EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62022CN0203

Sag C-203/22: Anmodning om præjudiciel afgørelse indgivet af Verwaltungsgericht Wien (Østrig) den 16. marts 2022 — CK

OJ C 222, 7.6.2022, p. 18–21 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
OJ C 222, 7.6.2022, p. 17–20 (GA)

7.6.2022   

DA

Den Europæiske Unions Tidende

C 222/18


Anmodning om præjudiciel afgørelse indgivet af Verwaltungsgericht Wien (Østrig) den 16. marts 2022 — CK

(Sag C-203/22)

(2022/C 222/30)

Processprog: tysk

Den forelæggende ret

Verwaltungsgericht Wien

Parter i hovedsagen

Sagsøger: CK

Sagsøgte: Dun & Bradstreet Austria GmbH og Magistrat der Stadt Wien

Præjudicielle spørgsmål

1)

Hvilke materielle krav skal en fremlagt oplysning opfylde for at anses for tilstrækkelig »meningsfuld« som omhandlet i artikel 15, stk. 1, litra h), i Europa-Parlamentets og Rådets forordning (generel forordning om databeskyttelse) (1)?

Skal den dataansvarlige — om nødvendigt med den indskrænkning, at eksisterende forretningshemmeligheder beskyttes — når der er tale om en profilering, i forbindelse med oplysning om »logikken heri« principielt også videregive de oplysninger, der er væsentlige for at kunne forstå resultatet af den automatiske individuelle afgørelse, herunder navnlig 1) de personoplysninger om den registrerede, der har været genstand for behandlingen, 2) de dele af algoritmen bag profileringen, der er nødvendige for at kunne forstå afgørelsen og 3) de oplysninger, der er relevante for at kunne forstå sammenhængen mellem de behandlede data og evalueringen af dem?

Skal den, der har ret til indsigt som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, når der er tale om profilering, og selv i tilfælde af, at der fremsættes indsigelse om en forretningshemmelighed, under alle omstændigheder modtage følgende oplysninger om den konkrete behandling af vedkommendes personoplysninger, således at denne sættes i stand til at beskytte sine rettigheder i henhold til artikel 22, stk. 3, i den generelle forordning om databeskyttelse:

a)

alle de oplysninger, der gør det muligt at efterprøve, at den generelle forordning om databeskyttelse er overholdt, herved navnlig oplysninger om den måde, den registreredes personoplysninger er behandlet på, idet oplysningerne om nødvendigt må være pseudoanonymiserede,

b)

de data, der er anvendt til profileringen, idet disse stilles til rådighed,

c)

de parametre og inputvariabler, der er benyttet til at foretage vurderingen,

d)

disse parametre og inputvariablers indflydelse på den beregnede vurdering,

e)

information om, hvorledes nævnte parametre og inputvariabler er tilvejebragt,

f)

forklaring om, hvorfor den, der har ret til indsigt som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, blev henført til et bestemt vurderingsresultat, og redegørelse for hvilket udsagn, der blev forbundet med dette resultat,

g)

liste over profilkategorierne og oplysning om hvilket vurderingsudsagn, der er forbundet med hver enkelt profilkategori?

2)

Er indsigtsretten som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse knyttet til retten til at fremkomme med sine synspunkter som omhandlet i artikel 22, stk. 3, i den generelle forordning om databeskyttelse og bestride en automatisk afgørelse som omhandlet i artikel 22 i den generelle forordning om databeskyttelse, for så vidt som omfanget af de oplysninger, der skal meddeles efter anmodning om indsigt i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, kun er tilstrækkelig »meningsfuldt«, hvis den, der anmoder om indsigt, og er registreret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse sættes i stand til faktisk at gøre brug af retten til at fremkomme med sine synspunkter som omhandlet i artikel 22, stk. 3, i den generelle forordning om databeskyttelse og bestride en automatisk afgørelse som omhandlet i artikel 22 i den generelle forordning om databeskyttelse, på grundig og formålstjenlig vis?

3)

a)

Skal artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse fortolkes således, at der kun er tale om »meningsfulde oplysninger«, såfremt oplysningerne er så vidtgående, at den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, har mulighed for at fastslå, om de meddelte oplysninger er i overensstemmelse med fakta, altså om de faktisk også har ligget til grund for den automatiske individuelle afgørelse?

b)

Såfremt dette spørgsmål skal besvares bekræftende: Hvilken fremgangsmåde skal anvendes, hvis det kun er muligt at efterprøve, om en oplysning fra en dataansvarlig er korrekt, ved at den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, modtager personoplysninger om tredjemænd, der ligeledes er beskyttet i henhold til den generelle forordning om databeskyttelse (black-box)?

