EU-Domstolen har fastslået, at en registreret som udgangspunkt kan kræve at få oplyst identiteten på de konkrete modtagere, som en dataansvarlig har videregivet eller vil videregive personoplysninger til. Afgørelsen tager afsæt i en præjudiciel forelæggelse fra Østrig og adresserer fortolkningen af GDPR art. 15, stk. 1, litra c, hvor ordlyden nævner både “modtagere” og “kategorier af modtagere”, men uden at angive, hvad der har forrang. Domstolen lægger vægt på, at kendskab til de konkrete modtagere ofte er en forudsætning for effektivt at udøve øvrige rettigheder, såsom sletning, indsigelse og eventuel håndhævelse over for tredjemænd. Dermed kan det ikke generelt være tilstrækkeligt blot at angive kategorier som eksempelvis “samarbejdspartnere”.
EU-Domstolens afgørelse
Domstolen vurderer, at formålsfortolkning og sammenhængen i rettighedssystemet taler for, at udgangspunktet er adgang til konkrete modtageroplysninger. En registreret kan således som led i indsigtsretten forlange en navngiven opremsning af modtagere, i det omfang de er kendte for den dataansvarlige på tidspunktet for svaret. Dette styrker håndhævelsen af den registreredes rettigheder og den praktiske effekt af GDPR.
Udgangspunktet er ikke absolut. Hvis de fremtidige modtagere objektivt er ukendte for den dataansvarlige, kan det være tilstrækkeligt at angive kategorier. Endvidere kan den dataansvarlige efter GDPR art. 12, stk. 5, afvise at give detaljerede oplysninger, hvis anmodningen er åbenbart grundløs eller overdreven. I sådanne tilfælde kan oplysninger om kategorier være tilstrækkelige, men vurderingen skal være konkret og begrundet.
Praktiske konsekvenser i Danmark
Afgørelsen ligger på linje med Datatilsynets hidtidige praksis, hvorefter oplysninger til registrerede så vidt muligt skal omfatte de specifikke modtagere. Generelle formuleringer som “forretningspartnere” eller “samarbejdspartnere” er som udgangspunkt utilstrækkelige, hvis den dataansvarlige faktisk kan identificere de enkelte modtagere. Kravet understreger betydningen af transparens og dokumentation i behandlingsaktiviteter.
Dataansvarlige bør sikre, at der foreligger en opdateret oversigt over modtagere, herunder koncernselskaber, eksterne samarbejdspartnere og databehandlere. En sådan modtagerliste understøtter hurtige og korrekte svar på indsigtsanmodninger og er samtidig nyttig ved sletteanmodninger efter GDPR art. 17 og ved tilbagekaldelse af samtykker, hvor oplysninger skal trækkes tilbage hos relevante modtagere. Det kan med fordel indarbejdes i interne procedurer og i fortegnelsen over behandlingsaktiviteter.
Den fulde dom kan læses hos EU-Domstolen her.
