Har din verksamhet upplevt att registrerade riktar orimliga begäranden mot er som personuppgiftsansvariga? Den 19 mars 2026 meddelade EU-domstolen dom i målet C-526/24 där domstolen behandlar just frågan om en personuppgiftsansvarig kan avslå en begäran om tillgång som ”orimlig” enligt artikel 12.5 GDPR, och om en registrerad kan kräva ersättning enligt artikel 82.1 för kränkning av rätten till tillgång.
Bakgrunden
I mars 2023 anmälde sig en privatperson (”TC”), bosatt i Österrike, till nyhetsbrevet hos det tyska optikföretaget Brillen Rottler och samtyckte till behandlingen av sina personuppgifter. Tretton dagar senare skickade TC in en begäran om tillgång till sina personuppgifter med stöd av artikel 15 GDPR. Brillen Rottler avslog begäran inom den lagstadgade fristen på en månad eftersom företaget menade att TC haft en otillbörlig avsikt.
Bolaget menade att det framgick av rapporter och bloggartiklar att TC systematiskt gjorde begäranden om tillgång i syfte att erhålla ersättning för påstådda GDPR-överträdelser som TC avsiktligen framkallat. Enligt bolaget bestod TC:s agerande i att först prenumerera på ett nyhetsbrev, sedan göra en begäran enligt artikel 15 GDPR och slutligen kräva skadestånd.
Redan den första begäran kan vara orimlig
En av de mest praktiskt betydelsefulla frågorna var om en personuppgiftsansvarig kan avvisa en begäran som orimlig redan första gången begäran framställts, utan att den registrerade upprepat sig. Domstolen konstaterade att adjektivet ”orimlig” betecknar något som överskrider vad som är normalt eller skäligt. Ett stort antal framställningar kan vara tecken på orimliga framställningar men är enbart ett exempel – även en första begäran om tillgång kan således anses orimlig.
Domstolen understryker dock att undantaget ska tillämpas restriktivt och att bevisbördan ligger på den personuppgiftsansvarige.
För att avvisning ska vara möjlig krävs att den personuppgiftsansvarige kan påvisa ett missbrukligt syfte, det räcker inte att misstänka det. Omständigheter som ska beaktas är bland annat att den registrerade lämnade personuppgifter utan att vara skyldig att göra det, syftet med lämnandet, den tid som passerade mellan lämnandet och begäran, samt den registrerades beteende. Offentligt tillgänglig information om att en person systematiskt gör tillgångsbegäran och kräver skadestånd av olika personuppgiftsansvariga kan beaktas, förutsatt att den stöds av annat relevant underlag.
Brott mot rätten till tillgång kan ge rätt till skadestånd – utan behandling
EU-domstolen slog fast att artikel 82.1 GDPR inte innehåller någon hänvisning till ”behandling”, varför ersättningsrätten inte kan begränsas till skada som uppstår till följd av personuppgiftsbehandling. Om en personuppgiftsansvarig vägrar att tillmötesgå en registrerads begäran om tillgång kan den påstådda kränkningen uppstå just till följd av denna vägran snarare än av behandlingen som sådan.
EU-domstolen bekräftade att begreppet ”skada” i GDPR innefattar den blotta förlusten av kontroll över personuppgifter, till följd av en kränkning av förordningen, även om uppgifterna inte faktiskt missbrukats. Begreppet ”ideell skada” kan inte begränsas till skador av en viss allvarlighetsgrad. Den registrerade är dock skyldig att visa att han eller hon faktiskt lidit sådan skada, och att konsekvenserna av kränkningen utgör en skada som skiljer sig från den blotta kränkningen av förordningens bestämmelser.
Rätten till ersättning kan falla bort om den registrerades egna agerande bryter orsakssambandet. Så kan vara fallet om den registrerade medvetet lämnade sina uppgifter i syfte att skapa förutsättningar för att kräva ersättning.
Vad innebär detta för din verksamhet?
Domen är ett viktigt steg i kampen mot GDPR-trolling, där individer systematiskt registrerar sig hos företag med det enda syftet att framkalla en kränkning och utverka skadestånd. Samtidigt ställer domen tydliga krav på personuppgiftsansvariga som måste visa att en begäran är orimlig. En välgrundad misstanke räcker inte. GDPR-reglerna måste balanseras: registrerades rättigheter är starka, men de är inte absoluta när de används i missbrukande syfte.
Moll Wendén följer utvecklingen inom dataskyddsrätten och bistår gärna med rådgivning. Kontakta oss vid frågor.