− Alle har rett til å vite hvem hans eller hennes persondata har blitt delt med.
Det konkluderte Den europeiske unions domstol i Luxemburg torsdag, ifølge en pressemelding.
Bakgrunnen for saken er en klage fra en innbygger i Østerrike, som hadde bedt Österreichische Post, hovedleverandører av posttjenester i Østerrike, om å gi ham identiteten til alle de delte hans persondata med.
Det kravet kan man stille i henhold til personvernforordningen (GDPR) sin paragraf 15, som sier at «den registrerte» har rett til å få innsyn i «mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til».
Den typen henvendelser blir gjerne svart med generelle svar om at data deles med «leverandør» eller «annonsør», noe klageren fra Østerrike også opplevde.
Dermed klaget han inn postvesenet til rettsvesenet.
Overvåker millioner av dansker uten reell effekt
Ba om avklaring
Høyesterett i Østerrike ville ha en endelig avgjørelse på om GDPR åpner for at selskapene selv kan velge å bare gi innsyn i kategorier, eller om den som ber om innsyn må få vite identiteten til de organisasjonene som har fått data.
Konklusjonen fra Den europeiske domstol er tydelig:
− Den behandlingsansvarlige har en plikt til å gi den registrerte, på forespørsel, den faktiske identiteten til disse mottakerne. Det er bare der det (ennå) ikke er mulig å identifisere disse mottakerne at behandlingsansvarlig kan nøye seg med å angi hvilke kategorier av mottakere det gjelder, skriver domstolen.
Et annet unntak er når anmodningen «åpenbart er grunnløs eller overdreven».
En viktig grunn til det juridiske utfallet er ifølge domstolen selv, at din rett til å få dette innsyn, er nødvendig for at du skal kunne undersøke at rettighetene dine i henhold til GDPR er overholdt.
Microsoft utsetter Recall-funksjonen enda en gang