FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT
N. EMILIOU
fremsat den 20. april 2023(1)
Sag C-307/22
FT
mod
DW
(anmodning om præjudiciel afgørelse indgivet af Bundesgerichtshof (forbundsdomstol, Tyskland))
»Præjudiciel forelæggelse – beskyttelse af personoplysninger – forordning (EU) 2016/679 – artikel 12, 15 og 23 – den registreredes ret til indsigt i de personoplysninger, der behandles – ret til at modtage en kopi af personoplysninger gratis – godtgørelse af udgifter – patientjournal – læges behandling af dataene«
I. Indledning
1. Artikel 12 og 15 i forordning (EU) 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (2) (herefter »databeskyttelsesforordningen«) giver registrerede en vidtrækkende ret til indsigt i de personoplysninger, der behandles. Disse bestemmelser pålægger navnlig de dataansvarlige at udlevere en kopi af disse oplysninger gratis til de registrerede.
2. Kan de registrerede anmode om indsigt i deres personoplysninger på grundlag af bestemmelserne i databeskyttelsesforordningen til andre formål end dem, der vedrører databeskyttelse? Kan medlemsstaterne begrænse retten til at få udleveret en kopi af oplysningerne ved, i visse konkrete tilfælde, at pålægge registrerede at betale den dataansvarliges udgifter i forbindelse med udarbejdelsen af kopierne? Skal den dataansvarlige udlevere en kopi af alle dokumenter, der indeholder personoplysninger, eller kan den dataansvarlige sammensætte de oplysninger, som den registrerede har anmodet om?
3. Dette er i det væsentlige hovedindholdet i den anmodning om præjudiciel afgørelse, som Bundesgerichtshof (forbundsdomstol, Tyskland) har indgivet i en sag vedrørende en patients mulighed for gratis at få udleveret en kopi af de dokumenter, der er indeholdt i den pågældendes patientjournal.
II. Retsforskrifter
A. EU-retten
4. 4., 13. og 63. betragtning til databeskyttelsesforordningen har følgende ordlyd:
»4) […] Retten til beskyttelse af personoplysninger er ikke en absolut ret; den skal […] afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincippet. Denne forordning overholder alle de grundlæggende rettigheder og følger de frihedsrettigheder og principper, der anerkendes i chartret som forankret i traktaterne, navnlig […] frihed[en] til at oprette og drive egen virksomhed […]
13) […] EU-institutionerne og ‑organerne samt medlemsstaterne […] [opfordres] til at tage hensyn til mikrovirksomheders og små og mellemstore virksomheders særlige behov i forbindelse med anvendelsen af denne forordning […]
63) En registreret bør have ret til indsigt i personoplysninger, der er indsamlet om vedkommende, og til let og med rimelige mellemrum at udøve denne ret med henblik på at forvisse sig om og kontrollere en behandlings lovlighed. Dette omfatter registreredes ret til indsigt i deres helbredsoplysninger, f.eks. data i deres lægejournaler om diagnoser, undersøgelsesresultater, lægelige vurderinger samt enhver behandling og ethvert indgreb, der er foretaget. Enhver registreret bør derfor have ret til at kende og blive underrettet om navnlig de formål, hvortil personoplysningerne behandles, om muligt perioden, hvor personoplysningerne behandles, modtagerne af personoplysningerne, logikken, der ligger bag en automatisk behandling af personoplysninger […] Denne ret bør ikke krænke andres rettigheder eller frihedsrettigheder […]«
5. Databeskyttelsesforordningens artikel 12 med overskriften »Gennemsigtig oplysning, meddelelser og nærmere regler for udøvelsen af den registreredes rettigheder« bestemmer:
»1. Den dataansvarlige træffer passende foranstaltninger til at give enhver oplysning som omhandlet i artikel 13 og 14 og enhver meddelelse i henhold til artikel 15-22 og 34 om behandling til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog […]
2. Den dataansvarlige letter udøvelsen af den registreredes rettigheder i henhold til artikel 15-22. […]
3. Den dataansvarlige oplyser uden unødig forsinkelse og i alle tilfælde senest en måned efter modtagelsen af anmodningen den registrerede om foranstaltninger, der træffes på baggrund af en anmodning i henhold til artikel 15-22. […]
[…]
5. Oplysninger, der gives i henhold til artikel 13 og 14, og enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 15-22 og 34, er gratis. Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige enten:
a) opkræve et rimeligt gebyr under hensyntagen til de administrative omkostninger ved at give oplysninger eller meddelelser eller træffe den ønskede foranstaltning, eller
b) afvise at efterkomme anmodningen.
Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.
[…]«
6. Databeskyttelsesforordningens artikel 15 med overskriften »Den registreredes indsigtsret« har følgende ordlyd:
»1. Den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information:
[…]
3. Den dataansvarlige udleverer en kopi af de personoplysninger, der behandles. For yderligere kopier, som den registrerede anmoder om, kan den dataansvarlige opkræve et rimeligt gebyr baseret på de administrative omkostninger. […]
4. Retten til at modtage en kopi som omhandlet i stk. 3 må ikke krænke andres rettigheder og frihedsrettigheder.«
7. Databeskyttelsesforordningens artikel 23, stk. 1, der vedrører »begrænsninger«, bestemmer:
»1. EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige eller databehandleren er underlagt, kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 12-22 […] når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:
[…]
e) andre vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser, navnlig […] folkesundhed […]
[…]
i) beskyttelse af den registrerede eller andres rettigheder og frihedsrettigheder
[…]«
B. National lovgivning
8. § 630f med overskriften »Behandlingsdokumentation« i Bürgerliches Gesetzbuch (den tyske borgerlige lovbog, herefter »BGB«) bestemmer:
»1) Med henblik på dokumentation har den behandlende person pligt til at føre patientjournal i papirform eller elektronisk; patientjournalen skal føres umiddelbart i forlængelse af behandlingen. […]
2) Den behandlende person har pligt til at registrere alle de foranstaltninger, der fagligt set er væsentlige for den nuværende og fremtidige behandling, og resultaterne heraf, i patientjournalen, navnlig anamnesen, diagnoser, undersøgelser, undersøgelsesresultater, vurderinger, terapier og virkninger heraf, indgreb og virkninger heraf, underretninger af patienten og dennes samtykke. Lægehenvisninger skal medtages i patientjournalen.
[…]«
9. BGB’s § 630g med overskriften »Aktindsigt i patientjournalen« bestemmer:
»1) Efter anmodning fra patienten skal denne omgående gives fuld indsigt i den patientjournal, der vedrører ham eller hende, medmindre væsentlige terapeutiske forhold eller betydelige rettigheder hos andre parter taler imod dette. […]
2) Patienten kan også forlange at få udleveret elektroniske kopier af patientjournalen. Patienten skal godtgøre den behandlende person de afholdte omkostninger.
