–

Österreichische Datenschutzbehörde, genom M. Schmidl, i egenskap av ombud,

–

F R, genom C. Wirthensohn, Rechtsanwalt,

–

Bundesministerin für Justiz, genom E. Riedl, i egenskap av ombud,

–

Österrikes regering, genom A. Posch, J. Schmoll och C. Gabauer, samtliga i egenskap av ombud,

–

Tjeckiens regering, genom M. Smolek T. Suchá och J. Vláčil, samtliga i egenskap av ombud,

–

Europeiska kommissionen, genom A. Bouchagiar, F. Erlbacher och H. Kranenborg, samtliga i egenskap av ombud,

1

Begäran om förhandsavgörande avser tolkningen av artiklarna 57.4 och 77.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen).

2

Begäran har framställts i ett mål mellan F R, som är en fysisk person, och Österreichische Datenschutzbehörde (Dataskyddsmyndigheten, Österrike) (nedan kallad DSB). Målet rör DSB:s beslut att direkt avsluta ett klagomålsärende avseende ett påstått åsidosättande av F R:s rätt att få tillgång till sina personuppgifter.

3

Skälen 10, 11, 59, 63 och 129 i dataskyddsförordningen har följande lydelse:

…

…

…

4

I artikel 12 (”Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter”) i dataskyddsförordningen föreskrivs följande i punkterna 2 och 5:

”2.   Den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter i enlighet med artiklarna 15–22. I de fall som avses i artikel 11.2 får den personuppgiftsansvarige inte vägra att tillmötesgå den registrerades begäran om att utöva sina rättigheter enligt artiklarna 15–22, om inte den personuppgiftsansvarige visar att han eller hon inte är i stånd att identifiera den registrerade.

…

5.   Information som tillhandahållits enligt artiklarna 13 och 14, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 15–22 och 34 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen

Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.”

5

I artikel 15 (”Den registrerades rätt till tillgång”) i dataskyddsförordningen föreskrivs följande i punkt 1:

”Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:

…

…”

6

I artikel 52 (”Befogenheter”) i dataskyddsförordningen föreskrivs följande i punkt 4:

”Varje medlemsstat ska säkerställa att varje tillsynsmyndighet förfogar över de personella, tekniska och finansiella resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utföra sina uppgifter och utöva sina befogenheter, inklusive inom ramen för det ömsesidiga biståndet, samarbetet och deltagandet i styrelsens verksamhet.”

7

Artikel 57 (”Uppgifter”) i dataskyddsförordningen har följande lydelse:

”1.   Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska varje tillsynsmyndighet på sitt territorium ansvara för följande:

…

…

2.   Varje tillsynsmyndighet ska underlätta inlämningen av klagomål enligt punkt 1 f genom åtgärder såsom ett särskilt formulär för ändamålet, vilket också kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts.

3.   Utförandet av alla tillsynsmyndigheters uppgifter ska vara avgiftsfritt för den registrerade och, i tillämpliga fall, för dataskyddsombudet.

4.   Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva karaktär, får tillsynsmyndigheten ta ut en rimlig avgift grundad på de administrativa kostnaderna eller vägra att tillmötesgå begäran. Det åligger tillsynsmyndigheten att visa att begäran är uppenbart ogrundad eller orimlig.”

8

I artikel 77 (”Rätt att lämna in klagomål till en tillsynsmyndighet”) föreskrivs följande i punkt 1:

”Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där [den påstådda överträdelsen] begicks.”

9

I § 24 (”Klagomål till dataskyddsmyndigheten”) i Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (förbundslag om skydd för enskilda personer med avseende på behandling av personuppgifter) av den 17 augusti 1999 (BGBl. I, 165/1999), i den lydelse som är tillämplig på omständigheterna i det nationella målet, föreskrivs följande i punkterna 1, 5 och 8:

”1)   Varje registrerad ska ha rätt att lämna in ett klagomål till dataskyddsmyndigheten om han eller hon anser att behandlingen av personuppgifter som rör honom eller henne utgör en överträdelse av dataskyddsförordningen eller av § 1 eller av [bestämmelserna i] Artikel 2, kapitel 1, [i denna lag]

…

5)   Om ett klagomål efter utredning visar sig vara befogat, ska dataskyddsmyndigheten vidta åtgärder med anledning av klagomålet. Om en överträdelse har begåtts av en personuppgiftsansvarig inom den privata sektorn, ska dataskyddsmyndigheten förelägga den personuppgiftsansvarige att efterkomma den registrerades begäran om tillgång, rättelse, radering, begränsning eller överföring av uppgifter i den utsträckning som krävs för att avhjälpa den konstaterade överträdelsen. Om ett klagomål visar sig vara obefogat, ska dataskyddsmyndigheten avsluta klagomålsärendet utan åtgärd.

