Verserende retssager ved EU-Domstolen

Nedenfor finder du en oversigt over de sager, der på databeskyttelsesområdet verserer ved EU-Domstolen, samt en kort beskrivelse af hvad de enkelte sager handler om.

Oversigten er senest opdateret 19. maj 2021.

Sagsøgere i hovedsagen:

CK

Sagsøgte i hovedsagen:

Magistrat der Stadt Wien 

De præjudicielle spørgsmål:

1. Hvilke materielle krav skal en fremlagt oplysning opfylde for at anses for tilstrækkelig »meningsfuld« som omhandlet i artikel 15, stk. 1, litra h), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)?

Skal den dataansvarlige – om nødvendigt med den indskrænkning, at eksisterende forretningshemmeligheder beskyttes – når der er tale om en profilering, i forbindelse med oplysning om »logikken heri« principielt også videregive de oplysninger, der er væsentlige for at kunne forstå resultatet af den automatiske individuelle afgørelse, herunder navnlig 1) de personoplysninger om den registrerede, der har været genstand for behandlingen, 2) de dele af algoritmen bag profileringen, der er nødvendige for at kunne forstå afgørelsen og 3) de oplysninger, der er relevante for at kunne forstå sammenhængen mellem de behandlede data og evalueringen af dem?

Skal den, der har ret til indsigt som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, når der er tale om profilering, og selv i tilfælde af, at der fremsættes indsigelse om en forretningshemmelighed, under alle omstændigheder modtage følgende oplysninger om den konkrete behandling af vedkommendes personoplysninger, således at denne sættes i stand til at beskytte sine rettigheder i henhold til artikel 22, stk. 3, i den generelle forordning om databeskyttelse:

  1. alle de oplysninger, der gør det muligt at efterprøve, at den generelle forordning om databeskyttelse er overholdt, herved navnlig oplysninger om den måde, den registreredes personoplysninger er behandlet på, idet oplysningerne om nødvendigt må være pseudoanonymiserede,
  2. de data, der er anvendt til profileringen, idet disse stilles til rådighed,
  3. de parametre og inputvariabler, der er benyttet til at foretage vurderingen,
  4. disse parametre og inputvariablers indflydelse på den beregnede vurdering,
  5. information om, hvorledes nævnte parametre og inputvariabler er tilvejebragt,
  6. forklaring om, hvorfor den, der har ret til indsigt som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, blev henført til et bestemt vurderingsresultat, og redegørelse for hvilket udsagn, der blev forbundet med dette resultat,
  7. liste over profilkategorierne og oplysning om hvilket vurderingsudsagn, der er forbundet med hver enkelt profilkategori?

2. Er indsigtsretten som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse knyttet til retten til at fremkomme med sine synspunkter som omhandlet i artikel 22, stk. 3, i den generelle forordning om databeskyttelse og bestride en automatisk afgørelse som omhandlet i artikel 22 i den generelle forordning om databeskyttelse, for så vidt som omfanget af de oplysninger, der skal meddeles efter anmodning om indsigt i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, kun er tilstrækkelig »meningsfuldt«, hvis den, der anmoder om indsigt, og er registreret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse sættes i stand til faktisk at gøre brug af retten til at fremkomme med sine synspunkter som omhandlet i artikel 22, stk. 3, i den generelle forordning om databeskyttelse og bestride en automatisk afgørelse som omhandlet i artikel 22 i den generelle forordning om databeskyttelse, på grundig og formålstjenlig vis?

3a. Skal artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse fortolkes således, at der kun er tale om »meningsfulde oplysninger«, såfremt oplysningerne er så vidtgående, at den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, har mulighed for at fastslå, om de meddelte oplysninger er i overensstemmelse med fakta, altså om de faktisk også har ligget til grund for den automatiske individuelle afgørelse?

3b. Såfremt dette spørgsmål skal besvares bekræftende: Hvilken fremgangsmåde skal anvendes, hvis det kun er muligt at efterprøve, om en oplysning fra en dataansvarlig er korrekt, ved at den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, modtager personoplysninger om tredjemænd, der ligeledes er beskyttet i henhold til den generelle forordning om databeskyttelse (black-box)?