[…]«
III. De faktiske omstændigheder, retsforhandlingerne og de præjudicielle spørgsmål
10. DW (sagsøgeren i hovedsagen) modtog tandbehandling fra FT (sagsøgte i hovedsagen). Da DW havde mistanke om, at der var sket fejlbehandling, anmodede DW FT om gratis at udlevere en kopi af samtlige patientdokumenter om denne, som FT var i besiddelse af. FT har gjort gældende, at hun kun er forpligtet til at udlevere en kopi af patientjournalen mod godtgørelse af de afholdte omkostninger.
11. DW anlagde en sag mod FT ved Amtsgericht (byret, Tyskland), som gav DW medhold. FT iværksatte en appel ved Landgericht (regional appeldomstol, Tyskland), som blev forkastet med den begrundelse, at den omstændighed, at DW anmodede om oplysningerne med henblik på at undersøge, om han kunne gøre et lægeansvar gældende, ikke ophævede hans rettigheder i henhold til databeskyttelsesforordningens artikel 15.
12. I sin revisionsanke ved Bundesgerichtshof (forbundsdomstol, Tyskland) har FT nedlagt påstand om ophævelse af dommen fra Landgericht (regional appeldomstol) og om frifindelse i den af DW anlagte sag. Ifølge Bundesgerichtshof (forbundsdomstol, Tyskland) afhænger udfaldet af revisionsankesagen af, om appeldomstolen begik en retlig fejl, da den lagde til grund, at søgsmålet – således som DW har gjort gældende – er begrundet i henhold til databeskyttelsesforordningens bestemmelser.
13. Bundesgerichtshof (forbundsdomstol, Tyskland) har anført, at FT i henhold til de nationale forskrifter ikke er forpligtet til gratis at udlevere en kopi af de relevante patientdokumenter om DW til denne. DW kan dog muligvis have ret til gratis udlevering af patientdokumenterne – som Landgericht (regional appeldomstol, Tyskland) har fastslået – direkte i henhold til artikel 15, stk. 3, sammenholdt med artikel 12, stk. 5, i databeskyttelsesforordningen. Da Bundesgerichtshof (forvaltningsdomstol, Tyskland) således er i tvivl om den korrekte fortolkning af disse bestemmelser, har den besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:
»1) Skal artikel 15, stk. 3, første punktum, sammenholdt med artikel 12, stk. 5, i [databeskyttelsesforordningen] fortolkes således, at den dataansvarlige (her: den behandlende læge) ikke har pligt til gratis at udlevere en kopi af de personoplysninger om den registrerede (her: patienten), som den dataansvarlige har behandlet, såfremt den registrerede ikke anmoder om udlevering af kopien med henblik på som omhandlet i 63. betragtning til databeskyttelsesforordningen at forvisse sig om og kontrollere, at behandlingen af hans personoplysninger er lovlig, men derimod forfølger et andet formål – der ikke vedrører databeskyttelse men ligeledes er legitimt (her: undersøgelse af, om der kan gøres et lægeansvar gældende)?
2) a) Såfremt det første spørgsmål skal besvares benægtende: Kan den ret til gratis udlevering af en kopi af de personoplysninger, som den dataansvarlige har behandlet, der følger af artikel 15, stk. 3, første punktum, sammenholdt med artikel 12, stk. 5, i [databeskyttelsesforordningen], eventuelt begrænses i henhold til artikel 23, stk. 1, litra i), i databeskyttelsesforordningen gennem en national bestemmelse i en medlemsstat, der blev vedtaget, inden databeskyttelsesforordningen trådte i kraft?
b) Såfremt det andet spørgsmål, litra a), besvares bekræftende: Skal artikel 23, stk. 1, litra i), i [databeskyttelsesforordningen] fortolkes således, at de deri nævnte rettigheder og frihedsrettigheder for andre også omfatter disses interesse i at fritages fra at afholde udgifter i forbindelse med udlevering af en kopi af oplysningerne i henhold til artikel 15, stk. 3, første punktum, i [databeskyttelsesforordningen] og bære andre byrder, der opstår i forbindelse med udlevering af kopien?
c) Såfremt det andet spørgsmål, litra b), besvares bekræftende: Kan de rettigheder og forpligtelser, der følger af artikel 15, stk. 3, første punktum, sammenholdt med artikel 12, stk. 5, i [databeskyttelsesforordningen], eventuelt begrænses i henhold til artikel 23, stk. 1, litra i), i [databeskyttelsesforordningen] gennem en national bestemmelse om forholdet mellem læge og patient, hvorefter lægen altid har ret til at få sine udgifter i forbindelse med udlevering af en kopi af personoplysningerne i patientjournalen til patienten godtgjort af denne, uanset de konkrete omstændigheder?
3) Såfremt det første spørgsmål besvares benægtende, og det andet spørgsmål, litra a), b) eller c), besvares benægtende: Omfatter den ret, der følger af artikel 15, stk. 3, første punktum, i [databeskyttelsesforordningen], i forholdet mellem læge og patient et krav på udlevering af en kopi af alle de dele af patientjournalen, der indeholder personoplysninger om patienten, eller kun et krav på udlevering af en kopi af selve personoplysningerne om patienten, og kan lægen, der behandler disse oplysninger, i denne forbindelse frit vælge, hvorledes han sammensætter oplysningerne til den berørte patient?«
14. Den lettiske regering og Europa-Kommissionen har indgivet skriftlige indlæg i sagen.
IV. Analyse
A. Det første spørgsmål: adgang til data til formål, der ikke vedrører databeskyttelse
15. Med det første spørgsmål ønsker den forelæggende ret oplyst, om databeskyttelsesforordningens artikel 12, stk. 5, og artikel 15, stk. 3, skal fortolkes således, at den dataansvarlige i henhold til disse bestemmelser har pligt til gratis at udlevere en kopi af den registreredes personoplysninger til den registrerede, når den registrerede ikke anmoder om kopien med henblik på de formål, der er omhandlet i første punktum i 63. betragtning til databeskyttelsesforordningen (dvs. at forvisse sig om og kontrollere, at behandlingen af vedkommendes personoplysninger er lovlig), men derimod forfølger et andet formål, såsom at undersøge, om der kan gøres et lægeansvar gældende.
16. Nærmere bestemt ønsker den forelæggende ret med dette spørgsmål oplyst, om en registreret person i henhold til databeskyttelsesforordningens bestemmelser har ret til at modtage en kopi af sine personoplysninger fra den dataansvarlige, når anmodningen fremsættes med henblik på at forfølge formål, som er legitime, men som ikke vedrører databeskyttelse.
17. Efter min opfattelse er den indsigtsret, som tilkommer registrerede i henhold til databeskyttelsesforordningen, ikke betinget af, at de har til hensigt at anvende de pågældende oplysninger til databeskyttelsesformål som dem, der er anført i 63. betragtning hertil. En bogstavelig, kontekstuel og systematisk fortolkning af databeskyttelsesforordningens bestemmelser støtter dette synspunkt.
