Logga in

Glömt ditt lösenord?

Inget registerutdrag för registrerad med otillbörliga avsikter

EU-domstolen har klargjort att en personuppgiftsansvarig inte behöver lämna ett registerutdrag när en registrerad har haft en otillbörlig avsikt, till exempel om begäran har gjorts i det enda syftet att erhålla ersättning för ett påstått åsidosättande av dataskyddsförordningen. Domstolens tolkning av artikel 12.5 dataskyddsförordningen klargör gränserna för registrerades rättigheter. I domen finns även intressanta ställningstaganden kring skadestånd. Vår expert Monika Wendleby, f.d. kammarrättsråd och rådman, analyserar avgörandet och förklarar vilken betydelse det får för hantering av rättigheter och skadestånd. 

Bakgrund 

För några veckor sedan höll jag en föreläsning på GDPR-dagen om registrerades rättigheter. I salen satt ett hundratal personer. När jag inledningsvis frågade hur många som just då aktivt arbetade med registrerades rättigheter räckte nästan alla upp handen. Från att ha varit det som många sett som en teoretisk fråga har hanteringen av rättigheter blivit en konkret verklighet för allt fler som arbetar med dataskydd. 

Detta innebär att allt fler som arbetar med dataskydd måste handlägga begäranden. Det blir mer och mer vanligt att sådana (ibland genererade av AI) ligger i inkorgen. Eftersom tidsfristerna är korta märker jag att många organisationer idag till och med ibland inrättat jour-verksamhet för att hantera incidenter och rättighetsbegäranden för att medarbetare bättre ska kunna planera sitt arbete med mer långsiktiga arbetsuppgifter som till exempel konsekvensbedömningar. 

Då frågorna blir mer och mer utmanande lär EU-domstolens dom den 2026-03-19 i målet Brillen Rottler GmbH & Co. KG mot TC (C-526/24) sannolikt få rätt stor betydelse för personuppgiftsansvariga organisationer. När det blir vanligare och vanligare att rättigheter begärs innehåller den en viktig pusselbit i hanteringen, särskilt när begäranden upplevs som ”rättshaveristiska” av de som handlägger dem. 

Domen visar nämligen att registrerades utövande av rättigheter i dataskyddsförordningen har tydliga gränser. Tidigare tolkningar av artikel 12.5 dataskyddsförordningen (GDPR) som gjorts av Europeiska dataskyddsstyrelsen (Riktlinjer 01/2022 om registrerades rättigheter – rätt till tillgång Version 2.1 Antaget den 28 mars 2023) har framhållit att huvudscenariot för tillämpning av artikel 12.5 är upprepade begäranden (se punkt 181), något som nu tydligt utökas genom domen till att även avse helt nya begäranden om vissa förutsättningar är uppfyllda. 

Omständigheterna i målet 

I mars 2023 registrerade sig TC för ett nyhetsbrev från optikföretaget Brillen Rottler GmbH & Co (Brillen Rottler). I samband med registreringen på företagets webbplats lämnade TC dels efterfrågade personuppgifter, dels ett samtycke för behandlingen. Tretton dagar senare vände sig TC till Brillen Rottler och begärde att få tillgång till sina personuppgifter med stöd av artikel 15 GDPR. 

Brillen Rottler avslog (inom den lagstadgade fristen på en månad, se artikel 12.4 GDPR) – hans begäran med hänvisning till artikel 12.5 första stycket andra meningen b GDPR, eftersom företaget ansåg att TC haft en otillbörlig avsikt med sin begäran. Företaget uppmanade även TC att slutgiltigt återkalla sin begäran. 

I stället för att återkalla inkom TC med en begäran om skadestånd med 1 000 euro enligt artikel 82 GDPR. Brillen Rottler väckte då som motåtgärd en fastställelsetalan i Amtsgericht Arnsberg (Distriktsdomstolen i Arnsberg), som sedan begärde det förhandsavgörande som redovisas i domen.  

