C_2022222SV.01001802.xml

Begäran om förhandsavgörande framställd av Verwaltungsgericht Wien (Österrike) den 16 mars 2022 – CK

(Mål C-203/22)

(2022/C 222/30)

Rättegångsspråk: tyska

Hänskjutande domstol

Verwaltungsgericht Wien

Parter i det nationella målet

Klagande: CK

Övriga deltagare i målet: Dun & Bradstreet Austria GmbH, Magistrat der Stadt Wien

Tolkningsfrågor

Vilka innehållskrav måste information uppfylla för att anses vara tillräckligt ”meningsfull” i den mening som avses i artikel 15.1 h i den allmänna dataskyddsförordningen (1)?

Ska den personuppgiftsansvarige – med hänsyn till eventuella företagshemligheter –, i ett profileringsärende, vid en förfrågan om logiken bakom, i princip även offentliggöra sådana uppgifter som gör det möjligt att härleda resultatet av det automatiserade beslutet i det enskilda fallet, vilket bland annat inbegriper att meddela 1) vilka av den registrerades uppgifter som har behandlats, 2) vilka delar av den algoritm som ligger till grund för profileringen som krävs för att härleda beslutet, och 3) relevant information för att fastställa sambandet mellan den behandlade informationen och den utförda värderingen?

Ska den person som har rätt till information i den mening som avses i artikel 15.1 h i den allmänna dataskyddsförordningen i profileringsärenden få tillgång till följande information om den specifika behandling som berör honom eller henne, även om det rör sig om en företagshemlighet, för att kunna säkerställa sina rättigheter enligt artikel 22.3 i den allmänna dataskyddsförordningen:

a)	överföring av all eventuell pseudoanonymiserad information, särskilt om hur den registrerades uppgifter har behandlats, så att det kan kontrolleras att den allmänna dataskyddsförordningen har efterlevts,

b)	tillhandahållande av de indata som använts för profilering,

c)	parametrar och ingångsvariabler som använts vid bedömningen,

d)	parametrarnas och ingångsvariablernas påverkan på den framräknade bedömningen,

e)	information om hur parametrarna och ingångsvariablerna har tillkommit behöver inte lämnas,

f)	förklaring till varför den person som har rätt till information enligt artikel 15.1 h i den allmänna dataskyddsförordningen har fått ett visst bedömningsresultat samt redogörelse för vilket utlåtande som är kopplat till denna bedömning,

g)	uppräkning av profilkategorier och förklaring till vilket bedömningsutlåtande som är kopplat till var och en av dessa profilkategorier?

Föreligger ett samband mellan å ena sidan den rätt att få tillgång till personuppgifter som föreskrivs i artikel 15.1 h i den allmänna dataskyddsförordningen och de rättigheter som garanteras i artikel 22.3 i samma förordning vad gäller att uttrycka sin åsikt och bestrida ett automatiserat beslut enligt artikel 22 i samma förordning, i den mån som att den rätt till tillgång som beviljas på grundval av en begäran om information enligt artikel 15.1 h i förordningen är begränsad till att rätten till tillgång endast är tillräckligt ”meningsfull” om den person som begär information och den registrerade i den mening som avses i artikel 15.1 h i förordningen har möjlighet att använda sig av den information som tillhandahålls enligt artikel 22.3 i förordningen för att uttrycka sin åsikt och att på ett verkligt, djupgående och framgångsrikt sätt bestrida det automatiserade beslut som rör honom eller henne i enlighet med artikel 22 i förordningen?

Ska artikel 15.1 h i den allmänna dataskyddsförordningen tolkas så, att ”meningsfull information” i den mening som avses i denna bestämmelse endast kan antas föreligga om informationen är så omfattande att den som har rätt till information i den mening som avses i artikel 15.1 h i den allmänna dataskyddsförordningen har möjlighet att avgöra om den tillhandahållna informationen också motsvarar de faktiska omständigheterna, det vill säga om det automatiserade beslut som uttryckligen har begärts verkligen har grundats på den information som tillhandahållits?

För det fall att denna fråga ska besvaras jakande: Vilket tillvägagångssätt ska väljas om korrektheten av den information som en personuppgiftsansvarig har lämnat ut endast går att kontrollera genom att till den part som har rätt till informationen i enlighet med artikel 15.1 h i den allmänna dataskyddsförordningen även lämna ut uppgifter rörande tredje part som också skyddas av den allmänna dataskyddsförordningen (Black-Box)?

Kan detta spänningsförhållande mellan rätten till tillgång i den mening som avses i artikel 15.1 i den allmänna dataskyddsförordningen och tredje parts dataskyddsrättigheter också upplösas genom att de uppgifter om tredje part som krävs för korrekthetskontroll och som också har använts vid samma profilering lämnas ut till myndigheten eller domstolen, så att denna instans självständigt måste kontrollera om de uppgifter om dessa tredje parter som lämnats ut motsvarar de faktiska omständigheterna?