Kan dette spændingsfelt mellem indsigtsretten i henhold til artikel 15, stk. 1, i den generelle forordning om databeskyttelse og tredjemands databeskyttelsesret fjernes ved, at de personoplysninger om tredjemænd, der ligeledes var genstand for samme profilering, og som er nødvendige for at kunne foretage korrekthedskontrollen, udelukkende videregives til den relevante myndighed eller domstol, der derefter selvstændigt skal efterprøve, om de meddelte personoplysninger om de pågældende tredjemænd er i overensstemmelse med fakta?

3c. Såfremt dette spørgsmål skal besvares bekræftende: Hvilke rettigheder skal under alle omstændigheder indrømmes den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, såfremt der er pligt til at sikre beskyttelse af andres rettigheder som omhandlet i artikel 15, stk. 4, i den generelle forordning om databeskyttelse, når der indrettes en blackbox som nævnt i spørgsmål 3b)?

Skal de oplysninger om andre, der i så fald skal meddeles den, der har indsigtsret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, for at gøre det muligt at kontrollere, at den dataansvarliges afgørelse er korrekt, som omhandlet i artikel 15, stk. 1, i den generelle forordning om databeskyttelse, videregives i pseudoanonymiseret form?

4a. Hvilken fremgangsmåde skal anvendes, såfremt de oplysninger, der skal videregives i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, ligeledes opfylder betingelserne for en forretningshemmelighed som omhandlet i artikel 2, nr. 1), i direktiv (EU) 2016/943 af 8. juni 2016 om beskyttelse af fortrolig knowhow og fortrolige forretningsoplysninger (forretningshemmeligheder) mod ulovlig erhvervelse, brug og videregivelse, L157/1? Kan spændingsfeltet mellem den indsigtsret, der garanteres i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, og retten til hemmeligholdelse af en forretningshemmelighed, der beskyttes i direktiv (EU) 2016/943, fjernes ved at de oplysninger, der skal kvalificeres som forretningshemmelighed i henhold til direktiv (EU) 2016/943, udelukkende videregives til den relevante myndighed eller domstol, der derefter selvstændigt skal efterprøve, om der foreligger en forretningshemmelighed som omhandlet i artikel 2, nr. 1), i direktiv (EU) 2016/943, og om oplysningerne fra den dataansvarlige som omhandlet i artikel 15, stk. 1, i den generelle forordning om databeskyttelse er i overensstemmelse med fakta?

4b. Såfremt dette spørgsmål skal besvares bekræftende: Hvilke rettigheder skal der under alle omstændigheder indrømmes den, der har indsigtsret i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, såfremt der er pligt til at sikre beskyttelse af andres rettigheder som omhandlet i artikel 15, stk. 4, i den generelle forordning om databeskyttelse, når der indrettes en blackbox som nævnt i spørgsmål 4a)?

Skal den, der har indsigtsret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, (også) i et sådant tilfælde, hvor der ikke skal videregives de samme oplysninger til henholdsvis myndigheden/domstolen og den, der har indsigtsret som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, når der er tale om profilering, under alle omstændigheder modtage følgende oplysninger om den konkrete behandling af sine personoplysninger, således at vedkommende kan beskytte sine rettigheder i henhold til artikel 22, stk. 3, i den generelle forordning om databeskyttelse fuldt ud:

  1. alle de oplysninger, der gør det muligt at efterprøve, at den generelle forordning om databeskyttelse er overholdt, herved navnlig oplysninger om den måde, den registreredes personoplysninger er behandlet på, idet oplysningerne om nødvendigt må være pseudoanonymiserede,
  2. de data, der er anvendt til profileringen, idet disse stilles til rådighed,
  3. de parametre og inputvariabler, der er benyttet til at foretage vurderingen,
  4. disse parametre og inputvariablers indflydelse på den beregnede vurdering,
  5. oplysninger om, hvorledes nævnte parametre og inputvariabler er tilvejebragt,
  6. forklaring om, hvorfor den, der har ret til indsigt som omhandlet i artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, blev henført til et bestemt vurderingsresultat, og redegørelse for hvilket udsagn, der blev forbundet med dette resultat,
  7. liste over profilkategorierne og oplysning om hvilket vurderingsudsagn, der er forbundet med hver enkelt profilkategori?

5. Begrænses omfanget af de oplysninger, der skal meddeles i henhold til artikel 15, stk. 1, litra h), i den generelle forordning om databeskyttelse, på en eller anden måde af artikel 15, stk. 4, i den generelle forordning om databeskyttelse?

