts.
96. Enligt min mening saknar det därför betydelse om ersättningen betalas direkt av den personuppgiftsansvarige eller personuppgiftsbiträdet eller av den offentliga juridiska person som har anställt eller ansvarar för en sådan person. Det som spelar roll är att den skada som den registrerade faktiskt har lidit till följd av en överträdelse av dataskyddsförordningen ersätts fullt ut.
97. Denna slutsats påverkas inte av en jämförelse mellan artikel 82 i dataskyddsförordningen och artikel 83.7 i samma förordning, som uttryckligen överlåter åt medlemsstaterna att fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter ska kunna påföras offentliga myndigheter och organ. Enligt RS kan avsaknaden av ett liknande utrymme för skönsmässig bedömning i artikel 82 i dataskyddsförordningen endast tolkas som att medlemsstaterna inte får undanta offentliga myndigheter och enheter, och företrädare, från ansvar för civilrättsliga anspråk på ersättning för skada.
98. Detta argument förbiser dock att artikel 82 och artikel 83 i dataskyddsförordningen eftersträvar olika mål.( 67 ) Den förstnämnda bestämmelsen har en rent kompenserande funktion (och avser med andra ord ersättning till den registrerade för skada som lidits), medan den sistnämnda tjänar ett bestraffande syfte.( 68 ) Jag anser att de administrativa sanktionsavgifterna, på grund av detta bestraffande syfte, i princip måste vara direkt ”knutna” till den personuppgiftsansvarige eller personuppgiftsbiträdet i fråga.
99. Såsom förklarats i punkt 91 ovan, innebär en nationell bestämmelse såsom 1 § lagen om offentligt ansvar dessutom endast att ersättningsansvaret överflyttas från en person som agerar för en juridisk persons räkning till den berörda enheten.( 69 ) Däremot kan en medlemsstat, när den fastställer regler med stöd av artikel 83.7 i den förordningen, helt utesluta att administrativa sanktionsavgifter påförs dess offentliga myndigheter och organ.
100. Under dessa omständigheter anser jag att artikel 82 i dataskyddsförordningen inte utgör hinder för nationella bestämmelser enligt vilka personer som agerar för vissa offentliga juridiska personers räkning inte kan hållas ansvariga för den skada som de tillfogar de registrerade i sin egenskap av personuppgiftsansvariga eller personuppgiftsbiträden, under förutsättning att det i dessa bestämmelser även anges mot vilken enhet sådana registrerade kan framställa en begäran om ersättning.
V. Förslag till avgörande
101. Mot bakgrund av vad som anförts ovan föreslår jag att EU-domstolen ska besvara de frågor som ställts av Oberster Gerichtshof (Högsta domstolen, Österrike) på följande sätt:
Artikel 4 led 7 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
ska tolkas så, att en fysisk person som i sin tjänsteutövning behandlar personuppgifter, inte i eget intresse utan i egenskap av chef för en organisation och med hjälp av de verktyg som denna organisation ställt till vederbörandes förfogande och anvisat honom eller henne, inte ska anses vara ”personuppgiftsansvarig” i den mening som avses i den bestämmelsen.
1 Originalspråk: engelska.
i Förevarande mål har getts ett fiktivt namn. Detta namn är inte någon av rättegångsdeltagarnas verkliga namn.
2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1 och rättelser i EUT L 127, 2018, s. 2 och EUT L 74, 2021, s. 35) (nedan kallad dataskyddsförordningen).
3 Se artikel 4 led 1 i dataskyddsförordningen.
4 Ibidem.
5 Se skäl 7 i dataskyddsförordningen.
6 Se skäl 11 i dataskyddsförordningen.
7 Se artikel 1.2 och skäl 10 i dataskyddsförordningen.
8 Se skäl 7 i dataskyddsförordningen. Denna förordning bygger på uppfattningen att den registrerade är en aktiv individ, som är kapabel att fatta beslut om de personuppgifter som rör honom eller henne (se Spiecker gen. Döhmann, I.; Papakonstantinou, V.; Hornung, G. och De Hert, P., General Data Protection Regulation: Article-by-Article Commentary , Nomos Baden-Baden, 2023, s. 86).