18. Der kan først og fremmest ikke udledes en sådan begrænsning af ordlyden af databeskyttelsesforordningens artikel 12 eller 15. Disse to bestemmelser fastsætter – som en form for spejling af hinanden – den dataansvarliges forpligtelse til at udlevere og den registreredes ret til at anmode om indsigt i de personoplysninger, der behandles (3). Ingen af de to bestemmelser kræver, at den registrerede skal angive grundene til sin anmodning om aktindsigt, og de giver heller ikke den dataansvarlige mulighed for at kræve oplysning om og vurdere disse grunde.
19. I henhold til databeskyttelsesforordningens artikel 12 skal den dataansvarlige »træffe passende foranstaltninger til at give enhver oplysning […] og enhver meddelelse« samt »lette udøvelsen af den registreredes rettigheder« (4). Bestemmelserne i artikel 12 vedrører faktisk hovedsagelig den måde, hvorpå og den tidsmæssige ramme, inden for hvilken den dataansvarlige bl.a. skal give indsigt (5). De eneste undtagelser, der gælder i forhold til den dataansvarliges forpligtelse til at efterkomme anmodningen straks, er, at den dataansvarlige har mulighed for: i) at anmode om yderligere oplysninger eller afvise at efterkomme anmodningen, hvis der hersker rimelig tvivl om den registreredes identitet (6), og ii) at opkræve et rimeligt gebyr eller at afvise at efterkomme anmodningen, hvis den er åbenbart grundløs eller uforholdsmæssig (7).
20. Databeskyttelsesforordningens artikel 15 er også formuleret meget bredt og giver de registrerede en vidtrækkende indsigtsret, herunder at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til de pågældende personoplysninger (8), samt at få udleveret en kopi af de personoplysninger, der behandles (9). Der er ikke fastsat nogen udtrykkelig betingelse eller begrænsning for den registreredes udøvelse af sin indsigtsret i henhold til databeskyttelsesforordningens artikel 15.
21. Dette er i modsætning til, hvad der er fastsat i andre bestemmelser i forordningen, der omhandler andre rettigheder for registrerede personer. F.eks. omhandler databeskyttelsesforordningens artikel 17, stk. 3, de situationer, hvor retten til at blive glemt, som er fastsat i stk. 1 og 2 i samme bestemmelse, »ikke finder anvendelse«. Databeskyttelsesforordningens artikel 20, som vedrører retten til dataportabilitet, er struktureret på samme måde, idet undtagelser er fastsat i stk. 3 i denne bestemmelse. Ligeledes fastsætter databeskyttelsesforordningens artikel 21, stk. 6, de betingelser, hvorunder registrerede under visse specifikke omstændigheder har ret til at udøve deres ret til at gøre indsigelse, jf. stk. 1 i samme artikel.
22. På denne baggrund kan 63. betragtning efter min opfattelse ikke fortolkes således, at den indfører en betingelse for eller begrænsning af udøvelsen af den registreredes indsigtsret, der er fastsat i databeskyttelsesforordningens artikel 15. Der er efter min opfattelse ingen tegn på en sådan betingelse eller begrænsning i denne bestemmelses ordlyd (og heller ikke i »tvillingebestemmelsen«, databeskyttelsesforordningens artikel 12).
23. Efter min opfattelse har 63. betragtning snarere til formål at fremhæve betydningen af indsigtsretten inden for rammerne af databeskyttelsesforordningen. Denne ret er nemlig afgørende og nødvendig for den effektive udøvelse af mange andre rettigheder, som tilkommer den registrerede i henhold til databeskyttelsesforordningen (10). Det er vanskeligt for fysiske personer at have »kontrol over deres personoplysninger« – således som der lægges vægt på i syvende betragtning til databeskyttelsesforordningen – medmindre de har indsigt i, »om« deres data behandles, i givet fald »hvilke« data der behandles, og »hvorfor« de behandles. Dette kan forklare, hvorfor det anføres i 63. betragtning, at registrerede bør have ret til indsigt »med henblik på at forvisse sig om og kontrollere en behandlings lovlighed« (11). Ordlyden af 63. betragtning kan måske være lidt uklar, men det følger efter min opfattelse ikke heraf, at retten til indsigt kun indrømmes til de formål, der er nævnt i betragtningen.
24. Jeg vil her indskyde, at det ofte vil være umuligt for den dataansvarlige at kontrollere, om en sådan betingelse er opfyldt, og den vil dermed være let at omgå for den registrerede, da det vil afhænge af den registreredes subjektive hensigt (12).
25. Jeg er desuden enig med den forelæggende ret i, at der ikke kan udledes en anden fortolkning af databeskyttelsesforordningens artikel 15 af præmis 44 i dommen i sagen YS m.fl. (13). Domstolen fastslog her – under henvisning til bestemmelserne i direktiv 95/46/EF (14), som var forløberen til databeskyttelsesforordningen – at det »[s]om det fremgår af […] betragtning til direktivet, er det med henblik på at kunne foretage den fornødne kontrol, at den registrerede […] har ret til indsigt i de oplysninger om sig selv, som gøres til genstand for behandling« (15).
26. Domstolen gjorde herved i det væsentlige ikke andet end at citere 41. betragtning til direktiv 95/46/EF, hvis ordlyd svarede til ordlyden af 63. betragtning til databeskyttelsesforordningen. Som den forelæggende ret med rette har anført, blev Domstolen i dommen i sagen YS m.fl. desuden anmodet om at præcisere begrebet »personoplysninger« med henblik på at fastlægge omfanget af retten til indsigt. Det foreliggende spørgsmål rejser et andet retligt spørgsmål – nemlig om formålet med den begærede indsigt kan have indflydelse på muligheden for at få indsigt, og jeg mener ikke, at der kan findes nogen nyttig vejledning om dette i denne dom.
27. Den fortolkning af databeskyttelsesforordningens artikel 15, som foreslås i dette forslag til afgørelse, understøttes også af artikel 8, stk. 2, i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«) vedrørende »[b]eskyttelse af personoplysninger«, hvorefter »[e]nhver har ret til adgang til indsamlede oplysninger, der vedrører den pågældende, og til berigtigelse heraf« (16). Retten til indsigt synes i chartret at være identificeret som en selvstændig rettighed, der er logisk forbundet med, men på ingen måde nødvendigvis afhængig af rettighedshaverens evne til eller hensigt om at udøve andre rettigheder (såsom retten til berigtigelse (17)).