Hvorledes begrænses indsigtsretten i bekræftende fald af artikel 15, stk. 4, i den generelle forordning om databeskyttelse, og hvordan skal omfanget af en sådan begrænsning fastslås konkret?

6. Er bestemmelsen i § 4, stk. 6, i Datenschutzgesetz (den østrigske databeskyttelseslov), hvorefter »den indsigtsret, som den registrerede i henhold til artikel 15 i den generelle forordning om databeskyttelse med forbehold af andre lovbegrænsninger har over for en dataansvarlig, som regel ikke (består), hvis videregivelse af de pågældende oplysninger ville udgøre en trussel mod en forretningshemmelighed hos den dataansvarlige eller andre« forenelig med betingelserne i artikel 15, stk. 1, sammenholdt med artikel 22, stk. 3, i den generelle forordning om databeskyttelse? Hvornår er betingelserne i givet fald opfyldt?

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU’s generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Status:

Der er sket forkyndelse af skriftlige indlæg den 11. oktober 2022.

Domstolens præsident har ved afgørelse af 8. december 2022 udsat sagen indtil domsafsigelse i sag C-634/21.

Link til sagen på EU-Domstolens hjemmeside

Sagsøger i hovedsagen:

VZW KINDERRECHTENCOALITIE VLAANDEREN og VZW LIGA VOOR MENSENRECHTEN 

Sagsøgte i hovedsagen:

Belgische Staat 

Faktum i hovedsagen:

Sagen, der er anlagt den 18. 2020, vedrører annullation af den anfægtede kongelige bekendtgørelse.

Forordning 2019/1157 bestemmer, at identitetskort skal indeholde et meget sikket lagringsmedium, der skal indeholde et ansigtsbillede af kortindehaveren og to fingeraftryk i digitale formater. For så vidt angår registreringen af de biometriske identifikatorer anvender medlemsstaterne de tekniske specifikationer, der er fastsat ved Kommissionens gennemførelsesafgørelse C(2018) 7767 (artikel 3, stk. 5). Lagringsmediet skal have tilstrækkelig kapacitet og være i stand til at sikre oplysningernes integritet, ægthed og fortrolige karakter. Medlemsstaterne udveksler de oplysninger, som er nødvendige for at autentificere lagringsmediet og for at tilgå og verificere de biometriske oplysninger (artikel 3, stk. 6). Kommissionen fastlægger yderligere tekniske specifikationer for at sikre, at identitetskort og opholdsdokumenter opfylder fremtidige minimumssikkerhedsstandarder (artikel 14). Forordning nr. 2019/1157 har fundet anvendelse fra 2. august 2021 (artikel 16).

Loven af 25. november 2018 ændrede loven af 19. juli 1991. Herved ændrede artikel 27 i loven af 25. november 2018 artikel 6 i loven af 19. juli 1991. Således blev det i artikel 6, § 2, stk. 3 bestemt, at identitetskort og kort til udlændinge også skal indeholde følgende elektronisk læsbare data vedrørende personen: et digitalt billede af fingeraftrykket af pegefingeren på kortindehaverens venstre og højre hånd, og i tilfælde af invaliditet eller anden umulighed af en anden finger på hver hånd. Kongen fastsætter de nærmere betingelser og andre regler for det digitale billede af fingeraftrykkene. Artikel 27 i lov af 25. november 2018 har været genstand for fem annullationssøgsmål ved Grondwettelijk Hof (forfatningsdomstol), herunder et søgsmål anlagt af den anden sagsøger. I alle sager blev der statueret frifindelse ved dom nr. 2/2021 af 14. januar 2021.