…

8)   Varje registrerad har rätt att vända sig till förvaltningsdomstolen om dataskyddsmyndigheten underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur arbetet med klagomålet fortskrider eller om dess resultat.”

10

Den 17 februari 2020 ingav F R ett klagomål till DSB med stöd av artikel 77.1 i dataskyddsförordningen. Klagomålet avsåg en påstådd överträdelse av artikel 15 i förordningen, med anledning av att ett företag, som hade ställning som personuppgiftsansvarig, inte inom en månad hade besvarat F R:s begäran om att få tillgång till sina personuppgifter.

11

DSB beslutade den 22 april 2020, med stöd av artikel 57.4 i dataskyddsförordningen, att avsluta klagomålsärendet utan åtgärd på grund av att klagomålet var orimligt. I skälen till beslutet påpekade DSB i detta avseende bland annat att F R under en period på cirka 20 månader hade lämnat in 77 liknande klagomål mot olika personuppgiftsansvariga. DSB angav vidare att F R dessutom regelbundet hade kontaktat myndigheten per telefon för att lämna kompletterande uppgifter till sina klagomål och för att begära att myndigheten skulle vara honom behjälplig med rådgivning.

12

F R överklagade nämnda beslut till Bundesverwaltungsgericht (Federala förvaltningsdomstolen, Österrike).

13

Genom dom av den 22 december 2022 biföll denna domstol överklagandet och upphävde beslutet. I domskälen anförde den i huvudsak följande. För att det ska kunna anses vara fråga om en orimlig begäran, i den mening som avses i artikel 57.4 i dataskyddsförordningen, krävs inte endast att det är fråga om frekventa framställningar, utan även att det är uppenbart att det är fråga om okynnesframställningar eller att den registrerade haft en otillbörlig avsikt med dem. Av skälen till DSB:s beslut att avsluta det aktuella klagomålsärendet framgår dock inte något som tyder på att F R skulle ha agerat på ett sådant otillbörligt sätt. En tillsynsmyndighet har i fall av orimliga framställningar inte rätt att godtyckligt välja mellan de två alternativ som anges i nämnda bestämmelse, det vill säga att ta ut en skälig avgift eller att avslå framställningarna. Valet mellan dessa alternativ innefattar en bedömning som omfattas av tillsynsmyndighetens motiveringsskyldighet. Det aktuella beslutet innehåller dock inte någon motivering till varför det andra alternativet valts.

14

DSB överklagade denna dom till den hänskjutande domstolen, Verwaltungsgerichtshof (Högsta förvaltningsdomstolen, Österrike). Av begäran av förhandsavgörande framgår att denna domstol, för det första, vill få klarhet i huruvida begreppet ”begäran”, i den mening som avses i artikel 57.4 dataskyddsförordningen, omfattar klagomål som ges in med stöd av artikel 77.1 i förordningen.

15

Den hänskjutande domstolen har i detta avseende anfört följande. I uppräkningen av tillsynsmyndigheternas uppgifter i artikel 57.1 i dataskyddsförordningen används begreppet ”begäran” visserligen enbart i led e) i bestämmelsen, i fråga om det fallet att de registrerade begär information från tillsynsmyndigheterna om hur de ska utöva sina rättigheter enligt förordningen. Av denna omständighet går det dock inte att dra slutsatsen att artikel 57.4 i förordningen endast är tillämplig på handläggningen av en sådan begäran om information. Det sammanhang i vilket bestämmelsen ingår, som utgör ett undantag från principen om avgiftsfrihet, talar snarare för att det där använda begreppet ”begäran” även omfattar klagomål, av det skälet att klagomålshantering utgör tillsynsmyndigheternas huvudsakliga uppgift och att det finns ett behov av att avlasta dessa myndigheter från uppenbart ogrundade eller orimliga klagomål.

16

En sådan tolkning skulle dock medföra en inskränkning av tillsynsmyndigheternas skyldighet att hantera klagomål enligt artikel 57.1 f i dataskyddsförordningen och skulle kunna anses strida mot de mål som eftersträvas med förordningen, bland annat mot målet att säkerställa en hög skyddsnivå för fysiska personer med avseende på behandling av personuppgifter inom unionen.

17

Samtidigt skulle en sådan tolkning innebära att begränsningen av rätten att ge in klagomål i artikel 57.4 i dataskyddsförordningen blir proportionerlig. En förutsättning för att en tillsynsmyndighet ska kunna tillämpa denna bestämmelse är nämligen att den visar att klagomålet är uppenbart ogrundat eller orimligt. Härtill kommer att myndighetens beslut att ta ut en skälig avgift eller att avsluta ett klagomålsärende utan åtgärd kan bli föremål för domstolsprövning enligt artikel 78.1 i förordningen.