9 I artikel 4 led 2 i dataskyddsförordningen definieras behandling som ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring”.
10 Se artikel 15.1 i dataskyddsförordningen: ”Den registrerade ska ha rätt att av den personuppgiftsansvarige få … tillgång till …” (min kursivering.)
11 I sådana situationer bestäms ”ändamålen och medlen för behandlingen” i sig av unionsrätten eller medlemsstaternas nationella rätt.
12 Se dom av den 10 juli 2018, Jehovan todistajat (C-25/17, EU:C:2018:551, punkt 68). Den domen avsåg tolkningen av begreppet ”registeransvarig” (numera ”personuppgiftsansvarig”) såsom det definierades i artikel 2 d i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31). Även om det direktivet inte längre är i kraft utan har ersatts av dataskyddsförordningen, är EU-domstolens tolkning av denna bestämmelse fortfarande relevant inom ramen för tillämpningen av dataskyddsförordning, med hänsyn till att definitionen av det begreppet, bortsett från några smärre formella ändringar, är densamma i båda rättsakterna. Jag kommer därför att utan åtskillnad hänvisa till domar som avser det ena eller det andra av dessa instrument.
13 Se även, i detta hänseende, Europeiska dataskyddsstyrelsens (EDPB) ”Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR”, version 2.0, antagna den 7 juli 2021 (nedan kallade EDPB:s riktlinjer 07/2020), s. 3 samt punkterna 21 och 25–27, som finns tillgängliga på följande adress: https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_sv.pdf).
14 Se dom av den 4 oktober 2024, Bezirkshauptmannschaft Landeck (Försök att bereda sig tillgång till personuppgifter som finns lagrade i en mobiltelefon) (C‑548/21, EU:C:2024:830, punkt 41 och där angiven rättspraxis).
15 Se dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras (C-683/21, EU:C:2023:949, punkt 29).
16 Ibidem, punkt 30.
17 Min kursivering.
18 Se dom av den 11 april 2024, juris (C‑741/21, EU:C:2024:288, punkterna 47–49).
19 Ibidem. Se även, i detta hänseende, dom av den 22 juni 2023, Pankki S (C-579/21, EU:C:2023:501), dom av den 5 december 2023, Deutsche Wohnen (C-807/21, EU:C:2023:950), och dom av den 25 januari 2024, MediaMarktSaturn (C-687/21, EU:C:2024:72), i vilka ”de personuppgiftsansvariga” befanns vara företag, trots att den påstådda ”behandlingen” hade utförts av de anställda i dessa företag.
20 Se dom av den 5 december 2023, Deutsche Wohnen (C‑807/21, EU:C:2023:950, punkt 44).
21 Se punkterna 18 och 19 i dessa riktlinjer.
22 Jag instämmer i kommissionens uppfattning att den hänskjutande domstolen genom sin första fråga endast vill få klarhet i huruvida en person såsom TS ska anses vara ”personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 i dataskyddsförordningen. Om EU-domstolen skulle dela min uppfattning att denna fråga ska besvaras nekande, anser jag därför inte att den behöver ta ställning till huruvida det är skolan eller den berörda delstaten som ska anses vara ”personuppgiftsansvarig” i stället för TS.
23 Se, för ett liknande resonemang, dom av den 27 februari 2025, Amt der Tiroler Landesregierung (C‑638/23, EU:C:2025:127, punkterna 30–34). Se även dom av den 11 januari 2024, État belge (Personuppgifter som behandlas av en officiell tidning) (C‑231/22, EU:C:2024:7, punkt 36).
24 Se, i detta hänseende, dom av den 7 mars 2024, IAB Europe (C‑604/22, EU:C:2024:214, punkterna 56–59). För ett exempel där en enhet (ett trossamfund) och medlemmarna i denna enhet faktiskt befanns vara gemensamt personuppgiftsansvariga, se dom av den 10 juli 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551).