Den anfægtede kongelige bekendtgørelse gennemfører forordning 2019/1157 og loven af 25. november 2018. Artikel 4 i den anfægtede kongelige bekendtgørelse ændrer artikel 3 i den kongelige bekendtgørelse 25. marts 2003. I artikel 3, § 1, anføres, at identitetskortet indeholder to elektroniske chips og en todimensional stregkode. En ny artikel 3, § 5, bestemmer blandt andet, at fingeraftrykkene på initiativ af kommunaldirektøren digitaliseres, og at det digitale billede af disse aftryk via rigsregistret på sikker måde sendes til producenten af identitetskortene for at blive elektronisk integreret heri. Artikel 5 i den anfægtede kongelige bekendtgørelse bestemmer, at der i den kongelige bekendtgørelse af 25. marts 2003 indsættes en sålydende artikel 3/1: »Artikel 3/1. Når indehaveren af et identitetskort eller et kort for udlændinge henvender sig til sin kommunaldirektør, første gang for at får udfærdiget basisdokumentet i henhold til artikel 3, § 3,og senere for at afhente kortet, skal den kommunale tjenestemand, før kortet udleveres til den person, der holder sig ved skranken, efterprøve, bl.a. ved visuelt at sammenligne personens ansigt med fotoet og ved at sammenlign personens fingeraftryk med aftrykkene på kortet, for så vidt de er registreret på kortet. Er der tvivl om kortindehavers identitet, udleveres kortet ikke, før der er sikkerhed for kortindehaverens identitet.« 

De præjudicielle spørgsmål:

Er artikel 3, stk. 5 og 6, samt artikel 14 i Europa-Parlaments og Rådets forordning (EU) 2019/1157 af 20. juni 2019 om styrkelse af sikkerheden af unionsborgeres identitetskort og af opholdsdokumenter, der udstedes til unionsborgere og deres familiemedlemmer, som udøver deres ret til fri bevægelighed, sammenholdt med Kommissionens gennemførelsesafgørelse C(2018 7767 af 30. november 2018 om fastsættelse af tekniske specifikationer for den ensartede udformning af opholdstilladelser til tredjelandsstatsborgere og om ophævelse af afgørelse C(2002) 3069 gyldig og forenelig med artikel 16 TEUF og – for så vidt angår artikel 3, stk. 5 og 6, – med artikel 21 TEUF samt med artikel 7, 8 og 52 i Den Europæiske Unions charter om grundlæggende rettigheder, sammenholdt med:

- artikel 1, 2, 3, 4, 5, 6, 9, 25, 32, 35 og 36 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF

- artikel 1, 2, 3, 4, 8, 9, 10, 27 og 28 i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA

- artikel 1, 2, 3, 4, 5, 10, 28 og 42 i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF for så vidt som artikel 3, stk. 5, og artikel 3, stk. 6. i forordning (EU) 2019/1157 af 20. juni 2019 kræver, at der skal være to fingeraftryk af kortindehaveren, der skal opbevares i digitalt format i det lagringsmedium, som kortet indeholder, og for så vidt som artikel 3, stk. 5, og artikel 3, stk. 6, og artikel 14 i forordning (EU) 2019/1157 i forbindelse med bilag III til Kommissionens førnævnte gennemførelsesafgørelse C(2018) af 30. november 2018 kræver, at fingeraftrykkene skal opbevares på de i artikel 2, litra a) og c) omhandlede identitetskort og opholdsdokumenter i form af et ansigtsbillede af kortindehaveren og to fingeraftryk på en elektronisk mikroprocessorchip, der anvender RFID, og som kan udlæses trådløst/kontaktløst. 

Udtalelse fra EU's generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke. 

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Domstolen har ved afgørelse af 14. september 2022 udsat sagen indtil domsafsigelse i sag c-61/22.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøger i hovedsagen: 

I. sp. z o.o.

Sagsøgte i hovedsagen:

M.W.

De præjudicielle spørgsmål:

  • Skal artikel 5, stk. 1, litra a), sammenholdt med artikel 6, stk. 1, litra a), c), e) sammenholdt med artikel 6, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L af 2016, nr. 119, s. 1, som ændret) fortolkes således, at bestemmelserne er til hinder for en national retsregel, der tillader salg af en database som defineret i artikel 1, stk. 2, i Europa-Parlamentets og Rådets direktiv 96/9/EF af 11. marts 1996 om retlig beskyttelse af databaser (EFT af 1997, nr. 77, s. 20, som ændret), der indeholder personoplysninger, som led i en tvangsfuldbyrdelsessag, når de registrerede ikke har givet deres samtykke til et sådant salg?