I rättsprocessen gjorde bolaget bland annat gällande följande:  

”Det framgår av olika mediareportage, bloggartiklar och nyhetsbrev från advokatbyråer att TC systematiskt och på ett otillbörligt sätt ägnar sig åt att begära ut sina personuppgifter från olika aktörer i det enda syftet att erhålla ersättning för ett påstått – av honom själv medvetet framprovocerat – åsidosättande av hans rättigheter enligt dataskyddsförordningen. TC:s tillvägagångssätt består i att registrera sig för ett nyhetsbrev från ett visst företag och efter en tid ge in en begäran till företaget om att få tillgång till sina personuppgifter, för att sedan begära ersättning”. 

TC bestred talan och framhöll att bolaget på ett rättsstridigt sätt försökte begränsa hans rättigheter, vilket lett till en ideell skada som kunde värderas till minst 1 000 euro. 

GDPR-kraven för hantering av rättigheter 

Förfarandekraven kopplade till rättighetsbegäranden finns i artikel 12 GDPR, som alltså ersätter andra lagkrav på hantering (till exempel förvaltningslagen för offentlig sektor) i de frågor som regleras i artikeln. I artikeln regleras enligt rubriken på artikeln ”Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter”. 

Genom artiklarna 12.5 och 15 GDPR klargörs att den registrerades rätt att få tillgång till sina personuppgifter ska kunna utövas utan kostnad för hen. I artikel 12.5 finns dock två omständigheter som kan ge en personuppgiftsansvarig rätt att antingen ta ut en skälig avgift för att täcka de administrativa kostnaderna eller avslå en begäran om tillgång. Dessa avser fall av ”rättsmissbruk” (EU-domstolens begrepp som jag återkommer till mer senare), där den registrerades begäran kan anses vara ”uppenbart ogrundad” eller ”orimlig”. I förordningstexten finns tillägget ”särskilt på grund av dess repetitiva art” för båda fallen av rättsmissbruk.  

Tidigare praxis från EU-domstolen 

EU-domstolen har tidigare prövat frågan om hur artikel 12.5 GDPR ska tolkas i förhållande till en begäran om registerutdrag i dom 2023-10-26 (FT mot DW, C-307/21). I den domen slog EU-domstolen bland annat fast att ”varken artikel 12.5 eller artikel 15.1 och 15.3 i dataskyddsförordningen uppställer som villkor att den registrerade åberopar ett skäl för att motivera sin begäran, för att han eller hon kostnadsfritt ska kunna erhålla en första kopia av personuppgifterna”. Vidare uttalade domstolen (punkt 43 i domen): 

”Eftersom den registrerade [---] inte är skyldig att motivera sin begäran om tillgång till uppgifterna, kan den första meningen i skäl 63 inte tolkas så, att begäran ska avslås om den har ett annat syfte än att få kännedom om behandlingen av uppgifterna och kontrollera att den är laglig.” 

Detta innebär enligt EU-domstolen att den registrerade har rätt till ett registerutdrag om hen till exempel vill veta vad som står i en journal för att kunna kontrollera den medicinska behandlingen och för att kunna begära skadestånd (jag har kommenterat detta djupare i lagkommentaren till 8 kap. 2 § patientdatalagen). En begäran kan alltså inte avslås enbart på den grunden att den registrerade har ett annat syfte än att vilja kontrollera personuppgiftsbehandlingen. Domen klargör även att hen inte ens är skyldig att lämna en motivering till varför hen vill ha ett utdrag.  

En liknande fråga prövas även i en dom 2025-01-09 (Österreichische Datenschutzbehörde mot FR, C-416/23). Den domen rörde primärt frågor kopplade till en tillsynsmyndighets skyldighet att agera på klagomål, se artikel 57.4 GDPR, som klargör att en tillsynsmyndighet kan vägra pröva en fråga som är uppenbart ogrundad eller orimlig (samma begrepp som finns i artikel 12.5 GDPR). 

I målet hade FR lämnat in ett klagomål för att han inte fått ett registerutdrag inom en månad. Tillsynsmyndigheten avslutade klagomålet utan åtgärd eftersom begäran ansågs vara orimlig enligt artikel 57.4 GDPR. EU-domstolen uttalade att det ”i unionsrätten finns en allmänrättsprincip som innebär att enskilda inte får åberopa unionsrättsliga bestämmelser på ett sätt som är bedrägligt eller utgör missbruk” (punkt 49 i domen), det som EU-domstolen kallar för rättsmissbruk.  