25 Se, i detta hänseende, mitt förslag till avgörande i målet Lindenberg (C-205/25, EU:C:2026:312) (nedan kallat mitt förslag till avgörande i målet Lindenberg), där jag i punkt 49 konstaterar att artikel 15 dataskyddsförordningen endast kan åberopas mot den personuppgiftsansvarige.
26 Detta gäller även den fjärde frågan, som endast ställs ”för det fall att fråga 1 eller 3 ska besvaras jakande” (min kursivering).
27 Se, i detta hänseende, dom av den 20 december 2017, Nowak (C-434/16, EU:C:2017:994, punkt 34), om begreppet ”personuppgifter” såsom det definierades i artikel 2 a i direktiv 95/46, och dom av den 2 december 2025, Russmedia Digital och Inform Media Press (C-492/23, EU:C:2025:935, punkt 49). Se även, i detta hänseende, Europeiska dataskyddsstyrelsens (EDPB) ”Riktlinjer 01/2022 om registrerades rättigheter - rätt till tillgång”, version 2.1, antagna den 28 mars 2023 (nedan kallade EDPB:s riktlinjer 01/2022), punkt 96, som finns tillgängliga på följande adress: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_sv.
28 Se dom av den 19 mars 2026, Brillen Rottler (C-526/24, EU:C:2026:216, punkt 24 och där angiven rättspraxis).
29 Se den engelska definitionen av begreppet ”källa” ( source ) i online-versionen av the Collins Dictionary, tillgänglig på följande adress: https://www.collinsdictionary.com/dictionary/english/source . Enligt onlineversionen av Cambridge Dictionary anses ordet källa ( source ) vanligtvis betyda den plats som något härrör från eller någon eller något som tillhandahåller information ( https://dictionary.cambridge.org/dictionary/english/source ).
30 Min kursivering.
31 Se dom av den 9 januari 2025, Österreichische Datenschutzbehörde (Orimlig begäran) (C-416/23, EU:C:2025:3, punkt 46).
32 Se, för ett liknande resonemang, dom av den 22 juni 2023, Pankki S (C-579/21, EU:C:2023:501, punkterna 56–59 och där angiven rättspraxis). Se även, i detta hänseende, skäl 63 i dataskyddsförordningen (punkt 6 ovan).
33 Se punkt 24 ovan.
34 Se, analogt, punkt 58 i mitt förslag till avgörande i målet Lindenberg, där jag gör gällande att omfattningen av rätten att erhålla en kopia av personuppgifterna enligt artikel 15.3 i dataskyddsförordningen strikt begränsas av dess funktion.
35 Se återigen, för ett liknande resonemang, dom av den 22 juni 2023, Pankki S (C-579/21, EU:C:2023:501, punkterna 69–75), i vilken EU-domstolen prövade huruvida det kunde vara nödvändigt att lämna ut relevant information för att säkerställa en rättvis och öppen behandling, så att den registrerade fullt ut kan göra gällande sina rättigheter enligt förordningen.
36 Se EDPB:s riktlinjer 01/2022, punkt 36.
37 RS har nämligen gjort gällande att när personuppgifter som mottagits vid ett muntligt samtal med en tredje part återges i ett e-postmeddelande exakt så som de mottogs (vilket RS anser vara fallet i det nationella målet), så ska den tredje parten själv anses vara den ”varifrån” till de personuppgifter som finns i e-postmeddelandet kommer.
38 Dom av den 20 december 2017 (C-434/16, EU:C:2017:994.)
39 Se skäl 63 i dataskyddsförordningen.
40 Se även, i detta hänseende, dom av den 22 juni 2023, Pankki S (C-579/21, EU:C:2023:501, punkt 77).
41 Se artikel 11 i stadgan och artikel 10 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (nedan kallad Europakonventionen).