18

Av begäran om förhandsavgörande framgår vidare att den hänskjutande domstolen, för det andra, vill få klarhet i vilken räckvidd begreppet ”orimlig begäran” i artikel 57.4 i dataskyddsförordningen har, om det är så att denna bestämmelse ska anses vara tillämplig på klagomål i den mening som avses i artikel 77.1 i förordningen. Den hänskjutande domstolen har särskilt påpekat att även om artikel 57.4, som exempel på en ”orimlig begäran”, uttryckligen nämner det fallet att begäran är av ”repetitiv karaktär”, kvarstår det faktum att möjligheten att underlåta att behandla ett klagomål utgör ett undantag från den skyldighet att behandla klagomål som åligger alla tillsynsmyndigheter och därmed ska tolkas restriktivt. Denna möjlighet medför nämligen ett betydande ingrepp i det skydd som dataskyddsförordningen ger till fysiska personer vid behandling av personuppgifter och avviker därmed från de mål som eftersträvas med förordningen.

19

Den hänskjutande domstolen vill i detta sammanhang få klarhet i huruvida antalet klagomål som lämnats in till en tillsynsmyndighet under en viss tidsperiod är tillräckligt för att dra slutsatsen att ett klagomål är orimligt, oberoende av de särskilda omständigheterna kring varje enskilt klagomål och utan hänsyn till vilka personuppgiftsansvariga som berörs av klagomålen, eller om det ska tas hänsyn till andra omständigheter, som skulle kunna ligga till grund för slutsatsen att det finns en otillbörlig avsikt.

20

För det tredje vill den hänskjutande domstolen få klarhet i hur artikel 57.4 i dataskyddsförordningen ska tillämpas med avseende på de rättsliga konsekvenserna av att det är fråga om ett fall av uppenbart ogrundad eller orimlig begäran. Den anser nämligen att det inte klart framgår av bestämmelsens ordalydelse huruvida tillsynsmyndigheterna fritt kan välja det ena eller det andra av de två alternativ som anges i den, det vill säga att ta ut en skälig avgift för behandlingen av klagomålet eller att avsluta klagomålsärendet utan åtgärd. Den hänskjutande domstolen har framhållit att det råder delade meningar i doktrinen i denna fråga.

21

Det är mot den nu angivna bakgrunden som Verwaltungsgerichtshof (Högsta förvaltningsdomstolen) har beslutat att vilandeförklara målet och ställa följande frågor till EU-domstolen:

Om den första frågan besvaras jakande:

22

Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 57.4 i dataskyddsförordningen ska tolkas på så sätt att det där använda begreppet ”begäran” omfattar ”klagomål” enligt artikel 77.1 i förordningen.

23

EU-domstolen gör i denna del följande bedömning. Det ska inledningsvis påpekas att begreppet ”klagomål” även förekommer i artikel 57.1 f i dataskyddsförordningen. Vid dessa förhållanden finner EU-domstolen, med hänsyn till syftet att ge den hänskjutande domstolen ett användbart svar, att den första frågan får anses ha ställts för att få klarhet i huruvida artikel 57.4 i förordningen ska tolkas på så sätt att begreppet ”begäran” i den bestämmelsen omfattar ”klagomål” enligt artiklarna 57.1 f och 77.1 i förordningen.

24

Vid tolkningen av en unionsbestämmelse ska inte bara lydelsen beaktas, utan också sammanhanget och de mål som eftersträvas med de föreskrifter som bestämmelsen ingår i (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 19 och där angiven rättspraxis, dom av den 7 december 2023, SCHUFA Holding (Skuldsanering),C‑26/22 och C‑64/22, EU:C:2023:958, punkt 48 och där angiven rättspraxis, och dom av den 30 april 2024, Trade Express-L och Devnia TSIMENT, C‑395/22 och C‑428/22, EU:C:2024:374, punkt 65 och där angiven rättspraxis).

25

Vad först gäller lydelsen av artikel 57.1 f i dataskyddsförordningen anges i denna bestämmelse att varje tillsynsmyndighet inom sitt territorium ska ”[b]ehandla klagomål från en registrerad …, och där så är lämpligt undersöka den sakfråga som klagomålet gäller och inom rimlig tid underrätta den enskilde om hur undersökningen fortskrider och om resultatet, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet”.

26

Artikel 57.4 i förordningen föreskriver för sin del att ”[o]m en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva karaktär, får tillsynsmyndigheten ta ut en rimlig avgift grundad på de administrativa kostnaderna eller vägra att tillmötesgå begäran” och att ”[d]et åligger tillsynsmyndigheten att visa att begäran är uppenbart ogrundad eller orimlig”.

27

Vad gäller lydelsen av artikel 77.1 i dataskyddsförordningen anges i denna bestämmelse att ”… varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks[, utan att detta påverkar andra möjligheter till administrativ prövning eller domstolsprövning]”.