Udtalelse fra EU´s generaladvokat:

EU's generaladvokat har den 22. Februar 2024 afgivet en udtalelse i sagen, hvoraf fremgår: 

  • På baggrund af ovenstående betragtninger foreslår jeg Domstolen at besvare det af Sąd Rejonowy dla m. st. Warszawy w Warszawie (retten i første instans i Warszawa by, Polen) forelagte præjudicielle spørgsmål som følger:
    • Artikel 6, stk. 1, første afsnit, litra e), artikel 6, stk. 3, og artikel 6, stk. 4, første punktum, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at bestemmelsen ikke er til hinder for en national retsregel, der giver en foged tilladelse til som led i en tvangsfuldbyrdelsesprocedure at sælge en database, der indeholder personoplysninger, når de registrerede ikke har givet deres samtykke til et sådant salg, på betingelse af, at den pågældende fogeds behandling af de nævnte oplysninger udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til håndhævelsen af et civilretligt krav.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøger i hovedsagen:

I. sp. z o.o.

Sagsøgte i hovedsagen:

BZ

De præjudicielle spørgsmål:

  • Skal databeskyttelsesforordningens artikel 15, stk. 3, første punktum, sammenholdt med artikel 12, stk. 5, fortolkes således, at den dataansvarlige (i den foreliggende sag: forsikringsselskabet) også er forpligtet til at udlevere en gratis første kopi af de personoplysninger vedrørende den registrerede (i den foreliggende sag: forsikringstageren), som den dataansvarlige har behandlet, når den registrerede ikke anmoder om udlevering af kopien med henblik på et af de formål, der er omhandlet i 63. betragtning, første punktum, til databeskyttelsesforordningen, og som består i at forvisse sig om og kontrollere lovligheden af behandlingens af personoplysninger vedrørende den registrerede, men derimod forfølger et andet formål – der ikke vedrører databeskyttelse, men ligeledes er legitimt – (i den foreliggende sag: undersøgelsen af gyldigheden af forhøjelsen af præmien for en privat sygeforsikring), og endda også, når der anmodes om oplysninger, som forsikringstageren allerede har modtaget med brev som led i præmieforhøjelsesproceduren i henhold til § 203 i VVG (forsikringsaftaleloven)?
  • Såfremt det første spørgsmål besvares bekræftende: Omfatter begrebet personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 1), og artikel 15, stk. 3, første punktum, de følgende oplysninger:
  • a) oplysninger om præmietilpasninger, som forsikringsselskabet har foretaget i en privat sygeforsikring i relation til forsikringstageren, navnlig om tilpasningsbeløbet og om de relevante forsikringssatser, og
  • b) oplysninger om begrundelsen for præmietilpasningerne (jf. forsikringsaftalelovens § 203, stk. 5).
  • Såfremt det første spørgsmål besvares bekræftende, og det andet spørgsmål besvares helt eller delvist bekræftende: Omfatter det krav, som en forsikringstager i en privat sygeforsikring har på at få udleveret en kopi af de personoplysninger vedrørende forsikringstageren selv, som forsikringsselskabet har behandlet, også et krav på at få udleveret en kopi af de supplementer til forsikringspolicen, som forsikringsselskabet har fremsendt til forsikringstageren med henblik på at give denne meddelelse om præmieforhøjelsen, samt det følgebrev og de tillæg, der samtidig er fremsendt, eller omfatter det pågældende krav alene udlevering af en kopi af personoplysninger vedrørende forsikringstageren selv som sådan, hvorved det overlades til det forsikringsselskab, som har behandlet oplysningerne, at beslutte, på hvilken måde det ønsker at sammensætte oplysningerne til den registrerede forsikringstager?

Udtalelse fra EU´s generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

 

Sagsøgt i hovedsagen: 

Policejní prezidium

Sagsøger i hovedsagen:

JH

De præjudicielle spørgsmål:

1.Hvorledes skal der sondres mellem forskellige registreredes oplysninger, der kræves i henhold til artikel 4, stk. 1, litra c), eller artikel 6, sammenholdt med artikel 10 i direktiv 2016/680? Er det i overensstemmelse med kravet om begrænsning af behandlingen af personoplysninger, samt med forpligtelsen til at skelne mellem forskellige kategorier af registrerede, at national lovgivning tillader udtræk af genetiske data fra alle personer, der er mistænkt eller tiltalt for at have begået en forsætlig strafbar handling?