28. Endelig skal det tilføjes, at Det Europæiske Databeskyttelsesråd i sin vejledning »Retningslinjer 01/2022 om registreredes rettigheder – Indsigtsret« (18) ligeledes foreslog denne fortolkning af databeskyttelsesforordningens artikel 15. Punkt 13 i disse retningslinjer har følgende ordlyd: »Den dataansvarlige bør ikke vurdere, »hvorfor« den registrerede anmoder om indsigt, men kun »hvad« den registrerede anmoder om, […] og om den dataansvarlige er i besiddelse af personoplysninger om den registrerede […]. [D]en dataansvarlige bør f.eks. ikke afslå at give adgang til indsigt med den begrundelse eller mistanke om, at de ønskede oplysninger vil kunne anvendes af den registrerede til at forsvare sig ved domstolene i tilfælde af afskedigelse eller en handelstvist med den dataansvarlige.«
29. Det er interessant at nævne, at eksemplet i disse retningslinjer i vid udstrækning svarer til de faktiske omstændigheder i den sag, der verserer for den forelæggende ret. Den omstændighed, at sagsøgeren i hovedsagen har anmodet om indsigt i de personoplysninger, der er indeholdt i patientjournalen – en situation, der specifikt er omhandlet i 63. betragtning til databeskyttelsesforordningen (19) – med henblik på at tage stilling til, om der skal anlægges sag om lægelig fejlbehandling – et formål, som den forelæggende ret med rette har fastslået er »legitimt« (20), giver således ikke den dataansvarlige ret til at afslå den registreredes anmodning.
30. På baggrund af det ovenstående foreslår jeg, at Domstolen besvarer det første præjudicielle spørgsmål med, at databeskyttelsesforordningens artikel 12, stk. 5, og artikel 15, stk. 3, skal fortolkes således, at den dataansvarlige er forpligtet til at udlevere en kopi af den registreredes personoplysninger til den registrerede, selv om den registrerede ikke anmoder om kopien til de formål, der er omhandlet i 63. betragtning til databeskyttelsesforordningen, men til andre formål, der ikke vedrører databeskyttelse.
B. Det andet spørgsmål: gratis adgang til kopier
31. Med det andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 23, stk. 1, tillader, at national lovgivning, der blev vedtaget, inden databeskyttelsesforordningen trådte i kraft, begrænser registreredes ret til gratis at få udleveret en kopi af de personoplysninger, som den dataansvarlige behandler, ved at kræve, at de registrerede skal dække de omkostninger, som den dataansvarlige har afholdt i denne forbindelse.
1. Princippet og undtagelsen
32. Indledningsvis skal det understreges, at der ikke er nogen tvivl om, at registrerede i henhold til databeskyttelsesforordningens regler i princippet har ret til at modtage en første kopi af de oplysninger, der er blevet behandlet, vederlagsfrit. Dette følger udtrykkeligt af databeskyttelsesforordningens artikel 12, stk. 5, hvorefter oplysninger, der gives i henhold til bl.a. forordningens artikel 15, »er gratis«, og at den dataansvarlige kun ved anmodninger, der er »åbenbart grundløse eller overdrevne, især fordi de gentages«, kan »opkræve et rimeligt gebyr under hensyntagen til de administrative omkostninger ved at give oplysninger eller meddelelser eller træffe den ønskede foranstaltning«.
33. Dette følger også, om end implicit, af databeskyttelsesforordningens artikel 15, stk. 3, som bestemmer, at »[f]or yderligere kopier, som den registrerede anmoder om, kan den dataansvarlige opkræve et rimeligt gebyr baseret på de administrative omkostninger« (21). Følgelig kan der selvsagt ikke opkræves et gebyr for den første kopi, som den registrerede anmoder om.
34. I henhold til databeskyttelsesforordningens artikel 23, stk. 1, kan EU-lovgivning eller national lovgivning »begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 12-22 […], når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til« et af de heri opregnede formål. Et af disse formål er i litra e) folkesundhed, et andet i litra i) andres rettigheder og frihedsrettigheder.
35. Efter at have fremhævet dette punkt vil jeg nu behandle det centrale aspekt, som dette spørgsmål rejser, og som efter min opfattelse skal besvares bekræftende.
2. Kravene i databeskyttelsesforordningens artikel 23, stk. 1
36. For det første er det ubestridt, at de registreredes ret til indsigt i deres personoplysninger – der er fastsat i databeskyttelsesforordningens artikel 15 – er en af de rettigheder, der er omfattet af anvendelsesområdet for databeskyttelsesforordningens artikel 23, stk. 1, og hvis rækkevidde følgelig kan begrænses ved hjælp af en EU-retlig foranstaltning eller en medlemsstats lovgivningsmæssige foranstaltning (22).
37. For det andet bør medlemsstaterne, hvis de generelt kan begrænse rækkevidden af retten til indsigt, f.eks. ved at udelukke den i visse situationer eller med hensyn til visse oplysninger, også have lov til – i overensstemmelse med princippet om a maiore ad minus (23) – at indføre en ganske beskeden begrænsning af udøvelsen af denne ret. Kun én form for adgang er begrænset (retten til at få en kopi af oplysningerne) og kun ved at gøre den betinget af, at de registrerede betaler de omkostninger, som de dataansvarlige har afholdt.
38. For det tredje er en begrænsning som den omhandlede, der udtrykkeligt er fastsat i en borgerlig lovbog eller et tilsvarende retligt instrument, fastsat »i en lovgivningsmæssig foranstaltning«, således som det kræves i databeskyttelsesforordningens artikel 23, stk. 1. Denne betingelse svarer til den betingelse, der er fastsat i chartrets artikel 52, stk. 1, hvorefter begrænsninger af de grundlæggende rettigheder skal være »fastsat ved lov«.
39. Jeg vil i denne forbindelse tilføje, at den omstændighed, at den omhandlede nationale lovgivning blev vedtaget, før databeskyttelsesforordningen trådte i kraft, efter min opfattelse er åbenbart irrelevant i spørgsmålet om, hvorvidt denne lovgivning opfylder de betingelser, der er fastsat i databeskyttelsesforordningens artikel 23, stk. 1. Som Kommissionen har anført, kræver hverken denne bestemmelse eller for den sags skyld nogen anden bestemmelse i databeskyttelsesforordningen, at EU’s eller medlemsstaternes restriktive foranstaltninger medtages i ad hoc-lovgivningsmæssige retsakter. Dette gælder så meget desto mere instrumenter, der vedtages efter databeskyttelsesforordningens ikrafttræden. Medlemsstaterne kan således både opretholde og indføre restriktioner, der opfylder kravene i databeskyttelsesforordningens artikel 23, stk. 1. En sammenligning af de forskellige sprogversioner af denne bestemmelse bekræfter denne opfattelse (24).
40. For det fjerde er det min opfattelse, at en national lovgivning som den i hovedsagen omhandlede, på grund af den i punkt 37 ovenfor omhandlede begrænsnings relativt harmløse karakter, åbenbart ikke krænker det »væsentligste indhold« af denne ret (et andet krav, der er fastsat i såvel databeskyttelsesforordningens artikel 23, stk. 1, som i chartrets artikel 52, stk. 1). Denne lovgivning fratager ikke fysiske personer nucleus durus i deres ret til databeskyttelse. Det er svært at forestille sig situationer – blandt dem, der er omfattet af den omhandlede nationale lovgivning – hvor disse omkostninger ville være så betydelige, at de registreredes forpligtelse til at bære dem i praksis ville svare til at nægte dem adgang.