28

Det kan således konstateras att ingen av de bestämmelser som nämns i punkterna 25–27 ovan innehåller en uttrycklig definition av begreppet ”begäran”, i den mening som avses i artikel 57.4 i dataskyddsförordningen.

29

EU-domstolen instämmer i detta avseende med vad generaladvokaten har påpekat i punkt 23 i sitt förslag till avgörande, nämligen att begreppet ”begäran”, enligt dess normala betydelse i vanligt språkbruk, är synnerligen brett, eftersom det potentiellt omfattar varje anspråk eller önskemål från en person eller en organisation.

30

Av lydelsen i de bestämmelser som avses i punkterna 25–27 ovan får således anses framgå att ett klagomål som ges in med stöd av artikel 77.1 i dataskyddsförordningen omfattas av begreppet ”begäran” i den mening som avses i artikel 57.4 i förordningen.

31

Därefter kan konstateras att det sammanhang i vilket dessa bestämmelser ingår ger stöd åt den nu angivna tolkningen av deras lydelse. Artikel 57 i dataskyddsförordningen innehåller en beskrivning av de uppgifter som tillsynsmyndigheterna ska utföra och fastställer på vilka villkor detta ska ske. Här ska särskilt följande påpekas. För det första framgår av artikel 57.1 a att tillsynsmyndigheterna ska utöva tillsyn över tillämpningen av dataskyddsförordningen och se till att den efterlevs. För det andra framgår av artikel 57.1 e att tillsynsmyndigheterna på begäran ska tillhandahålla information till registrerade om hur de ska utöva sina rättigheter enligt förordningen och, om så krävs, samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål. För det tredje framgår av artikel 57.2 att tillsynsmyndigheterna ska underlätta ingivande av klagomål enligt punkt 1 f genom åtgärder såsom att tillhandahålla ett klagomålsformulär som också kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts.

32

Härtill kommer att artikel 57.3 ger uttryck för en princip om avgiftsfrihet för utförandet av tillsynsverksamheten, det vill säga att en tillsynsmyndighet som huvudregel inte får ta ut avgift av registrerade och, i förekommande fall, dataskyddsombud för att utföra sina tillsynsuppgifter.

33

Av artikel 57.4 framgår dock att en tillsynsmyndighet i fall av uppenbart ogrundade eller orimliga framställningar har möjlighet att ta ut en skälig avgift grundad på de administrativa kostnaderna eller att avslå framställningarna. Denna möjlighet utgör därmed ett undantag från den i artikel 57.3 angivna principen om avgiftsfrihet, vilket ska tolkas restriktivt.

34

EU-domstolen finner således, i likhet med vad generaladvokaten har påpekat i punkterna 28–30 i sitt förslag till avgörande, att eftersom huvudregeln är att en tillsynsmyndighet ska behandla en begäran som ges in till den, så kan en sådan myndighet endast i undantagsfall anses ha rätt att utnyttja den möjlighet som föreskrivs i artikel 57.4 i dataskyddsförordningen.

35

Det går dock inte att av dessa bestämmelser dra slutsatsen att artikel 57.4 i dataskyddsförordningen, på grund av att begreppet ”begäran” används i den bestämmelsen, ska tillämpas endast på den typ av begäran som avses i artikel 57.1 e i förordningen. Artikel 57.3 i dataskyddsförordningen är nämligen tillämplig på samtliga uppgifter som ska utföras av tillsynsmyndigheterna, inbegripet klagomålshantering enligt artikel 57.1 f i förordningen.

36

I detta sammanhang gäller följande. Eftersom det i artikel 57.4 i dataskyddsförordningen föreskrivs ett undantag från huvudregeln om att utförandet av tillsynsmyndigheternas uppgifter ska vara avgiftsfritt – vilket inte är begränsat till vissa särskilda uppgifter som dessa myndigheter har att utföra – ska denna bestämmelse anses gälla även för klagomålshantering enligt artikel 57.1 f i förordningen. Detta särskilt eftersom klagomålshantering utgör en central uppgift för tillsynsmyndigheterna. Härtill kommer att den berörda tillsynsmyndigheten ska utföra sin uppgift att behandla klagomål med erforderlig omsorg (dom av den 7 december 2023, SCHUFA Holding (Skuldsanering),C‑26/22 och C‑64/22, EU:C:2023:958, punkt 56 och där angiven rättspraxis).

37

Omvänt skulle en tolkning som innebär att begreppet ”begäran” i artikel 57.4 i dataskyddsförordningen endast omfattar den typ av begäran som avses i artikel 57.1 e i förordningen, och inte klagomål enligt artiklarna 57.1 f och 77.1 i förordningen, medföra att den förstnämnda bestämmelsen förlorade en stor del av sin ändamålsenliga verkan. En sådan tolkning skulle dessutom strida mot det effektiva skyddet av de rättigheter som garanteras genom förordningen (se, för ett liknande resonemang, dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21, EU:C:2023:2, punkt 47).