42 Som åtnjuter skydd enligt artikel 7 i stadgan och artikel 8 i Europakonventionen.
43 Se artikel 11 i stadgan och artikel 10 i Europakonventionen.
44 Som åtnjuter skydd enligt artikel 7 i stadgan och artikel 8 i Europakonventionen.
45 Med detta sagt är jag medveten om den omständigheten att den registrerade i denna situation får tillgång till information om varifrån personuppgifter som rör honom eller henne kommer kan göra möjligt för vederbörande att förhindra att dessa uppgifter sprids mellan olika personuppgiftsansvariga (det vill säga förhindra ytterligare ”behandling”) (se punkt 58 ovan). Enbart den omständigheten är dock enligt min mening inte tillräcklig för att motivera att information om identiteten på den varifrån dessa uppgifter kommer (den tredje parten) lämnas ut till den registrerade.
46 I detta hänseende erinrar jag om att det, enligt det förfarande för samarbete mellan nationella domstolar och EU-domstolen som införts genom artikel 267 FEUF, ankommer på EU-domstolen att ge den nationella domstolen ett användbart svar, som gör det möjligt för den domstolen att avgöra det mål som den ska pröva. I detta syfte kan EU-domstolen behöva omformulera de frågor som hänskjutits och i förekommande fall ta hänsyn till unionsbestämmelser som den nationella domstolen inte har hänvisat till i sin fråga. (se dom av den 30 april 2026, Lidl Italia (Otillbörliga affärsmetoder i fråga om livsmedel) (C‑301/25, EU:C:2026:357, punkt 25).
47 Den registrerade har endast rätt att av den personuppgiftsansvarige erhålla sådan information som räknas upp i artikel 15.1 a–h i dataskyddsförordningen när personuppgifter som rör honom eller henne håller på att behandlas .
48 Enligt artikel 15.1 i dataskyddsförordningen ska den registrerade även ha ”rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas” (min kursivering).
49 Min kursivering. Se även artikel 82.4 och skäl 146 i dataskyddsförordningen, som använder formuleringen ”all skada som en person kan komma att lida till följd av behandling”.
50 Se även, i detta hänseende, förslag till avgörande av generaladvokaten Szpunar i målet Brillen Rottler (C-526/24, EU:C:2025:723, punkterna 69–71) (nedan kallat förslaget till avgörande i målet Brillen Rottler).
51 Se, i detta hänseende, Note from the Presidency of the Council, No 9565/15, of 11 June 2015, ‘Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) – Preparation of a general approach’ (Meddelande från rådets ordförandeskap, nr 9565/15, av den 11 juni 2015, ”Förslag till Europaparlamentets och rådets förordning av den 11 juni 2015 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) – Utarbetande av en allmän inriktning”), s. 185, tillgänglig på engelska på följande adress: https://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf.
52 Se dom av den 4 oktober 2024, Agentsia po vpisvaniyata (C-200/23, EU:C:2024:827, punkt 159). Se även, i detta hänseende, förslaget till avgörande i målet Brillen Rottler, där generaladvokaten i punkt 70 förklarade att unionslagstiftaren genom artikel 82.2 i dataskyddsförordningen infört bestämmelser om personuppgiftsbiträdets ansvar, vilket inte reglerades i artikel 23 i direktiv 95/46.
53 Min kursivering.
54 Punkt 73.
55 Se dom av den 19 mars 2026, Brillen Rottler (C-526/24, EU:C:2026:216) (nedan kallad domen i målet Brillen Rottler).
56 Se punkt 48. I punkt 59 i den domen erinrade EU-domstolen även om sin fasta praxis enligt vilken det, för att rätt till ersättning ska föreligga, krävs att det finns ett orsakssamband mellan den skada som lidits och överträdelsen av dataskyddsförordningen, i vid bemärkelse. Såvitt jag vet förekommer det mer restriktiva kravet på att det ska föreligga ett orsakssamband mellan skadan och den ”otillåtna behandlingen” (snarare än ”överträdelse[n] av dataskyddsförordningen”) endast i domen av den 4 oktober 2024, Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827, punkt 159). Detta krav förekommer även i punkt 36 i domen av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter) (C-300/21, EU:C:2023:370), även om det i punkt 32 hänvisas mer allmänt till en ”överträdelse av dataskyddsförordningen”.
57 Punkt 49.
58 Punkt 53.
59 Detta kapitel omfattar, förutom de olika rättigheter till information som stadfästs i artiklarna 12–15, rätten att få sina personuppgifter rättade (artikel 16), rätten att få sina personuppgifter raderade (artikel 17), rätten att kräva att behandlingen av personuppgifterna begränsas (artikel 18) och rätten till dataportabilitet (artikel 20).
60 Se, för ett liknande resonemang, domen i målet Brillen Rottler, punkt 53.
61 Kapitel III i dataskyddsförordningen inbegriper även rätten att ”när som helst” göra invändningar mot behandling av personuppgifter (artikel 21 i dataskyddsförordningen). Till skillnad från de övriga rättigheter som räknas upp i detta kapitel anser jag att denna rätt måste utövas medan dessa uppgifter behandlas, eftersom den i princip medför en skyldighet för den personuppgiftsansvarige att sluta behandla de ifrågavarande personuppgifterna.
62 Detsamma gäller andra skyldigheter som åläggs personuppgiftsansvariga genom kapitel III i dataskyddsförordningen, såsom de som föreskrivs i artiklarna 26 och 30 i den förordningen. En överträdelse av dessa artiklar utgör inte ”olaglig behandling” (se, i detta hänseende, domen i målet Brillen Rottler, punkt 52 och den där angiven rättspraxis).
63 Se i detta avseende 9 § punkt 5 i lagen om offentligt ansvar, vars innehåll jag har erinrat om i punkt 11 ovan.
64 Se, i detta hänseende, Kucsko-Stadlmayer, G. ”Art. 23 BV-G” i Korinek, K., Holoubek M., et al (red.), Österreichisches Bundesverfassungsrecht, Verlag Österreich, 2013. Den konstitutionella grunden för 1 § lagen om offentligt ansvar är 23 § Bundes-Verfassungsgesetz (B-VG) (nedan kallad den federala grundlagen).
65 Se, i detta hänseende, dom av den 4 oktober 2024, Patērētāju tiesību aizsardzības centrs (C-507/23, EU:C:2024:854, punkt 34 och där angiven rättspraxis) och dom av den 4 september 2025, Quirin Privatbank (C-655/23, EU:C:2025:655, punkt 78 och där angiven rättspraxis).
66 Se även, i detta hänseende, skäl 146 i dataskyddsförordningen där det anges att ”[r]egistrerade bör få full och effektiv ersättning för den skada de lidit”.
67 Se, i detta hänseende, dom av den 11 april 2024, juris (C-741/21, EU:C:2024:288, punkt 56), och dom av den 20 juni 2024, PS (Felaktig adress) (C-590/22, EU:C:2024:536, punkt 38).
68 Se, i detta hänseende, dom av den 20 juni 2024, Scalable Capital (C-182/22 och C-189/22, EU:C:2024:531, punkterna 2 och 23 och där angiven rättspraxis), dom av den 20 juni 2024, PS (Felaktig adress) (C-590/22, EU:C:2024:536, punkt 41) och dom av den 4 september 2025, Quirin Privatbank (C-655/23, EU:C:2025:655, punkt 70 och där angiven rättspraxis).
69 I detta hänseende noterar jag att den ansvarsförskjutning som sker genom 1 § lagen om offentligt ansvarsskyldighet inte nödvändigtvis leder till en fullständig ansvarsbefrielse för den berörda ”företrädaren”. Enligt artikel 23.2 i den federala grundlagen och 3 § i lagen om offentligt ansvar har nämligen en offentlig juridisk person som har ersatt en registrerad för skada som orsakats av en av dess ”företrädare” regressrätt mot denna ”företrädare” om vederbörande har handlat uppsåtligen eller av grov vårdslöshet.