41. For det femte forekommer det mig, at en national lovgivning som den i hovedsagen omhandlede, forfølger mål, der er tilladt i henhold til databeskyttelsesforordningens artikel 23, stk. 1, og mere generelt legitime i henhold til EU-retten.
42. Med forbehold af den forelæggende rets efterprøvelse forstår jeg, at den relevante nationale lovgivning har til formål at modvirke unødvendige eller useriøse anmodninger om kopier, dels for i) at beskytte lægernes økonomiske interesser, idet de ofte er enkeltmandsvirksomheder eller arbejder i små team, dels for ii) at sikre, at lægerne under udøvelsen af deres erhvervsmæssige aktiviteter bruger (det meste af) deres tid på deres centrale lægelige opgaver i stedet for at udføre administrative opgaver, der kan undgås.
43. Det andet mål er forbundet med formålet om at beskytte folkesundheden. I artikel 23, stk. 1, litra e), er der udtrykkeligt fastsat begrænsninger, der er nødvendige for at beskytte »vigtige målsætninger i forbindelse med beskyttelse af Unionens eller en medlemsstats generelle samfundsinteresser«, herunder »folkesundheden«. Dette er i overensstemmelse med chartrets artikel 35 med overskriften »Sundhedsbeskyttelse«, hvorefter »[e]nhver har ret til at få adgang til forebyggende sundhedsydelser og til at modtage lægehjælp på de betingelser, der er fastsat ved national lovgivning og praksis. Der skal sikres et højt sundhedsbeskyttelsesniveau ved fastlæggelsen og gennemførelsen af alle Unionens politikker og aktiviteter« (25).
44. Det første formål er ganske vist at beskytte visse personers (private) interesser – lægerne, der i den foreliggende situation handler som dataansvarlige – og er af økonomisk karakter. Ingen af disse elementer betyder dog, at en begrænsning af retten til indsigt principielt er uacceptabel.
45. Databeskyttelsesforordningens artikel 23, stk. 1, litra i), tillader nemlig begrænsninger, der er nødvendige for at beskytte »andres rettigheder og frihedsrettigheder«. Det er interessant, at den samme ordlyd også findes i databeskyttelsesforordningens artikel 15, stk. 4, og i 63. betragtning dertil, hvor det, netop med hensyn til retten til at få en kopi af de behandlede oplysninger, anføres, at denne ret »[ikke må] krænke andres rettigheder og frihedsrettigheder«.
46. Indledningsvis vil jeg gerne påpege, at databeskyttelsesforordningens artikel 15, stk. 4, artikel 23, stk. 1, litra i), og 63. betragtning dertil henviser til »andres rettigheder og frihedsrettigheder« (26) og ikke – som er tilfældet med andre bestemmelser i forordningen – til »tredjemands« »rettigheder og frihedsrettigheder« (27). Dette betyder også, logisk set, at begrænsninger, der er nødvendige for at beskytte visse af den dataansvarliges rettigheder, kan være acceptable i henhold til denne bestemmelse (28).
47. Dernæst er den omstændighed, at en af de interesser, der beskyttes af den omhandlede nationale lovgivning, er af økonomisk karakter, ikke i sig selv ensbetydende med, at den ikke kan begrunde begrænsninger i henhold til databeskyttelsesforordningens artikel 23, stk. 1. Ordlyden af fjerde betragtning til databeskyttelsesforordningen, er helt klar: »Retten til beskyttelse af personoplysninger er ikke en absolut ret [og skal] afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincippet. Denne forordning overholder alle de grundlæggende rettigheder og følger de frihedsrettigheder og principper, der anerkendes i chartret som forankret i traktaterne, navnlig […] frihed[en] til at oprette og drive egen virksomhed […]« (29).
48. I den forbindelse vil jeg minde om, at afsnit II i chartret (»friheder«) omfatter forskellige rettigheder af økonomisk karakter: Ud over den allerede nævnte frihed til at oprette og drive egen virksomhed (artikel 16) omfatter det også »erhvervsfrihed og ret til at arbejde« (artikel 15) samt »ejendomsret« (artikel 17). Grundlæggende rettigheder af økonomisk karakter kan ikke betragtes som »mindreværdige« i forhold til andre (civile, sociale eller politiske) rettigheder. Det er ikke nødvendigt at være bekendt med Ludwig von Mises værker (30) for at forstå, at alle disse rettigheder er uløseligt forbundet med hinanden: Udøvelsen af de enkelte rettigheder går nødvendigvis hånd i hånd, da det uundgåeligt vil påvirke den enkeltes mulighed for fuldt ud at udøve sine borgerlige, sociale og politiske rettigheder, hvis man fratager vedkommende de økonomiske rettigheder, der tilkommer denne – og vice versa.
49. Som den forelæggende ret har påpeget, opfordrer 13. betragtning til databeskyttelsesforordningen desuden medlemsstaterne til at »tage hensyn til mikrovirksomheders og små og mellemstore virksomheders særlige behov i forbindelse med anvendelsen af denne forordning«. Medlemsstaterne har således lov til at tage hensyn til de særlige karakteristika, der gør sig gældende for virksomheder af begrænset størrelse og selvstændige erhvervsdrivende – karakteristika, som ofte er kendetegnende for læger.
50. Jeg har derfor ingen problemer med at nå til den konklusion, at databeskyttelsesforordningens artikel 23, stk. 1, ikke kun tillader begrænsninger, der har til formål at beskytte folkesundheden, men også begrænsninger, der har til formål at beskytte visse grundlæggende økonomiske rettigheder for enkeltpersoner (31), herunder de rettigheder, der tilkommer dataansvarlige.
51. Endelig er national lovgivning, der begrænser retten til indsigt i personoplysninger, kun tilladt i henhold til databeskyttelsesforordningens artikel 23, stk. 1, hvis den kan anses for at være »en nødvendig og forholdsmæssig foranstaltning« for at beskytte en offentlig interesse blandt de deri opregnede. Denne bestemmelse kræver således – i overensstemmelse med et veletableret princip – at der foretages en »proportionalitetstest« af den begrænsning, der kræver en begrundelse.
3. Den nationale lovgivnings forholdsmæssighed
52. For at efterprøve, om restriktionen er forholdsmæssig, er det nødvendigt at undersøge tre kumulative krav. Foranstaltningen skal være egnet til at sikre opfyldelsen af det tilsigtede mål (»egnethed«) og må ikke gå ud over, hvad der er nødvendigt for at nå det (»nødvendighed«). Herudover skal den nationale foranstaltning være forholdsmæssig stricto sensu, dvs. foretage en rimelig afvejning mellem de interesser, der er på spil (den interesse, som staten forfølger med den pågældende foranstaltning, og interesserne hos de personer, som lider skade herved) (32).