38

Därutöver konstaterar EU-domstolen att den nu angivna kontextuella tolkningen är förenlig med de mål som eftersträvas med dataskyddsförordningen. I detta avseende ska det påpekas att förordningen, såsom anges i skälen 10 och 11 i denna, syftar till att säkerställa en enhetlig och hög skyddsnivå för fysiska personer inom unionen samt att stärka och precisera de registrerades rättigheter (dom av den 26 oktober 2023, FT (Kopior av patientjournalen),C‑307/22, EU:C:2023:811, punkt 47).

39

Klagomålsförfarandet är i linje med detta utformat som en mekanism som är ägnad att på ett effektivt sätt skydda de registrerades rättigheter och intressen (dom av den 7 december 2023, SCHUFA Holding (Skuldsanering),C‑26/22 och C‑64/22, EU:C:2023:958, punkt 58 och där angiven rättspraxis). I så måtto är syftet med tillsynsmyndigheternas skyldighet att underlätta ingivande av klagomål och principen om att utförandet av tillsynsverksamheten ska vara avgiftsfritt – vilka anges i artikel 57.2 respektive 57.3 i dataskyddsförordningen – att alla registrerade ska ha möjlighet att vända sig till en tillsynsmyndighet för att göra gällande sina rättigheter enligt förordningen.

40

EU-domstolen delar i detta avseende generaladvokatens bedömning i punkt 41 i förslaget till avgörande att det för att uppnå målet att säkerställa en enhetlig och hög skyddsnivå för fysiska personer inom unionen är nödvändigt att se till att tillsynsmyndigheternas verksamhet fungerar väl, vilket i sin tur kräver att dessa avlastas från uppenbart ogrundade eller orimliga klagomål, i den mening som avses i artikel 57.4 i dataskyddsförordningen. Denna bestämmelse ger således tillsynsmyndigheterna möjlighet att bättre hantera den typen av klagomål genom att lätta den börda som de kan medföra för dessa myndigheter. Möjligheten för en tillsynsmyndighet att i fall av uppenbart ogrundade eller orimliga klagomål ta ut en skälig avgift eller avsluta klagomålsärendet utan åtgärd bidrar på det sättet till att säkerställa en hög skyddsnivå för personuppgifter.

41

Mot bakgrund av det ovan anförda ska den första frågan besvaras enligt följande. Artikel 57.4 i dataskyddsförordningen ska tolkas på så sätt att det där använda begreppet ”begäran” omfattar klagomål enligt artiklarna 57.1 f och 77.1 i förordningen.

42

Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida artikel 57.4 i dataskyddsförordningen ska tolkas på så sätt att enbart den omständigheten att ett stort antal framställningar har gjorts kan vara tillräcklig för att de ska anses vara ”orimliga” i den bestämmelsens mening, eller om en sådan kvalificering dessutom förutsätter en otillbörlig avsikt hos den som gjort framställningarna.

43

EU-domstolen gör i denna del följande bedömning. Det kan först konstateras att begreppet ”orimlig begäran” inte definieras i dataskyddsförordningen. Mot bakgrund av ovan i punkt 24 angiven rättspraxis ska detta begrepp således tolkas utifrån sin normala betydelse i vanligt språkbruk. Adjektivet ”orimlig” betecknar något som går utöver vad som är normalt eller skäligt eller som går utöver vad som är önskvärt eller tillåtet.

44

Därefter kan konstateras att det av ordalydelsen i artikel 57.4 i dataskyddsförordningen framgår att en begäran kan vara ”orimlig” bland annat om den upprepas ofta. En bokstavstolkning av denna bestämmelse gör det dock inte möjligt att avgöra om den omständigheten att en begäran upprepas ofta – och därmed antalet framställningar i sig – är tillräcklig för att det ska kunna anses vara fråga om en orimlig begäran. Mot bakgrund av nämnda rättspraxis ska således räckvidden av artikel 57.4 i dataskyddsförordningen prövas mot bakgrund av bestämmelsens sammanhang och de mål som eftersträvas med de föreskrifter som den ingår i.

45

Vad gäller sammanhanget ska för det första påpekas att artikel 12 i förordningen anger vilka allmänna skyldigheter personuppgiftsansvariga har i fråga om öppenhet i information och kommunikation samt reglerar villkoren för utövandet av den registrerades rättigheter. Enligt artikel 12.2 första meningen i dataskyddsförordningen ska den personuppgiftsansvarige underlätta utövandet av den registrerades rättigheter enligt artiklarna 15–22 i förordningen.

