Enhver har ret til at finde ud af, til hvem der er blevet videregivet deres data, ifølge EU-Domstolen. Ifølge denne EU-dom fra den 12. januar 2023 kan kravene til virksomheder om databeskyttelse forventes at stige.
Inden for IT-retten spiller databeskyttelsesretten en væsentlig rolle. Beskyttelsen af personoplysninger er blevet betydeligt skærpet gennem indførelsen af databeskyttelsesforordningen – GDPR. Ved overtrædelser af GDPR kan virksomheder stå overfor alvorlige sanktioner, forklarer advokatfirmaet MTR Legal Rechtsanwälte, som har et fokus i deres rådgivning på IT-ret og databeskyttelse.
EU-Domstolens dom af den 12.01.2023 (sag C-154/21) kan forventes at øge kravene til databeskyttelse for virksomheder endnu engang. For mellem mange virksomheder udveksles der personoplysninger frem og tilbage. EU-Domstolen har nu tydeligt fastslået, at alle har ret til at finde ud af, til hvem deres personoplysninger er blevet videregivet til. Undtagelser er kun mulige inden for snævre rammer, ifølge retten.
For EU-Domstolen handlede sagen om en sag fra Østrig. En borger ønskede at vide fra det østrigske postvæsen, til hvilke modtagere de havde videregivet hans personoplysninger og henviste til databeskyttelsesforordningen. Ifølge GDPR har enhver berørt person ret til at blive informeret om, til hvilke specifikke modtagere eller hvilke modtagerkategorier hans eller hendes personoplysninger er blevet eller bliver åbenbaret.
Det østrigske postvæsen gav kun oplysninger stykvis og meddelte under sagsforløbet, at sagsøgerens data var blevet videregivet til reklamevirksomheder, virksomheder inden for forsendelse eller stationær handel, IT-virksomheder, adresseforlag, foreninger, velgørende organisationer og politiske partier. Højesteret i Østrig ønskede nu at vide fra EU-Domstolen, om det var tilstrækkeligt at nævne sådanne modtagerkategorier, eller om de specifikke modtagere skulle oplyses.
EU-Domstolen besluttede, at ved videregivelsen af personoplysninger har den berørte person ret til på forespørgsel at få oplyst modtagernes identitet. Oplysninger begrænset til kategorier er kun tilladt, hvis det er umuligt at identificere modtageren, eller hvis anmodningen er åbenbart ubegrundet eller overdreven. Denne ret til oplysninger er nødvendig for, at den berørte person kan udøve sine andre rettigheder, som han eller hun er berettiget til i henhold til GDPR, ifølge EU-Domstolen.
Erfarne advokater inden for IT-retten rådgiver hos MTR Legal Rechtsanwälte om spørgsmål vedrørende databeskyttelse.