53. Efter min opfattelse er vurderingen af, om specifikke nationale foranstaltninger, der fraviger generelle EU-retlige regler, er i overensstemmelse med proportionalitetsprincippet, en vurdering, som de nationale domstole er bedst i stand til at foretage. For at hjælpe den forelæggende ret med at løse den tvist, der verserer for den, vil jeg imidlertid fremsætte følgende betragtninger.
54. For det første er det min opfattelse, at en national lovgivning som den i hovedsagen omhandlede i princippet er egnet til at nå de mål, som den nationale lovgiver forfølger. Den synes således at kunne yde et effektivt bidrag til opfyldelsen af disse mål. Kravet om, at de registrerede skal betale de administrative omkostninger, der er forbundet med udarbejdelsen af de ønskede kopier, kan faktisk afholde dem fra at fremsætte unødvendige eller useriøse anmodninger om aktindsigt. Det betyder, at lægerne i mindre grad skal bruge deres tid og ressourcer på administrative opgaver, der kan undgås.
55. Dernæst er spørgsmålene om, hvorvidt en national lovgivning som den i hovedsagen omhandlede går ud over, hvad der er nødvendigt for at nå dens mål, og/eller om den skaber en rimelig balance mellem de berørte interesser, spørgsmål, der efter min opfattelse ikke er så enkle, og som derfor vil kræve, at den forelæggende ret foretager en mere dybtgående undersøgelse.
56. I denne forbindelse vil jeg endnu en gang (33) fremhæve den pågældende begrænsnings relativt harmløse karakter. Databeskyttelsesforordningens artikel 15 giver de registrerede forskellige former for adgang, og den omhandlede nationale lovgivning begrænser kun én af disse former (retten til at få en kopi af oplysningerne) og kun ved at gøre den betinget af, at de registrerede betaler de omkostninger, som den dataansvarlige har afholdt i den forbindelse.
57. Kommissionen har imidlertid udtrykt tvivl om nødvendigheden af den omhandlede nationale lovgivning, idet den har påpeget, at den finder anvendelse på alle anmodninger om aktindsigt i lægejournaler, uanset den pågældende læges faglige status og type af virksomhed. Vedkommende kan drive selvstændig virksomhed, enten alene eller i et lægehus med flere læger eller som ansat, f.eks. på et offentligt hospital eller i en stor privat klinik.
58. Jeg medgiver, at visse af Kommissionen argumenter har en vis vægt. Det kan nemlig være korrekt, at ikke alle de situationer, der er omfattet af den omhandlede nationale lovgivning, er helt sammenlignelige med henblik på databeskyttelsesforordningens artikel 23, stk. 1, litra e) og i). Eksempelvis har store lægepraksisser, hospitaler og private klinikker normalt specialiseret personale og udstyr til at udføre alle administrative opgaver i forbindelse med levering af lægelige ydelser. Det fremgår således ikke klart, at en national lovgivning som den omhandlede også i disse tilfælde har den virkning, at lægerne fritages for at afholde unødvendige udgifter eller at bruge deres værdifulde tid på at udføre administrative opgaver, der kan undgås.
59. I modsætning til læger, der er forpligtet til at anvende offentligt fastsatte takster, kan læger, der frit kan fastsætte deres takster på det niveau, de finder passende, desuden, hvis de finder det hensigtsmæssigt, få dækket meromkostningerne ved at hæve deres takster og derved »fordele« disse omkostninger, så alle deres patienter bidrager til at bære dem. Som følge heraf er det muligt, at nogle læger kan kræve en højere grad af »lovmæssig beskyttelse« end andre.
60. På den anden side er jeg imidlertid ikke sikker på, at en regel, der ville behandle læger og dermed patienter forskelligt, alt efter om lægerne f.eks. a) arbejder som selvstændige eller som ansatte, b) arbejder i – for at bruge ordlyden i 13. betragtning til databeskyttelsesforordningen – »mikrovirksomheder og små og mellemstore virksomheder« eller for store hospitaler og klinikker og/eller c) er bundet af offentlige takster eller frit kan fastsætte deres takster, ville være hverken praktisk eller rimelig og retfærdig.
61. Det er ikke nogen let opgave at fastsætte de kriterier, der kunne gøre det muligt at sondre mellem de situationer, hvor patienterne skal bære omkostningerne, og de situationer, hvor det er lægerne, der skal bære dem, med henblik på bedst muligt at nå de mål, som den nationale lovgiver har fastsat. Endnu vigtigere er det, at en sådan differentiering ville medføre en vis kompleksitet (og eventuelt være en kilde til forvirring) for så vidt angår situationer, som det, på grund af de normalt ret begrænsede beløb, der er tale om, sandsynligvis ville være lettere at regulere med en klar regel om automatisk anvendelse.
62. Som Domstolen har fastslået, kan medlemsstaterne ikke afskæres fra muligheden for at forfølge mål af almen interesse ved at indføre almene og simple regler, som brugerne let kan forstå og anvende, og som de kompetente myndigheder nemt kan forvalte og håndhæve (34). Mere generelt kan medlemsstaterne, som jeg har anført i et nyligt forslag til afgørelse, ikke forpligtes til at vedtage alternative foranstaltninger – af proportionalitetshensyn – hvis gennemførlighed eller effektivitet er usikker, eller som ville medføre en uacceptabel (organisatorisk eller økonomisk) byrde for dem (35).
63. Endelig kan det ikke udelukkes, at en regel med en mere begrænset rækkevidde end den i hovedsagen omhandlede vil have en utilsigtet konsekvens. Den kunne tilskynde patienterne til at henvende sig til større klinikker (der leverer gratis kopier af patientjournaler) i stedet for til mindre lægeklinikker (som kræver yderligere betaling for sådanne kopier).
64. Der kan nemlig også rejses tvivl om den generelle retfærdighed eller, med andre ord, rimelighed af alternative regler. Set ud fra lægernes perspektiv kan en skræddersyet regel, der kun beskytter uafhængige læger og mindre praksisser mod sådanne omkostninger, synes rimelig, idet den ville beskytte de »svageste« erhvervsdrivende. Men set ud fra patienternes perspektiv kan den samme foranstaltning se anderledes ud. I praksis vil det nemlig være de patienter, der benytter sig af lægelige ydelser fra store hospitaler og klinikker, navnlig dem, hvor lægerne frit kan fastsætte deres takster på det niveau, som de finder passende, der vil drage fordel af en sådan regel. Dette vil være på trods af, at i) disse patienter ofte er mere velhavende end de patienter, der benytter sig af lokale selvstændige læger, og ii) at udgifterne til kopier af patientjournalerne sandsynligvis udgør en meget lille (eventuelt ubetydelig) del af de samlede udgifter, som de pågældende patienter har afholdt for de lægelige ydelser, i modsætning til, hvad der er tilfældet for patienter, der søger lægehjælp inden for rammerne af det nationale sundhedssystem (typisk gratis eller mod betaling af et mindre gebyr). Det kunne således hævdes, at beskyttelsen af de »svageste erhvervsdrivende« ville være på bekostning af de »svageste forbrugere«.