46

För det andra kan det konstateras att artikel 15 i dataskyddsförordningen, som ingår i avsnitt 2 (”Information och tillgång till personuppgifter”) i kapitel III, kompletterar dataskyddsförordningens öppenhetsreglering genom att den registrerade ges rätt att få tillgång till sina personuppgifter och rätt till information om hur uppgifterna behandlas.

47

Artikel 15 ska tolkas mot bakgrund av skäl 63 första meningen i förordningen. Därav framgår att registrerade bör ha rätt att få tillgång till insamlade uppgifter som rör dem samt att utöva denna rätt på ett enkelt sätt och med rimliga intervall, för att de ska kunna hålla sig underrättade om att behandling sker och kunna kontrollera att den är laglig. Om en registrerad har gjort flera framställningar om att få sådan tillgång till en eller flera personuppgiftsansvariga utan att få ett tillfredsställande svar på sin begäran, skulle det kunna bli så att den registrerade lämnar in ett klagomål till en tillsynsmyndighet mot vart och ett av dessa avslag på begäran om tillgång. Antalet klagomål skulle därmed sammanfalla med antalet avslag från de berörda personuppgiftsansvariga. Att vid sådana förhållanden fastställa en absolut nedre antalsgräns över vilken dessa klagomål automatiskt skulle kunna betraktas som orimliga, skulle kunna innebära ett ingrepp i de rättigheter som garanteras genom dataskyddsförordningen.

48

Detta innebär, som anförts ovan i punkterna 33, 34 och 36, att det endast i undantagsfall bör komma i fråga för en tillsynsmyndighet att använda sig av den möjlighet som föreskrivs i artikel 57.4 i dataskyddsförordningen, eftersom denna möjlighet utgör ett undantag från huvudregeln i artikel 57.3 i förordningen om att utförandet av tillsynsmyndigheternas uppgifter ska vara avgiftsfritt (se, analogt, dom av den 5 april 2022, Commissioner of An Garda Siochána m.fl.,C‑140/20, EU:C:2022:258, punkt 40, och dom av den 8 november 2022, Deutsche Umwelthilfe (Typgodkännande av motorfordon),C‑873/19, EU:C:2022:857, punkt 87 och där angiven rättspraxis). Detta kan endast bli aktuellt i fall där det är fråga om missbruk av klagomålsinstitutet (se, analogt, dom av den 26 oktober 2023, FT (Kopior av patientjournalen),C‑307/22, EU:C:2023:811, punkt 31), varvid dock antalet inlämnade klagomål i sig inte kan anses utgöra ett tillräckligt kriterium för att konstatera att det är fråga om ett sådant missbruk.

49

Bestämmelsen i artikel 57.4 i dataskyddsförordningen återspeglar vad som sedan länge gällt enligt EU-domstolens praxis, nämligen att det i unionsrätten finns en allmän rättsprincip som innebär att enskilda inte får åberopa unionsrättsliga bestämmelser på ett sätt som är bedrägligt eller utgör missbruk (dom av den 21 december 2023, BMW Bank m.fl.,C‑38/21, C‑47/21 och C‑232/21, EU:C:2023:1014, punkt 281 och där angiven rättspraxis).

50

I det sammanhanget gäller att en tillsynsmyndighet som avser att utnyttja den i nyss nämnda bestämmelse angivna möjligheten måste visa – med stöd av samtliga relevanta omständigheter i det enskilda fallet – att det finns en otillbörlig avsikt från den registrerades sida, varvid dock antalet inlämnade klagomål inte i sig är ett tillräckligt kriterium. Däremot kan det anses att en registrerad har en otillbörlig avsikt med sina klagomål om dessa ges in utan att detta objektivt sett är nödvändigt för att skydda den registrerades rättigheter enligt förordningen.

51

Härvid ska påpekas att medlemsstaterna har en skyldighet enligt artikel 52.4 i dataskyddsförordningen att säkerställa att varje tillsynsmyndighet förfogar över de personella, tekniska och ekonomiska resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utföra sina uppgifter och utöva sina befogenheter. Av detta följer att dessa resurser måste anpassas efter i vilken utsträckning som de registrerade utnyttjar sin rätt att lämna in klagomål till tillsynsmyndigheterna.

52

Det nu sagda innebär att det ankommer på medlemsstaterna att se till att tillsynsmyndigheterna har tillräckliga resurser för att kunna hantera samtliga klagomål som lämnas in till dem och att ge dem utökade resurser om detta behövs för att anpassa resurserna efter i vilken utsträckning som de registrerade utnyttjar sin rätt att lämna in klagomål med stöd av artikel 77.1 i dataskyddsförordningen. En tillsynsmyndighet får därför inte som grund för ett beslut att avsluta ett klagomålsärende utan åtgärd med stöd av artikel 57.4 i förordningen lägga den omständigheten att en registrerad som inkommer med avsevärt fler klagomål än det genomsnittliga antalet ingivna klagomål per registrerad tar stora resurser i anspråk för myndigheten, vilket påverkar hanteringen av klagomål från andra registrerade negativt.