Kan dette spændingsfelt mellem indsigtsretten i henhold til artikel 15, stk. 1, i den generelle forordning om databeskyttelse og tredjemands databeskyttelsesret fjernes ved, at de personoplysninger om tredjemænd, der ligeledes var genstand for samme profilering, og som er nødvendige for at kunne foretage korrekthedskontrollen, udelukkende videregives til den relevante myndighed eller domstol, der derefter selvstændigt skal efterprøve, om de meddelte personoplysninger om de pågældende tredjemænd er i overensstemmelse med fakta?

c)

Såfremt dette spørgsmål skal besvares bekræftende: Hvilke rettigheder skal under alle omstændigheder indrømmes den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, såfremt der er pligt til at sikre beskyttelse af andres rettigheder som omhandlet i artikel 15, stk. 4, i den generelle forordning om databeskyttelse, når der indrettes en black-box som nævnt i spørgsmål 3b)?

Skal de oplysninger om andre, der i så fald skal meddeles den, der har indsigtsret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, for at gøre det muligt at kontrollere, at den dataansvarliges afgørelse er korrekt, som omhandlet i artikel 15, stk. 1, i den generelle forordning om databeskyttelse, videregives i pseudoanonymiseret form?

4)

a)

Hvilken fremgangsmåde skal anvendes, såfremt de oplysninger, der skal videregives i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, ligeledes opfylder betingelserne for en forretningshemmelighed som omhandlet i artikel 2, nr. 1) Direktiv (EU) 2016/943 (2)?

Kan spændingsfeltet mellem den indsigtsret, der garanteres i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, og retten til hemmeligholdelse af en forretningshemmelighed, der beskyttes i direktiv (EU) 2016/943, fjernes ved at de oplysninger, der skal kvalificeres som forretningshemmelighed i henhold til direktiv (EU) 2016/943, udelukkende videregives til den relevante myndighed eller domstol, der derefter selvstændigt skal efterprøve, om der foreligger en forretningshemmelighed som omhandlet i artikel 2, nr. 1), i direktiv (EU) 2016/943, og om oplysningerne fra den dataansvarlige som omhandlet i artikel 15, stk. 1, i den generelle forordning om databeskyttelse er i overensstemmelse med fakta?

b)

Såfremt dette spørgsmål skal besvares bekræftende: Hvilke rettigheder skal der under alle omstændigheder indrømmes den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, såfremt der er pligt til at sikre beskyttelse af andres rettigheder som omhandlet i artikel 15, stk. 4, i den generelle forordning om databeskyttelse, når der indrettes en black-box som nævnt i spørgsmål 4a)?

Skal den, der har indsigtsret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, (også) i et sådant tilfælde, hvor der ikke skal videregives de samme oplysninger til henholdsvis myndigheden/domstolen og den, der har indsigtsret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, når der er tale om profilering, under alle omstændigheder modtage følgende oplysninger om den konkrete behandling af sine personoplysninger, således at vedkommende kan beskytte sine rettigheder i henhold til artikel 22, stk. 3, i den generelle forordning om databeskyttelse fuldt ud:

a)

alle de oplysninger, der gør det muligt at efterprøve, at den generelle forordning om databeskyttelse er overholdt, herved navnlig oplysninger om den måde, den registreredes personoplysninger er behandlet på, idet oplysningerne om nødvendigt må være pseudoanonymiserede,

b)

de data, der er anvendt til profileringen, idet disse stilles til rådighed,

c)

de parametre og inputvariabler, der er benyttet til at foretage vurderingen,

d)

disse parametre og inputvariablers indflydelse på den beregnede vurdering,

e)

oplysninger om, hvorledes nævnte parametre og inputvariabler er tilvejebragt,

f)

forklaring om, hvorfor den, der har ret til indsigt som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, blev henført til et bestemt vurderingsresultat, og redegørelse for hvilket udsagn, der blev forbundet med dette resultat,

g)

liste over profilkategorierne og oplysning om hvilket vurderingsudsagn, der er forbundet med hver enkelt profilkategori?

5)

Begrænses omfanget af de oplysninger, der skal meddeles i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, på en eller anden måde af artikel 15, stk. 4, i den generelle forordning om databeskyttelse?

Hvorledes begrænses indsigtsretten i bekræftende fald af artikel 15, stk. 4, i den generelle forordning om databeskyttelse, og hvordan skal omfanget af en sådan begrænsning fastslås konkret?

6)

Er bestemmelsen i § 4, stk. 6, i Datenschutzgesetz (den østrigske databeskyttelseslov), hvorefter »den indsigtsret, som den registrerede i henhold til artikel 15 i den generelle forordning om databeskyttelse med forbehold af andre lovbegrænsninger har over for en dataansvarlig, som regel ikke (består), hvis videregivelse af de pågældende oplysninger ville udgøre en trussel mod en forretningshemmelighed hos den dataansvarlige eller andre« forenelig med betingelserne i artikel 15, stk. 1, sammenholdt med artikel 22, stk. 3, i den generelle forordning om databeskyttelse? Hvornår er betingelserne i givet fald opfyldt?


(1)  Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (EUT 2016, L 119, s. 1).

(2)  Europa-Parlamentets og Rådets direktiv (EU) 2016/943 af 8.6.2016 om beskyttelse af fortrolig knowhow og fortrolige forretningsoplysninger (forretningshemmeligheder) mod ulovlig erhvervelse, brug og videregivelse (EUT 2016, L 157, s. 1).


Top