För att kunna avslå en begäran med stöd av artikel 57.4 GDPR måste tillsynsmyndigheten kunna ”visa – med stöd av samtliga relevanta omständigheter i det enskilda fallet – att det finns en otillbörlig avsikt från den registrerades sida, varvid dock antalet inlämnade klagomål inte i sig är ett tillräckligt kriterium” (punkt 50). EU-domstolen pekar även på att tillsynsmyndigheten måste kunna visa att artikel 57.4 GDPR är tillämplig, till exempel genom ”att det framgår av omständigheterna i ärendet att syftet bakom det stora antalet klagomål är att störa tillsynsmyndighetens verksamhet genom att ta dess resurser i anspråk utan skälig anledning” (punkt 56) eller att det framgår att en registrerad vänder sig till en tillsynsmyndighet med ett så stort antal klagomål mot en lång rad olika personuppgiftsansvariga, som den registrerade inte nödvändigtvis har någon koppling till (punkt 57). 

Båda domarna har haft betydelse när personuppgiftsansvariga prövat begäranden. Genom domen rörande Brillen Rottler får vi nu ytterligare en pusselbit. För att förstå avgränsningen som görs i den domen behöver man dock först noga sätta sig in i C-307/21 och C-416/23. Det är först när man läser samtliga domarna som rättsläget blir tydligt. 

Domstolens slutsatser om artikel 12.5 GDPR i Brillen Rottler-domen 

I Brillen Rottler-domen avgränsar EU-domstolen vad begreppet ”orimlig” innebär (punkterna 25–26): 

”Vad gäller ordalydelsen i artikel 12.5, och i synnerhet den normala betydelsen av begreppet orimlig begäran i vanligt språkbruk, kan det konstateras att adjektivet ´orimlig´ betecknar något som går utöver vad som är normalt eller skäligt eller som går utöver vad som är önskvärt eller tillåtet [---] Således kan man inte redan av den omständigheten att bestämmelsen använder adjektivet ”orimlig” – som avser både kvalitativa och kvantitativa aspekter – dra den slutsatsen att en första ansökan om att få tillgång till sina personuppgifter aldrig kan vara orimlig. 

Av ordalydelsen i artikel 12.5 första stycket andra meningen i dataskyddsförordningen framgår vidare att framställningar från en registrerad kan vara orimliga ´särskilt på grund av deras repetitiva art´. Den omständigheten att en registrerad har gjort ett stort antal framställningar kan således vara ett tecken på att det är fråga om ett fall av orimliga framställningar [---]. EU-domstolen konstaterar dock [---] att framställningarnas repetitiva art endast nämns som ett exempel på orimlighet i denna bestämmelse. För att en begäran från en registrerad om att få tillgång till sina personuppgifter ska kunna anses vara ´orimlig´ krävs det således inte att den aktuella begäran är en i raden av många framställningar från en och sammaregistrerade”. 

EU-domstolen konstaterar därefter att en registrerad inte får åberopa en bestämmelse i bedrägligt eller otillbörligt syfte (rättsmissbruk) och fortsätter (punkten 31):  

”Den personuppgiftsansvarige kan således utnyttja denna möjlighet även vid en första begäran om denne kan visa – med stöd av samtliga relevanta omständigheter i det enskilda fallet – att det finns en otillbörlig avsikt från den registrerades sida” 

Domstolen ger också viss vägledning hur man ska gå till väga i praktiken (punkterna 34–35): 

Vid den praktiska tillämpningen gäller det därför att hitta en korrekt balans av nyss nämnt slag som säkerställer den aktuella undantagsregelns ändamålsenliga verkan. Det som är relevant för att kunna slå fast att en registrerad haft en otillbörlig avsikt med en begäran om att få tillgång till sina personuppgifter är huruvida begäran kan anses vara orimlig, vilket är en bedömning som ska göras utifrån kvalitativa aspekter [---]. Vid orimlighetsbedömningen ska det således inte endast tas hänsyn till hur många sådana framställningar den registrerade har gjort, och det saknar därmed betydelse att det rör sig om en första begäran om tillgång från honom eller henne. 