53

EU-domstolen konstaterar vidare, i likhet med vad generaladvokaten har påpekat i punkt 76 i sitt förslag till avgörande, att klagomål som ges in med stöd av artikel 77.1 i dataskyddsförordningen spelar en viktig roll för att hålla tillsynsmyndigheterna underrättade om kränkningar av rättigheter som skyddas av förordningen. Klagomål från registrerade bidrar därmed i hög grad till att säkerställa en enhetlig och hög skyddsnivå för registrerade inom unionen samt att stärka och precisera deras rättigheter, i den mening som avses i skälen 10 och 11 i förordningen.

54

Det skulle därför äventyra uppnåendet av detta mål om tillsynsmyndigheterna gavs möjlighet att betrakta klagomål som orimliga enbart av det skälet att det är fråga om ett stort antal klagomål. Det faktum att ett stort antal klagomål inkommer till tillsynsmyndigheten kan nämligen vara en direkt konsekvens av att en eller flera personuppgiftsansvariga i ett stort antal fall har underlåtit att svara på eller efterkomma en begäran om tillgång till uppgifter som en registrerad framställt i syfte att skydda sina rättigheter.

55

Ett synsätt där enbart antalet ingivna klagomål beaktas skulle därvid kunna leda till ett godtyckligt ingrepp i den registrerades rättigheter enligt dataskyddsförordningen. Det sagda innebär att en förutsättning för att en tillsynsmyndighet ska kunna slå fast att det är fråga om orimliga framställningar, i den mening som avses i artikel 57.4 i förordningen, är att den kan visa att den registrerade har haft en otillbörlig avsikt med sina klagomål.

56

Det ankommer således på en tillsynsmyndighet som mottagit ett stort antal klagomål att, med stöd av omständigheterna i det enskilda fallet, visa att antalet klagomål inte motiveras av den registrerades vilja att få sina rättigheter enligt dataskyddsförordningen skyddade, utan av något annat syfte som saknar samband med uppgiftsskydd. Så är i synnerhet fallet om det framgår av omständigheterna i ärendet att syftet bakom det stora antalet klagomål är att störa tillsynsmyndighetens verksamhet genom att ta dess resurser i anspråk utan skälig anledning.

57

Den omständigheten att en registrerad har inkommit med ett stort antal klagomål kan vara ett tecken på att det är fråga om ett fall av orimliga framställningar, om det visar sig att klagomålen inte är objektivt berättigade av skäl som avser att skydda den registrerades rättigheter enligt dataskyddsförordningen. Så kan till exempel vara fallet om en registrerad vänder sig till en tillsynsmyndighet med ett så stort antal klagomål mot en lång rad olika personuppgiftsansvariga, som den registrerade inte nödvändigtvis har någon koppling till, att det av denna oproportionerliga användning av rätten att lämna in klagomål – i kombination med andra omständigheter, såsom innehållet i klagomålen – står klart att den registrerades avsikt är att hindra tillsynsmyndighetens verksamhet genom att översvämma den med framställningar.

58

Vad gäller det nu aktuella fallet ankommer det på den hänskjutande domstolen att pröva huruvida DSB har visat att den registrerade haft en otillbörlig avsikt med sina klagomål, varvid dock antalet klagomål i sig inte räcker som grund för att använda den möjlighet som föreskrivs i artikel 57.4 i dataskyddsförordningen.

59

Mot bakgrund av det ovan anförda ska den andra frågan besvaras enligt följande. Artikel 57.4 i dataskyddsförordningen ska tolkas på så sätt att det inte är möjligt att enbart på grundval av hur många framställningar som gjorts under en viss tidsperiod dra slutsatsen att det är fråga om ”orimliga” framställningar, i den bestämmelsens mening. För att en tillsynsmyndighet ska kunna använda sig av den i bestämmelsen angivna möjligheten krävs nämligen att den visar att den registrerade haft en otillbörlig avsikt med de aktuella framställningarna.

60

Genom sin tredje fråga vill den hänskjutande domstolen få klarhet i huruvida artikel 57.4 i dataskyddsförordningen ska tolkas på så sätt att en tillsynsmyndighet i fall av orimliga framställningar fritt kan välja mellan att besluta att ta ut en skälig avgift grundad på de administrativa kostnaderna eller att avslå framställningarna.