2. Er det foreneligt med artikel 4, stk. 1, litra e), i direktiv 2016/680, at behovet for fortsat at opbevare en DNA-profil med henvisning til det generelle formål om at forebygge eller afsløre kriminalitet vurderes af politimyndighederne på grundlag af deres interne regler, hvilket i praksis ofte betyder opbevaring af følsomme personoplysninger på ubestemt tid, uden at der angives nogen maksimal opbevaringsperiode for sådanne personoplysninger? Hvis dette ikke er i overensstemmelse med denne bestemmelse, hvilke kriterier skal da anvendes til at vurdere proportionaliteten med hensyn til varigheden af opbevaringen af personoplysninger, der er indsamlet og opbevaret til et sådant formål?

3. Hvad er minimumsrækkevidden af de materielle eller proceduremæssige betingelser for indsamling, opbevaring og sletning af særligt følsomme personoplysninger i henhold til artikel 10 i direktiv 2016/680, som skal være hjemlet i »bestemmelser« i en medlemsstats nationale ret? Kan retspraksis også betragtes som »medlemsstats nationale ret« som omhandlet i artikel 8, stk. 1, sammenholdt med artikel 10 i direktiv 2016/680?

Udtalelse fra EU´s generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Sagsøgt i hovedsagen: 

K GmbH

Sagsøger i hovedsagen:

MK

De præjudicielle spørgsmål:

1. Skal en national bestemmelse vedtaget i henhold til artikel 88, stk. 1, i forordning (EU) 2016/679 (herefter »databeskyttelsesforordningen«) – såsom § 26, stk. 4, i Bundesdatenschutzgesetz (forbundslov om databeskyttelse) – hvorefter behandling af personoplysninger – herunder særlige kategorier af personoplysninger – om arbejdstagere til brug for ansættelsesforholdet i medfør af kollektive overenskomster under hensyntagen til artikel 88, stk. 2, i forordning 2016/679 er lovlig, fortolkes således, at også de øvrige regler i forordning 2016/679 – såsom artikel 5, artikel 6, stk. 1, og artikel 9, stk. 1 og 2, i forordning 2016/679 – altid skal overholdes?

2. Såfremt det første spørgsmål besvares bekræftende: Må en national bestemmelse vedtaget i henhold til databeskyttelsesforordningens artikel 88, stk. 1 – såsom § 26, stk. 4, i Bundesdatenschutzgesetz (forbundslov om databeskyttelse) – fortolkes således, at parterne i en kollektiv overenskomst (her parterne i en lokalaftale) ved vurderingen af behandlingens nødvendighed som omhandlet i databeskyttelsesforordningens artikel 5, artikel 6, stk. 1, og artikel 9, stk. 1 og 2, har en skønsmargen, der kun er underlagt en begrænset domstolskontrol?

3. Såfremt det andet spørgsmål besvares bekræftende: Hvad må domstolskontrollen i et sådant tilfælde begrænses til?

4. Skal databeskyttelsesforordningens artikel 82, stk. 1, fortolkes således, at personer allerede har ret til erstatning for immateriel skade, hvis deres personoplysninger er blevet behandlet i strid med databeskyttelsesforordningens regler, eller forudsætter retten til erstatning herudover, at den registrerede godtgør, at vedkommende har lidt en immateriel skade af en vis betydning?

5. Har databeskyttelsesforordningens artikel 82, stk. 1, special- eller generalpræventiv karakter, og skal der tages hensyn til dette ved fastsættelsen af størrelsen af den immaterielle skade, som den dataansvarlige henholdsvis databehandleren pålægges at erstatte på grundlag af databeskyttelsesforordningens artikel 82, stk. 1?

6. Afhænger fastsættelsen af størrelsen af den immaterielle skade, der skal erstattes på grundlag af databeskyttelsesforordningens artikel 82, stk. 1, af graden af den dataansvarliges henholdsvis databehandlerens skyld? Må der navligt tages hensyn til en ikke foreliggende eller ringe skyld hos den dataansvarlige henholdsvis databehandleren til fordel for denne?

Udtalelse fra EU´s generaladvokat:

En udtalelse fra EU's generaladvokat foreligger endnu ikke.

Domsafsigelse:

Datoen for dommens afsigelse kendes på nuværende tidspunkt ikke.

Link til sagen på EU-Domstolens hjemmeside

Senest opdateret 25-10-2024