Det sagda innebär att en första begäran om att få tillgång till sina personuppgifter som en registrerad framställer till en personuppgiftsansvarig med stöd av artikel 15 i dataskyddsförordningen kan anses vara ´orimlig´, i den mening som avses i artikel 12.5 i förordningen. Av det ovan anförda [---] framgår dock att begreppet orimlig begäran ska tolkas restriktivt. Detta innebär att en personuppgiftsansvarig endast i undantagsfall kan göra gällande att en begäran är orimlig och att det [---] bör gälla högt ställda krav för att en första begäran om tillgång ska anses vara orimlig. Det ska även påpekas att det uttryckligen framgår av artikel 12.5 andra stycket i dataskyddsförordningen att det ankommer på den personuppgiftsansvarige att visa att en begäran är orimlig”. 

Hur kommer man fram till att det rör sig om en ”orimlig begäran”? 

EU-domstolen likställer i domen en ”orimlig begäran” med ett rättsmissbruk” (det vill säga åberopa en bestämmelse i bedrägligt eller otillbörligt syfte). 

För att kunna visa att det rör sig om ett rättsmissbruk av en EU-lagstiftning (som GDPR) behöver man enligt EU-domstolen hantera två typer av omständigheter: 

  • Det behöver finnas en rad objektiva omständigheter av vilka det framgår att det mål som eftersträvas med en viss lagstiftning inte uppnås vid ett bifall, trots att de förutsättningar som föreskrivs i lagstiftningen formellt sett är uppfyllda. Här framhåller EU-domstolen att artikel 15 GDPR jämförd med skäl 63 ”syftar till att ge en registrerad rätt att få tillgång till sina person-uppgifter och att enkelt och med rimliga intervall utöva denna rätt”. Detta syftar i sin tur bland annat till att den registrerade ska kunna ”hålla sig underrättad om att personuppgiftsbehandling sker och kunna kontrollera att den är laglig, för att på detta sätt i förekommande fall kunna utöva sin rätt till rättelse, radering och behandlingsbegränsning samt sin rätt att göra invändningar och väcka talan vid skada”.  
  • Det behöver även föreligga åtminstone en subjektiv omständighet som ”består i att den registrerades avsikt är att erhålla en förmån enligt nämnda lagstiftning genom att på ett konstlat sätt skapa de förutsättningar som krävs för att erhålla förmånen”. 

Utöver detta framgår att undantaget i artikel 12.5 GDPR ska tolkas restriktivt och att den personuppgiftsansvarige ska kunna visa att det är för fallet (vilket den måste göra när den skriver en motivering enligt artikel 12.4 GDPR). 

När EU-domstolen prövar den första punkten ovan i förhållande till TC:s begäran hos Brillen Rottler konstaterar den att formellt sett skulle man kunna se begäran om registerutdrag ”som att TC utnyttjade sin rätt till tillgång i syfte att uppnå det mål som eftersträvasmed den aktuella EU-lagstiftningen”. Detta räcker dock inte för att bedöma om det finns ett rättsmissbruk. När domstolen därefter prövar andra punkten ovan konstaterar den (punkterna 40–43): 

”Vad därefter gäller det subjektiva rekvisitet för ett otillbörligt förfarande, ska det påpekas att en personuppgiftsansvarig som avser att utnyttja sin möjlighet att kvalificera en begäran från en registrerad om att få tillgång till sina personuppgifter som ´orimlig´, i den mening som avses i artikel 12.5 i dataskyddsförordningen, måste kunna visa – mot bakgrund av samtliga relevanta omständigheter i det enskilda fallet – att den registrerade haft en otillbörlig avsikt med sin begäran. En sådan avsikt kan anses föreligga om den registrerade har lämnat in begäran i något annat syfte än att hålla sig underrättad om att behandling av hans eller hennes personuppgifter sker och kontrollera huruvida den är laglig, för att därefter kunna få sina rättigheter enligt dataskyddsförordningen skyddade [---]. 