65. På baggrund af det ovenstående er jeg i modsætning til Kommissionen ikke overbevist om, at den ensartede tilgang baseret på »one size fits all«, som den tyske regering har valgt, går ud over, hvad der er nødvendigt for at nå de mål, der forfølges med den pågældende nationale lovgivning. Jeg har ikke kunnet identificere nogen alternativ foranstaltning, der er mindre restriktiv i forhold til fysiske personers ret til beskyttelse af oplysninger, samtidig med at den lige så effektivt beskytter de interesser, som den omhandlede nationale lovgivning har til formål at beskytte.
66. Jeg kan heller ikke se noget, der tyder på, at den tyske regering ikke har formået at finde den rette balance mellem de forskellige interesser, der er på spil.
67. Det kan ganske vist hævdes, at det er EU-lovgiver, der har foretaget afvejningen mellem de forskellige interesser, der står på spil med hensyn til udlevering af kopier af personoplysninger: Den dataansvarlige skal stille den første kopi til rådighed gratis og kan kun opkræve et gebyr for uforholdsmæssige anmodninger og/eller yderligere kopier. Artikel 23, stk. 1, i og 13. betragtning til databeskyttelsesforordningen er imidlertid affattet i en bred ordlyd, som ikke kan fortolkes indskrænkende. 63. betragtning, der specifikt henviser til de registreredes ret til indsigt i deres »helbredsoplysninger«, indeholder heller ingen specifik henvisning i denne henseende.
68. Endnu vigtigere er det, at man ikke kan se bort fra, at Unionen på området for beskyttelse og forbedring af menneskers sundhed kun har en understøttende kompetence (36). Det fremgår af Domstolens faste praksis, at det tilkommer medlemsstaterne at træffe bestemmelse om det niveau for beskyttelsen af den offentlige sundhed, som de ønsker at sikre, og hvorledes dette niveau skal nås. Da dette niveau kan veksle fra den ene medlemsstat til den anden, må der anerkendes en vis skønsbeføjelse for medlemsstaterne (37).
69. Efter at have afvejet de forskellige interesser, der var på spil, besluttede den tyske lovgiver, at der for så vidt angår patienters anmodninger til læger om kopier af patientjournaler, var grund til at antage, at de afholdte udgifter skulle afholdes af de registrerede og ikke af de dataansvarlige. Jeg mener, at der er tale om en politisk beslutning, som, idet den ikke er åbenbart irrationel eller usandsynlig, henhører under den pågældende medlemsstats skønsmargen. Under alle omstændigheder tilkommer det den forelæggende ret og ikke Domstolen at efterprøve dette valg.
70. Men når det er sagt, er der efter min opfattelse et element, som den forelæggende ret bør undersøge. I situationer som dem, der er omfattet af den omhandlede nationale lovgivning, er det efter min opfattelse bydende nødvendigt, at de omkostninger, som lægerne kan kræve godtgjort af patienterne, er strengt begrænset til de faktiske omkostninger, der er forbundet med at udarbejde og stille de ønskede kopier til rådighed. Det betyder, at kun de udgifter, der vedrører materialet (f.eks. papir, toner til printere eller kopimaskiner og/eller USB-stik osv.), samt den arbejdskraft, der kræves til dette formål, kan kræves godtgjort. Disse omkostninger kan efter min opfattelse ikke inkludere nogen som helst fortjeneste for de erhvervsdrivende (38). I betragtning af at dokumenter og arkiver i dag er digitaliserede, ville det overraske mig (og således vække mistanke), hvis det beløb, som lægerne normalt opkræver i denne forbindelse, er større end en håndfuld euro.
71. På baggrund af det ovenstående foreslår jeg, at Domstolen besvarer det andet præjudicielle spørgsmål med, at databeskyttelsesforordningens artikel 23, stk. 1, skal fortolkes således, at den tillader national lovgivning, hvorefter patienter, der anmoder om en kopi af deres personoplysninger, der er indeholdt i en patientjournal, er forpligtet til at godtgøre lægerne for de afholdte udgifter, forudsat at begrænsningen i retten til indsigt, i lyset af alle relevante omstændigheder, anses for nødvendig og står i et rimeligt forhold til formålene om beskyttelse af folkesundheden og friheden til at oprette og drive egen virksomhed. Det tilkommer navnlig den nationale ret at efterprøve, om de omkostninger, som lægerne kan kræve godtgjort af patienterne, er strengt begrænset til de faktiske omkostninger, der er afholdt i denne forbindelse.
C. Det tredje spørgsmål: begrebet »kopi af oplysningerne«
72. Endelig ønsker den forelæggende ret med det tredje spørgsmål oplyst, om udtrykket »kopi af de personoplysninger, der behandles« i databeskyttelsesforordningens artikel 15, stk. 3, første punktum, i forholdet mellem læge og patient skal fortolkes således, at det giver den registrerede en generel ret til at få en fuldstændig kopi af dokumenterne i dennes patientjournal.
73. Det vigtigste spørgsmål, som dette spørgsmål rejser, blev – efter min opfattelse overbevisende – behandlet af generaladvokat Pitruzzella i hans nylige forslag til afgørelse i F.F.-sagen (39).
74. I den sag anmodede den forelæggende ret Domstolen om at præcisere rækkevidden af den ret til indsigt, som de registrerede er tillagt ved databeskyttelsesforordningens artikel 15. For at besvare dette spørgsmål drøftede generaladvokat Pitruzzella bl.a. begrebet »kopi« som omhandlet i databeskyttelsesforordningens artikel 15, stk. 3 og 4. På grundlag af en ordlyds-, sammenhængs- og formålsfortolkning af bestemmelsen nåede generaladvokat Pitruzzella frem til følgende konklusioner, som er relevante for den foreliggende sag.
75. For det første skal begrebet »kopi« i databeskyttelsesforordningens artikel 15, stk. 3 og 4 forstås som »en uændret reproduktion i en fysisk og permanent, letforståelig form af de personoplysninger, som den registrerede har anmodet om udlevering af, som gør det muligt for den registrerede effektivt at udøve retten til indsigt i sine personoplysninger, således at denne opnår fuldt kendskab til alle de behandlede personoplysninger«. Han tilføjede, at »kopiens nøjagtige form skal bestemmes med udgangspunkt i kendetegnene ved det konkrete tilfælde, og navnlig arten af de personoplysninger, hvori der anmodes om indsigt, og den registreredes behov« (40).
76. For det andet giver databeskyttelsesforordningens artikel 15, stk. 3, »ikke den registrerede en generel ret til at få udleveret en delvis eller fuldstændig kopi af det dokument, som indeholder den registreredes personoplysninger, eller et uddrag af en database i tilfælde af, at personoplysningerne behandles i en sådan«. Når dette er sagt, præciserede han ligeledes, at »[d]enne bestemmelse udelukker […] ikke, at det kan være nødvendigt at udlevere til den registrerede dele af dokumenter, hele dokumenter eller uddrag af databaser, når dette er nødvendigt for at sikre fuld forståelighed af de behandlede personoplysninger, hvori der er anmodet om indsigt« (41).
77. Af procesøkonomiske hensyn gengiver jeg her ikke de grunde, der førte ham til at indtage dette standpunkt. Det er tilstrækkeligt at konstatere, at jeg fuldt ud deler hans synspunkter på dette punkt. Databeskyttelsesforordningen er trods alt ikke en retsakt om aktindsigt, men om databeskyttelse. Dens hovedformål er følgelig at sikre indsigt i oplysninger og ikke i dokumenter, der indeholder oplysninger. Sidstnævnte indebærer i nogle tilfælde ganske vist førstnævnte, men det er ikke altid tilfældet.
78. Når det er sagt, forekommer det mig, at det i overensstemmelse med gennemsigtighedsprincippet (42) og kravet om, at oplysningerne skal gives i en »kortfattet, gennemsigtig, letforståelig og lettilgængelig form« (43), er muligt, at retten til at få en kopi af de oplysninger, der behandles, for så vidt angår dokumenter, der er indeholdt i patientjournaler, ofte kan kræve en ret til at få udleveret en (delvis eller fuldstændig) kopi af de originale dokumenter. Navnlig når det drejer sig om resultaterne af analyser eller test (som typisk omfatter mange tekniske data og/eller billeder), mener jeg, at det kan skabe en risiko for, at visse relevante data udelades (44) eller indberettes ukorrekt (45) eller under alle omstændigheder gør det vanskeligere for de registrerede (dvs. patienterne) at kontrollere, at de pågældende oplysninger er korrekte og fuldstændige, hvis læger (eller deres ansatte) gives mulighed for at sammenfatte eller sammenstille disse oplysninger med henblik på at levere dem i aggregeret form.
79. Dette er sandsynligvis grunden til, at det, som allerede nævnt, fremgår udtrykkeligt af 63. betragtning til databeskyttelsesforordningen, at retten til indsigt i personoplysninger »omfatter registreredes ret til indsigt i deres helbredsoplysninger, f.eks. data i deres lægejournaler om diagnoser, undersøgelsesresultater, lægelige vurderinger samt enhver behandling og ethvert indgreb, der er foretaget«.
80. Det fremgår således, at EU-lovgiver selv har fremhævet vigtigheden af, at fysiske personers indsigt i personoplysninger om deres helbred ikke blot er letforståelig, men også så fuldstændig og præcis som muligt. Samtidig er det klart, at lægejournaler kan omfatte en række dokumenter, som ikke indeholder patienters personoplysninger (f.eks. videnskabelige artikler om sygdomme eller lægebehandlinger). Det er åbenbart, at patienterne ikke har ret til indsigt i de oplysninger, der er indeholdt i sådanne artikler, og følgelig heller ikke har ret til at få en kopi heraf på grundlag af databeskyttelsesforordningen.
81. I denne henseende vil jeg nævne, at den omhandlede nationale lovgivning – som, så vidt jeg har forstået, er genstand for de kompetente nationale myndigheders drøftelser med henblik på en reform heraf (46), kan give patienterne en ret til indsigt i lægejournaler og navnlig til at få en kopi af de dokumenter, der er indeholdt heri, som går ud over den ret, der er anerkendt i databeskyttelsesforordningen.
82. Jeg kan ikke se nogen grund til, at dette ikke skulle være muligt i henhold til EU-retten, da det vil falde ind under et retsområde, der ikke er reguleret på EU-plan. Så vidt jeg kan se, er der heller ingen åbenlys konflikt med databeskyttelsesforordningens regler. Det er dog næppe nødvendigt at påpege, at en ret til indsigt i lægejournaler, der går ud over den ret, der er anerkendt i databeskyttelsesforordningen, i den henseende kun vil være underlagt national lovgivning. Det betyder, at det er op til den nationale lovgivning at fastlægge omfanget af denne ret (f.eks. hvilken type dokumenter der er tale om) og den måde, hvorpå der skal gives indsigt (f.eks. gratis eller mod godtgørelse af de afholdte omkostninger).
83. Jeg foreslår derfor, at Domstolen besvarer det tredje spørgsmål således, at udtrykket »kopi af personoplysninger, der behandles« i databeskyttelsesforordningens artikel 15, stk. 3, i forholdet mellem læge og patient ikke kan fortolkes således, at det giver den registrerede en generel ret til at få en fuldstændig kopi af samtlige dokumenter i dennes patientjournal. Dette udelukker ikke, at den dataansvarlige kan være nødt til at give den registrerede en delvis eller fuldstændig kopi af visse dokumenter. Det gælder f.eks., hvis en kopi af dokumentet er nødvendig for at sikre, at de pågældende oplysninger er forståelige, og at den registrerede er i stand til at kontrollere, at oplysningerne er fuldstændige og korrekte.
V. Forslag til afgørelse
84. På baggrund af det ovenstående foreslår jeg, at Domstolen besvarer de af Bundesgerichtshof (forbundsdomstol, Tyskland) forelagte præjudicielle spørgsmål således:
»Artikel 12, stk. 5, og artikel 15, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at den dataansvarlige har pligt til at udlevere en kopi af de personoplysninger om den registrerede, som den dataansvarlige har behandlet, selv om den registrerede ikke anmoder om udlevering af kopien til de formål, der er omhandlet i 63. betragtning til databeskyttelsesforordningen, men til et andet formål, som ikke vedrører databeskyttelse.
Databeskyttelsesforordningens artikel 23, stk. 1, skal fortolkes således, at den tillader en national lovgivning, hvorefter patienter, der anmoder om at få en kopi af deres personoplysninger i patientjournaler, skal godtgøre lægen for de afholdte omkostninger, forudsat at begrænsningen af retten til indsigt i lyset af alle relevante omstændigheder er nødvendig og står i et rimeligt forhold til formålet om at beskytte folkesundheden og lægernes frihed til at oprette og drive egen virksomhed. Det tilkommer navnlig den nationale ret at efterprøve, om de omkostninger, som lægerne kan kræve godtgjort af patienterne, er strengt begrænset til de faktiske omkostninger, der er afholdt i denne forbindelse.
I forholdet mellem læge og patient kan udtrykket »kopi af personoplysninger, der behandles« i databeskyttelsesforordningens artikel 15, stk. 3, ikke fortolkes således, at det giver den registrerede en generel ret til at få en fuldstændig kopi af samtlige dokumenter i dennes patientjournal. Den dataansvarlige skal dog give den registrerede en delvis eller fuldstændig kopi af dokumenterne, når det er nødvendigt for at sikre, at de udleverede oplysninger er forståelige, og at den registrerede er i stand til at kontrollere, at de afgivne oplysninger er fuldstændige og korrekte.«