EuroRett: Misbruk av erstatningskrav etter personvernforordningen (C-526/24)

EuroRett: Misbruk av erstatningskrav etter personvernforordningen (C-526/24)

Justis og innenriks

Senter for Europarett ved ansvarlig redaktør Professor dr. juris Finn Arnesen

Redaktører: Edith Meek Allern, Cecilie Helgeland og Elina Panea Berg

Spørsmålet i saken

Den 19. mars 2026 avsa EU-domstolen prejudisiell avgjørelse i sak C-526/24 Brillen Rottler. Saken gjaldt tolkningen av forordning (EU) 2016/679 [personvernforordningen] og konsekvensene av å misbruke rettighetene etter forordningen.

Sakens bakgrunn 

En person (TC) abonnerte på nyhetsbrevet til den tyske virksomheten Brillen Rottler. TC la inn personopplysningene sine da han abonnerte på nyhetsbrevet, og samtykket til behandling av disse. 13 dager senere krevde TC innsyn i sine personopplysninger i henhold til personvernforordningen artikkel 15. 

Brillen Rottler ga avslag på kravet om innsyn ettersom de mente at kravet var et uttrykk for rettsmisbruk i henhold til personvernforordningen artikkel 12 nr. 5. TC fastholdt kravet om innsyn og krevde i tillegg erstatning.

Brillen Rottler reiste sak, med krav om at TC ikke har rett på erstatning. De mente at rapporter, blogginnlegg og uttalelser fra advokater ga uttrykk for at TC systematisk og ulovlig krever informasjon om sine personopplysninger, med formål om å få erstatning for en krenkelse av disse etter personvernforordningen.

Den foreleggende rett har i den anledning forelagt en rekke spørsmål for EU-domstolen om tolkningen av personvernforordningen. 

EU-domstolens vurdering

Det første spørsmålet

Det første spørsmålet er om allerede den første innsynsbegjæringen etter personvernforordningen artikkel 15 kan anses å være «overdreven», og hvilke eventuelle faktiske forhold som kan konstatere dette, jf. personvernforordningen artikkel 12 nr. 5. 

Begrepet «overdreven» er ikke definert i personvernforordningen. Ordlyden utelukker imidlertid ikke allerede den første innsynsbegjæringen fra å være overdreven. En innsynsbegjæring kan være «overdreven» dersom den «gjentas», jf. personvernforordningen artikkel 12 nr. 5. Gjentakelse er likevel kun et veiledende moment, og ikke en betingelse for at begjæringen skal anses overdreven. 

Formålet med reglene i personvernforordningen kapittel III, hvor artikkel 12 står, er blant annet å lette utøvelsen av retten til å kreve innsyn. Artikkel 12 nr. 5 oppstiller et unntak fra hovedreglene. Unntak skal tolkes restriktivt.

EU-domstolen uttaler at ordlyden «uforholdsmessige anmodninger» etter personvernforordningen artikkel 57 nr. 4 har overføringsverdi til «overdreven» etter artikkel 12 nr. 5. Artikkel 57 nr. 4 omfatter ikke misbruk av EU-retten. Det samme må da gjelde for artikkel 12 nr. 5. Dersom den dataansvarlige kan godtgjøre at den registrerte har til hensikt å misbruke EU-retten ved å be om innsyn, er antallet innsynsbegjæringer uten betydning. 

Om en innsynsbegjæring utgjør misbruk, og dermed er «overdreven», beror på en konkret vurdering. Det må for det første ses hen til om det foreligger objektive forhold som tilsier at formålet med den aktuelle bestemmelsen i EU-retten ikke oppnås selv om vilkårene for å kunne få rettigheten er oppfylt. For det andre må det foretas en vurdering av om den registrerte har hensikt om å misbruke rettighetene. 

Formålet med forordningen artikkel 15 er å gi den registrerte rett til innsyn med rimelige mellomrom for å kunne drive kontroll, kreve sletting, kreve begrensning og iverksette rettsmidler ved eventuell lidt skade. I denne saken kan TCs krav om innsyn objektivt sett forstås slik at han oppnår dette formålet. 

Ved vurderingen av om det subjektive kravet er oppfylt er en rekke momenter relevante. Det kan blant annet ses hen til at den registrerte ga personopplysninger uten at det var nødvendig, formålet med å utlevere opplysningene, tiden som er gått fra vedkommende ga opplysningene til han krever innsyn, personens adferd og offentlige opplysninger om personens tidligere adferd. Det tilkommer den foreleggende rett å vurdere dette. 

