Klargörande från EU-domstolen rörande orimlig begäran om tillgång enligt GDPR
Enligt artikel 15 i GDPR har enskilda rätt att få veta om en verksamhet behandlar deras personuppgifter och, om så är fallet, få en kopia av uppgifterna samt information om hur de används. Rätten är dock inte absolut. Om en begäran från en registrerad är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva karaktär, kan den personuppgiftsansvarige vägra att tillmötesgå begäran. Det är den personuppgiftsansvarige som måste visa att begäran är uppenbart ogrundad eller orimlig.
I mars 2026 meddelade EU-domstolen en ny dom (mål C-526/24) som belyser gränserna för rätten till tillgång enligt GDPR, och vilka krav som måste uppfyllas för att en begäran ska kunna avslås.
Avgörandet är praktiskt viktigt för företag som hanterar registerutdrag, eftersom det både markerar att utrymmet att invända mot missbruk är begränsat och understryker vikten av väl dokumenterade bedömningar för att kunna avslå en begäran.
Domen kan läsas i sin helhet via följande länk: C-526-24.
Kort bakgrund i målet
Målet rörde en registrerad som kort efter att ha lämnat sina personuppgifter frivilligt till ett företag begärde tillgång till dem enligt artikel 15 GDPR. Företaget vägrade att tillmötesgå begäran inom tidsfristen eftersom det ansåg att begäran utgjorde rättsmissbruk och anmodade den registrerade att slutgiltigt avstå från sin begäran. Den registrerade vidhöll dock sin begäran och begärde dessutom ersättning enligt artikel 82 GDPR för den vägrade tillgången.
Företaget gjorde gällande att den registrerade hade ett otillbörligt syfte och i praktiken försökte skapa underlag för ett skadeståndsanspråk, vilket företaget bland annat grundade på allmänt tillgängliga medieuppgifter. Företaget menade också att den registrerade systematiskt hade ägnat sig åt att begära ut personuppgifter från olika personuppgiftsansvariga och begära ersättning av dem på ett sätt som liknade det i målet aktuella.
EU-domstolen hade att ta ställning till dels om en första begäran om tillgång kan vara orimlig, dels om ett åsidosättande av rätten till tillgång kan ge rätt till ersättning även när den påstådda överträdelsen inte består i en separat otillåten behandling av personuppgifter.
Första begäran kan i undantagsfall vara orimlig
Möjligheten för verksamheter att neka en begäran för att den är uppenbart orimlig eller ogrundad har generellt ansetts avse upprepade begäranden, särskilt då det i artikel 12.5 GDPR hänvisas till begärandens repetitiva art. I domen öppnar dock EU-domstolen upp för att även en första begäran om tillgång från en registrerad kan anses vara orimlig på sådant sätt som motiverar en personuppgiftsansvarig att neka tillgång. Avgörande är inte om den registrerade har begärt tillgång tidigare, utan om den personuppgiftsansvarige kan visa att begäran har ett otillbörligt syfte.
Samtidigt betonar domstolen att detta undantag ska tillämpas restriktivt, och, precis som framgår av GDPR, är det den personuppgiftsansvarige som har bevisbördan. Bedömningen av om en begäran är orimlig ska göras utifrån samtliga relevanta omständigheter i det enskilda fallet. Att det finns allmänt tillgängliga uppgifter om att den registrerade systematiskt framställt liknande krav mot andra aktörer kan läggas till grund för bedömningen, men är inte i sig tillräckligt, utan måste sättas in i en helhetsbedömning.
Vägrad tillgång kan ge rätt till ersättning
Enligt artikel 82 GDPR har varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av GDPR rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. I den aktuella domen klargör EU-domstolen också att rätten till ersättning inte är begränsad till fall där skada har uppkommit endast genom behandling av personuppgifter. En registrerad kan därmed ha rätt till ersättning även när rätten till tillgång enligt artikel 15 GDPR har åsidosatts. Vad gäller immateriell skada bekräftar domstolen att skadan kan bestå i att den registrerade har förlorat kontrollen över sina personuppgifter eller svävar i ovisshet om huruvida personuppgifterna har behandlats.
Det finns dock ingen automatisk rätt till ersättning, utan den registrerade måste visa att en faktisk skada har uppkommit och att det finns ett orsakssamband mellan överträdelsen och skadan. Domstolen framhåller också att den registrerades eget handlande kan bryta orsakssambandet om detta varit den avgörande orsaken till skadan, exempelvis om den registrerade själv lämnat ut sina personuppgifter i syfte att skapa ”framtvingade” förutsättningar för ett ersättningsanspråk.
Vad innebär domen i praktiken?
Domen betonar vikten av att företag måste hantera tillgångsbegäranden skyndsamt och med god dokumentation. Samtidigt var det frågan om väldigt speciella omständigheter i målet. Det är därför svårt att dra långtgående slutsatser om möjligheten att avslå en begäran om tillgång. Ett otillräckligt underbyggt avslag kan i stället ge upphov till ytterligare risker, inte minst i form av skadeståndsanspråk. Cederquist följer utvecklingen på dataskyddsområdet löpande och bistår gärna i frågor om hantering av tillgångsbegäranden, och övriga dataskyddsrelaterade frågor. Hör gärna av er om ni vill diskutera hur domen kan påverka er verksamhet.