[---] Mot bakgrund bland annat av vad som an-förts ovan [---] ankommer det på den personuppgiftsansvarige att på ett otvetydigt sätt visa att den registrerades avsikt med att begära ut sina personuppgifter med stöd av artikel 15 i dataskyddsförordningen inte har varit att hålla sig underrättad om att behandling av hans eller hennes personuppgifter sker, utan att på ett konstlat sätt skapa de förutsättningar som krävs för att erhålla ersättning från den personuppgiftsansvarige. 

I detta avseende ska samtliga omständigheter i det enskilda fallet beaktas, däribland att den registrerade frivilligt har lämnat ut sina personuppgifter till den personansvarige och vad syftet med detta har varit. Hänsyn ska även tas till hur lång tid som förflutit mellan att den registrerade lämnade ut sina personuppgifter till den personansvarige och att den registrerade begärde ut dem samt till den registrerades agerande. 

Enligt den hänskjutande domstolen uppkommer i det nationella målet frågan huruvida det vid bedömningen av om det är fråga om rättsmissbruk är möjligt att beakta allmänt tillgängliga uppgifter som visar att TC systematiskt har ägnat sig åt att begära ut sina personuppgifter från olika personuppgiftsansvariga och begära ersättning av dem, enligt ett tillvägagångssätt som är jämförbart med det som är i fråga i det nationella målet. EU-domstolen finner att detta är en omständighet som i och för sig kan läggas till grund för att anse att den registrerade haft en otillbörlig avsikt, förutsatt att den vinner stöd av andra relevanta omständigheter i ärendet”. 

EU-domstolen tillhandahåller således en metod för att hantera rättsmissbruk. Den första punkten kan kännas relativt akademisk för de som får en rättighetsbegäran på sitt bord men måste förstås hanteras för att man korrekt ska kunna motivera ett avslag.  

Här vill jag dock passa på att varna för att en registrerad kan ha andra legitima skäl att få ett registerutdrag än att enbart vilja utöva andra rättigheter eller begära skadestånd. Som ovan beskrivits (avsnittet ”Tidigare praxis från EU-domstolen”) har EU-domstolen i en tidigare dom C-307/21 klargjort att en personuppgiftsansvarig inte kan vägra ett registerutdrag bara för att den registrerade har andra syften än dessa. Finns de rimliga skäl kan man således inte anse att en begäran objektivt innebär ett rättsmissbruk. Dessutom kan man inte efterforska de bakomliggande skälen, vilket även det kan utläsas ur C-307/21. 

Intressant om skadestånd 

EU-domstolen går inte närmare in på om TC haft rätt till skadestånd. Det är förstås självklart att en registrerad inte kan få skadestånd i en situation där det föreligger rättsmissbruk, eftersom det då saknas ett kriterium för skadestånd (att det måste finnas en avvikelse från GDPR).  

EU-domstolen tar inte heller ställning till hur TC:s fall slutligen ska bedömas utan detta är något som den nationella domstolen formellt sedan ska avgöra. Enligt min mening ger de citat från EU-domstolen jag tidigare redovisat i denna analys ett starkt stöd för att TC:s begäran ska ses som rättsmissbruk. 

EU-domstolen gör även några andra intressanta ställningstaganden kring skadestånd enligt artikel 82 GDPR i Brillen Rottler-domen. Den klargör att skadestånd kan utgå inte enbart om det förekommit felaktigt behandlade personuppgifter. Skadestånd kan enligt domen även utgå vid felaktigt hanterade rättighetsbegäranden (det finns en avvikelse) om även övriga kriterier för skadestånd är uppfyllda.  

EU-domstolen ger även exempel på att skadestånd kan utgå även när den personuppgiftsansvariga bryter mot andra skyldigheter som att publicera ett inbördes arrangemang enligt artikel 26 GDPR eller ha ett behandlingsregister enligt artikel 30 GDPR. 