Det andre spørsmålet

Det andre spørsmålet fra den foreleggende rett er om den registrerte har rett til erstatning for skade som er voldt som følge av en tilsidesettelse av innsyn etter personvernforordningen artikkel 15 nr. 1, jf. artikkel 82 nr. 1. 

En person som har lidt materiell eller immateriell skade «som følge av en overtredelse av denne forordning» har rett til erstatning fra den dataansvarlige, jf. personvernforordningen artikkel 82 nr. 1. Ordlyden er ikke begrenset til behandling av personopplysninger. 

Heller ikke ordlyden tolket i sin sammenheng eller i lys av formålet begrenser erstatningen til skade voldt ved behandling av personopplysninger. Dersom dette hadde vært tilfelle ville formålet om å styrke rettighetene til den registrerte og forpliktelsene til den som behandler personopplysningen, blitt svekket. 

Den registrerte kan ha krav på erstatning for skade som er voldt på grunn av andre forhold enn selve behandlingen av personopplysningene.

Det tredje spørsmålet 

Det tredje spørsmålet fra den foreleggende rett er om den immaterielle skade som er lidt omfatter tap av kontroll over personens personopplysninger eller personens usikkerhet om hvorvidt personopplysningene er blitt behandlet, jf. personopplysningsloven artikkel 82 nr. 1.

For å ha krav på erstatning etter personvernforordningen artikkel 82 nr. 1, må tre kumulative vilkår være oppfylt. Det må foreligge en «forvoldt skade», skjedd en overtredelse av personvernforordningen og foreligge årsakssammenheng mellom skaden og overtredelsen. Den skadelidte har bevisbyrden for at vilkårene er oppfylt. 

Domstolen uttaler at en ren henvisning til «frykt for tap av kontroll» over vedkommendes personopplysninger ikke alene er nok til å ha krav på erstatning. Dersom det påberopes en slik frykt, må det etterprøves om denne frykten kan anses å være velbegrunnet under de konkrete omstendighetene for den registrerte. 

Domstolen uttaler til slutt at vilkåret om årsakssammenheng kan avbrytes dersom det er den registrerte personens handling som er den avgjørende årsak til skaden. Dersom årsaken til skaden er at den registrerte frivillig har oppgitt personopplysninger med formål om å kreve erstatning, er årsakssammenhengen avbrutt. 

EU-domstolens konklusjon 

En første innsynsbegjæring kan være «overdreven» dersom den ble gjort med misbruksintensjon, jf. personvernforordningen artikkel 15.

Personvernforordningen artikkel 82 nr. 1 gir den registrerte rett til erstatning for skade som er voldt ved tilsidesettelse av retten til innsyn etter artikkel 15 nr. 1. 

Immateriell skade omfatter tap av kontroll over personopplysninger eller usikkerhet om hvorvidt personopplysningene er blitt behandlet. Det må imidlertid godtgjøres at denne personen faktisk har lidt en slik skade og at vedkommendes adferd ikke utgjorde den avgjørende årsaken til skaden, jf. personvernforordningen artikkel 82 nr. 1

Forordning (EU) 2016/679 [personvernforordningen] er inntatt i EØS-avtalens vedlegg XI, og gjennomført i norsk rett ved lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven) og forskrift 15. juni 2018 nr. 876 om behandling av personopplysninger. 

Det kan være av interesse å sammenligne ordlydene i personvernforordningen artikkel 12 nr. 5 og artikkel 57 nr. 4 i ulike språkversjoner. Ordlyden i artikkel 12 nr. 5 er i den danske versjonen «overdrevne», den engelske versjonen «excessive» og i den norske versjonen «overdreven». I artikkel 57 nr. 4 er den danske versjonen «uforholdsmessig», den engelske versjonen «excessive», og den norske versjonen er «overdreven». Den engelske og norske versjonen bruker samme ordlyd i artikkel 12 nr. 5 og artikkel 57 nr. 4, mens den danske versjonen benytter ulik ordlyd i de to bestemmelsene. Dommen klargjør at ordlydens innhold i de to bestemmelsene kan ha overføringsverdi til hverandre, ettersom formålet bak bestemmelsene er likt. 

CH

Publisert: 09.04.2026
Utgave: 2026-06
Lovdata-referanse: EUR-2026-6-4