För det fall att denna fråga ska besvaras jakande: Vilka rättigheter har den person som har rätt till information i den mening som avses i artikel 15.1 h i den allmänna dataskyddsförordningen om skyddet av tredje parts rättigheter i den mening som avses i artikel 15.4 i samma förordning under alla omständigheter ska säkerställas genom att det upprättas en Black-Box enligt punkt 3b?

Ska den personuppgiftsansvarige i så fall enbart lämna ut uppgifter om andra personer i pseudoanonymiserad form till den person som har rätt till information i den mening som avses i artikel 15.1 h i den allmänna dataskyddsförordningen för att det ska vara möjligt att kontrollera att beslutsprocessen har varit korrekt i enlighet med artikel 15.1 i samma förordning?

Vilket tillvägagångssätt ska väljas om den information som ska tillhandahållas enligt artikel 15.1 h i dataskyddsförordningen även uppfyller rekvisiten för företagshemlighet enligt artikel 2.1 i direktiv 2016/943 (2) (know-how-direktivet)?

Kan spänningsförhållandet mellan den rätt till information som garanteras i artikel 15.1 h i den allmänna dataskyddsförordningen och rätten att inte röja en företagshemlighet som skyddas av direktiv (EU) 2016/943, lösas upp genom att företagshemligheten i den mening som avses i artikel 2.1 i detta direktiv endast lämnas ut till myndigheten eller domstolen, så att denna instans självständigt måste kontrollera om det kan antas föreligga en företagshemlighet i den mening som avses i artikel 2.1 i detta direktiv, och om den information som den personuppgiftsansvarige har lämnat i den mening som avses i artikel 15.1 i dataskyddsförordningen överensstämmer med de faktiska omständigheterna?

För det fall att denna fråga ska besvaras jakande: Vilka rättigheter ska den person som har rätt till information i den mening som avses i artikel 15.1 h i den allmänna dataskyddsförordningen (GDPR) beviljas om det är nödvändigt att säkerställa skyddet av tredje parts rättigheter i den mening som avses i artikel 15.4 i samma förordning genom att under alla omständigheter upprätta en sådan Black-Box som avses i punkt 4a?

Om det (även) i detta fall föreligger en diskrepans mellan den information som ska offentliggöras för myndigheten eller domstolen och den information som ska lämnas ut till den person som har rätt till information i den mening som avses i artikel 15.1 h i den allmänna dataskyddsförordningen, eftersom det rör sig om profileringsärenden, ska då information enbart lämnas ut till den person som har rätt till information i den mening som avses i artikel 15.1 h i samma förordning om den specifika behandlingen som rör honom eller henne, för att han eller hon fullt ut ska kunna säkerställa sina rättigheter enligt artikel 22.3 i samma förordning:

a)	överföring av all eventuell pseudoanonymiserad information, särskilt om hur den registrerades uppgifter har behandlats, så att det kan kontrolleras att den allmänna dataskyddsförordningen har efterlevts,

b)	tillhandahållande av de indata som använts för profilering,

c)	parametrar och ingångsvariabler som använts vid bedömningen,

d)	parametrarnas och ingångsvariablernas påverkan på den framräknade bedömningen,

e)	information om hur parametrarna och ingångsvariablerna har tillkommit behöver inte lämnas,

f)	förklaring till varför den person som har rätt till information enligt artikel 15.1 h i den allmänna dataskyddsförordningen har fått ett visst bedömningsresultat samt redogörelse för vilket utlåtande som är kopplat till denna bedömning,

g)	uppräkning av profilkategorier och förklaring till vilket bedömningsutlåtande som är kopplat till var och en av dessa profilkategorier?

Begränsar bestämmelsen i artikel 15.4 i den allmänna dataskyddsförordningen på något sätt omfattningen av den information som ska lämnas enligt artikel 15.1 h i samma förordning?

För det fall att denna fråga ska besvaras jakande: På vilket sätt begränsar artikel 15.4 i den allmänna dataskyddsförordningen denna rätt att få tillgång till personuppgifter, och hur ska begränsningens omfattning i ett sådant fall fastställas?

Är bestämmelsen i 4 § 6 i den österrikiska dataskyddslagen, där det fastställs att ”den registrerades rätt att få tillgång till personuppgifter enligt artikel 15 i den allmänna dataskyddsförordningen gentemot en personuppgiftsansvarig, oavsett andra lagstadgade begränsningar, […] i regel inte [ska] föreligga om tillhandahållandet av sådan information skulle resultera i att den personuppgiftsansvariges eller tredje parts företags- eller affärshemligheter röjs”, förenlig med bestämmelserna i artikel 15.1 jämförd med artikel 22.3 i den allmänna dataskyddsförordningen? För det fall att denna fråga ska besvaras jakande: Under vilka förhållanden föreligger en sådan förenlighet?

(1) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter, om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (EUT L 119, 2016, s. 1).

(2) Europaparlamentets och rådets direktiv (EU) 2016/943 av den 8 juni 2016 om skydd mot att icke röjd know-how och företagsinformation (företagshemligheter) olagligen anskaffas, utnyttjas och röjs (EUT L 157, 2016, s. 1).