Några medskick i den praktiska hanteringen 

Även om domen rör registerutdrag har den betydelse för alla rättighetsbegäranden. EU-domstolens metodik för att pröva rättsmissbruk kan tillämpas även när någon begär till exempel radering eller begränsning. Den personuppgiftsansvariga behöver i de här fallen sätta sig in i vad den aktuella rättigheten syftar till för att kunna pröva de objektiva omständigheterna. När det gäller de subjektiva omständigheter kan enligt min mening de exempel EU-domstolen ger även gälla i sådana fall. Här kan även EDPB:s riktlinjer om registerutdrag ge viss vägledning, även om man i läsningen av dem måste lägga till de senare klargöranden i rättspraxis som beskrivs i denna analys. 

Hantering av rättigheter är i praktiken ofta tidsödande, eftersom det krävs många steg för att både hitta relevanta uppgifter och göra bedömningar enligt artikel 12 GDPR. Personuppgiftsansvariga organisationer behöver därför utbilda personer som arbetar med dataskydd och ta fram bra rutiner. I en av mina två böcker om rättighetshantering (Dataskyddsförordningen: Hantera registrerades rättigheter- En arbetsbok, Sanoma förlag, 2021) ger jag förslag på vilka steg en sådan rutin behöver innehålla. Efter EU-domstolens klargörande av hur artikel 12.5 GDPR ska tolkas behöver en rutin numera förstås även innehålla avgränsningar kring rättsmissbruk.  

Det är vanligt att rättighetsbegäranden innehåller begäranden om skadestånd (eller att sådana inkommer senare). Som framgår av Brillen Rottler-domen kan felaktigheter i skadeståndshantering leda till att rätt till skadestånd kan uppkomma. Även i denna del krävs idag att personer som arbetar med dataskydd har adekvat kunskap om rättsläget. Skadeståndsbegäranden kan dessutom snabbt landa i domstol, vilket innebär att man behöver ta fram strategier för hur de ska hanteras (till exempel vad organisationen kan vara beredd att betala för att ”stänga” en fråga).  

Analys av EU-domstolens dom 2026-03-19, mål nr C-526/24.

Ursprungligen publicerad i JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 4 maj 2026

Monika Wendleby

Jurist, managementkonsult och författare av GDPR-böcker

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Fördjupningskurs i GDPR och AI
Fördjupningskurs i GDPR och AI
GDPR i praktiken: Registerförteckning, lagring och gallring
GDPR i praktiken: Registerförteckning, lagring och gallring
Sekretess och säkerhetsskydd i praktiken
Sekretess och säkerhetsskydd i praktiken
Se alla kurser inom it och dataskydd

Tjänster

JP ITnet

Informationstjänsten för dig som arbetar med juridiska frågor inom IT och dataskydd.

Webbkursbibliotek

Säkra en juridisk grundkompetens till alla i din organisation med en flexibel, effektiv och lättillgänglig kompetensutveckling.

Lagkommentar till öppna data-lagen

Lagkommentaren är skriven av Monika Wendleby. Kommentaren beskriver rättsläget och behandlar frågor som är relevanta för den praktiserande juristen.
Se alla tjänster inom it och dataskydd

Nyheter

EDPB:s beslut är en rättsakt som kan tas upp till prövning
IT och dataskydd

EU-domstolen upphäver tribunalens beslut om att avvisa WhatsApps talan mot EDPB:s beslut och återförvisar målet för prövning i sak. 

4 maj 2026

Hur kan personuppgiftsansvar mellan parter se ut och regleras?
IT och dataskydd

Vår dataskyddsjurist Mari Heidenberg Östholm reder ut vad som gäller.  

31 mar 2026

Måste vi tillhandahålla registerutdrag i elektronisk form även om vi saknar teknisk möjlighet att göra det?
IT och dataskydd

Vår dataskyddsrådgivare och jurist Laura Gashi reder ut vad som gäller.

27 feb 2026

Se alla nyheter inom it och dataskydd

JP Infonets webbplatser använder cookies för att fungera på ett bra sätt. Du kan när som helst ändra ditt samtycke till kakor.

Läs mer om kakor (cookies)

Dölj detaljer Visa detaljer Hantera kakor