61

EU-domstolen gör i denna del följande bedömning. Vad först gäller lydelsen av artikel 57.4 i dataskyddsförordningen, kan det konstateras att de två alternativ som anges i denna bestämmelse i fall av orimliga framställningar – det vill säga att ta ut en skälig avgift grundad på de administrativa kostnaderna eller att avslå framställningarna – anges efter varandra och skiljs åt med hjälp av konjunktionen ”eller”. Det går dock inte att av den valda formuleringen sluta sig till att det ena alternativet skulle ha företräde framför det andra (se, analogt, dom av den 12 januari 2023, Österreichische Post (Information om mottagarna av personuppgifter) (C‑154/21, EU:C:2023:3, punkt 31).

62

Bestämmelsens lydelse tycks således tala för att den ska tolkas på så sätt att en tillsynsmyndighet, när den väl har fastställt att det är fråga om orimliga framställningar, har frihet att välja det ena eller det andra av dessa alternativ.

63

Vad därefter gäller det sammanhang som artikel 57.4 i dataskyddsförordningen ingår i, ska det erinras om vad som anges i skäl 59 i förordningen, nämligen att ”[f]örfaranden bör fastställas som gör det lättare för registrerade att utöva sina rättigheter enligt denna förordning, inklusive mekanismer för att begära och i förekommande fall kostnadsfritt få tillgång till och erhålla rättelse eller radering av personuppgifter samt för att utöva rätten att göra invändningar”. Härav följer således att en tillsynsmyndighet får välja det ena av de två alternativen framför det andra så länge som det säkerställs att rätten att inge klagomål kan utövas på ett effektivt sätt.

64

Därutöver kan konstateras att den nu angivna tolkningen (se punkt 62 ovan) är förenlig med de mål som eftersträvas med dataskyddsförordningen.

65

I detta avseende ska det påpekas att förordningen, såsom anges i skälen 10 och 11 i denna, syftar till att säkerställa en enhetlig och hög skyddsnivå för fysiska personer inom unionen samt att stärka och precisera de registrerades rättigheter (dom av den 26 oktober 2023, FT (Kopior av patientjournalen),C‑307/22, EU:C:2023:811, punkt 47).

66

Av skäl 129 i dataskyddsförordningen framgår dessutom att en tillsynsmyndighet är skyldig att göra en opartisk och rättvis bedömning av om en sådan begäran är uppenbart ogrundad eller orimlig och att förvissa sig om att det alternativ den väljer är lämpligt, nödvändigt och proportionerligt. Vid denna bedömning ska myndigheten beakta relevanta omständigheter och se till att den registrerade inte drabbas av onödiga kostnader och alltför stora olägenheter.

67

En tillsynsmyndighet är således skyldig att i fall av nu aktuellt slag beakta samtliga relevanta omständigheter och att förvissa sig om att det alternativ den väljer är lämpligt, nödvändigt och proportionerligt. Detta mot bakgrund av att rätten att inge klagomål spelar en viktig roll med avseende på målet att säkerställa en hög skyddsnivå för personuppgifter och att klagomålshantering har en central ställning bland tillsynsmyndigheternas uppgifter samt att tillsynsmyndigheterna är skyldiga att handlägga ingivna klagomål med erforderlig omsorg.

68

I detta sammanhang skulle en tillsynsmyndighet utifrån de relevanta omständigheterna kunna göra bedömningen att det lämpligaste alternativet för att sätta stopp för okynnesframställningar som kan skapa störningar i myndighetens verksamhet är att ta ut en skälig avgift grundad på de administrativa kostnaderna för det merarbete som orimliga klagomål förorsakar. Myndigheten skulle nämligen kunna lägga detta alternativs avskräckande funktion till grund för bedömningen att det är ett lämpligare alternativ än att direkt avsluta klagomålsärendet.

69

Mot bakgrund av skäl 129 i dataskyddsförordningen skulle en tillsynsmyndighet i nämnda fall därmed kunna överväga att, i ett första skede, ta ut en skälig avgift grundad på de administrativa kostnaderna innan den, i ett andra skede, fattar beslut om att avsluta klagomålsärendet, eftersom det förstnämnda alternativet innebär ett mindre ingrepp i de registrerades rättigheter enligt förordningen än det andra. Det ska dock påpekas att artikel 57.4 i dataskyddsförordningen inte medför någon skyldighet för tillsynsmyndigheten att alltid i första hand välja alternativet att ta ut en skälig avgift.

70

Mot bakgrund av det ovan anförda ska den tredje frågan besvaras enligt följande. Artikel 57.4 i dataskyddsförordningen ska tolkas på så sätt att en tillsynsmyndighet i fall av orimliga framställningar kan välja mellan att besluta att ta ut en skälig avgift grundad på de administrativa kostnaderna eller att avslå framställningarna, under förutsättning att myndigheten i sitt beslut anger skälen till varför det ena eller andra alternativet har valts samt att den vid beslutet beaktar samtliga relevanta omständigheter och förvissar sig om att det valda alternativet är lämpligt, nödvändigt och proportionerligt.

71

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (första avdelningen) följande: