C-526/24: När blir en begäran om tillgång enligt GDPR ett missbruk?

Se som Markdown
6 minuter läsning • Felix Morling • DATASKYDDSFöRORDNINGEN • 22 mars 2026
  1. Bakgrunden i C-526/24
  2. Kan en första begäran vara orimlig?
  3. Vad lägger domstolen vikt vid?
  4. Vad innebär domen för skadestånd enligt artikel 82?
  5. Praktiska lärdomar för företag
  6. Digital Omnibus kan ändra rättsläget
  7. Var går gränsen?

EU-domstolens dom i mål C-526/24, Brillen Rottler GmbH & Co. KG v TC., rör en fråga som många företag känner igen i praktiken: var går gränsen mellan legitim utövning av registrerades rättigheter och ett strategiskt utnyttjande av GDPR för att driva skadeståndsanspråk? För verksamheter som hanterar sådana begäranden är det viktigt att ha en tydlig process och i tveksamma fall ta stöd av en dataskyddsjurist.

Domen är intressant därför att den både berör rätten till tillgång enligt artikel 15 GDPR och frågan om skadestånd enligt artikel 82. Den visar också att tröskeln är hög för att avfärda en första begäran som orimlig, även när omständigheterna väcker frågor om motivet bakom begäran.

Bakgrunden i C-526/24

I målet hade en privatperson registrerat sig för ett nyhetsbrev hos det tyska bolaget Brillen Rottler. Kort därefter begärde personen tillgång till sina personuppgifter enligt artikel 15 GDPR. Bolaget ansåg att begäran utgjorde rättsmissbruk och motsatte sig att tillmötesgå den inom tidsfristen. Tvisten kom sedan att kretsa kring två frågor: om en första begäran om information kan vara orimlig enligt artikel 12.5 GDPR och om en överträdelse av artikel 15 i sig kan ge rätt till skadestånd enligt artikel 82.

Kan en första begäran vara orimlig?

EU-domstolen utgår från att artikel 12.5 GDPR nämner repetitiva framställningar som ett exempel på när en begäran kan vara orimlig. Det innebär dock inte att bara upprepade begäranden kan omfattas. Även en första begäran kan i princip vara orimlig, men det krävs mycket för det.

Domstolen beskriver en missbruksbedömning i två led. Dels måste det finnas objektiva omständigheter som visar att syftet med rätten till tillgång inte faktiskt eftersträvas. Dels måste det finnas en otillbörlig avsikt att skapa förutsättningar för en förmån, exempelvis ett skadeståndsanspråk, på ett konstlat sätt.

Att en person tidigare har skickat många liknande begäranden och därefter krävt ersättning kan alltså vara en indikation. Men det räcker normalt inte ensamt. Bedömningen måste göras utifrån omständigheterna i det enskilda fallet.

Vad lägger domstolen vikt vid?

Domstolen pekar på flera omständigheter som kan vara relevanta vid bedömningen av om begäran är orimlig:

  • att den registrerade frivilligt lämnat ut sina personuppgifter,

  • vilket syfte det hade,

  • hur kort tid som gått mellan utlämnandet och begäran om tillgång, och

  • hur den registrerade i övrigt har agerat.

Det centrala är alltså inte hur många tidigare krav personen riktat mot andra aktörer, utan om den aktuella begäran framstår som ett genuint utövande av en rättighet eller som ett konstlat led i ett upplägg för att begära ersättning.

Vad innebär domen för skadestånd enligt artikel 82?

EU-domstolen klargör också att skada enligt artikel 82 GDPR inte enbart behöver ha uppkommit genom själva behandlingen av personuppgifter i snäv mening. Även en nekad utövande av rättigheter enligt kapitel III i GDPR, däribland artikel 15, kan i princip ligga till grund för ersättning.

Det betyder dock inte att varje felaktig hantering automatiskt leder till skadestånd. Den registrerade måste fortfarande visa tre saker:

  • att en överträdelse faktiskt har skett,

  • att en verklig skada har uppkommit, och

  • att det finns ett orsakssamband mellan överträdelsen och skadan.

Domstolen öppnar samtidigt för att orsakssambandet kan brytas om den registrerades eget agerande är den avgörande orsaken till den påstådda skadan. I praktiken är det en viktig markering mot upplägg där någon medvetet försöker skapa ett ersättningsanspråk.

Praktiska lärdomar för företag

För personuppgiftsansvariga innebär domen inte något generellt frikort att avvisa obekväma eller misstänkta begäranden. Tvärtom tyder resonemanget på att kraven är högt ställda, särskilt när det gäller en första begäran om tillgång.

Företag bör därför vara försiktiga med att hävda missbruk utan ett väl dokumenterat underlag. En alltför snabb avvisning kan i sig skapa en större rättslig risk.

  • Gör alltid en individuell bedömning av den aktuella begäran.

  • Dokumentera vilka konkreta omständigheter som talar för att begäran kan vara orimlig.

  • Skilj mellan misstanke och bevisning, tidigare mönster är inte nödvändigtvis tillräckligt.

  • Säkerställ att interna rutiner för artikel 15-begäranden fungerar inom GDPR:s tidsfrister.

  • Överväg juridisk bedömning innan begäran avslås med hänvisning till rättsmissbruk.

Digital Omnibus kan ändra rättsläget

Domen kommer samtidigt som frågan också diskuteras om “Digital Omnibus”. I underlaget till de initiativ till förenkling som ligger på bordet finns förslag om att tydligare hantera situationer där rätten till tillgång används för andra syften än dataskydd.

Det framtida rättsläget kan därför komma att påverkas inte bara av domstolspraxis utan också av lagstiftningsutvecklingen. Just nu bör dock utgångspunkten vara att C-526/24 inte sänker skyddsnivån för registrerades rättigheter, utan snarare tydliggör att missbruk kan beaktas i undantagsfall när det finns tillräckligt starka omständigheter.

Var går gränsen?

Det mest praktiskt användbara svaret från C-526/24 är att gränsen inte går vid hur aktiv eller processbenägen en registrerad tidigare har varit. Gränsen går i stället vid om den aktuella begäran, bedömd utifrån objektiva omständigheter, framstår som ett försök att skapa ett skadeståndsanspråk snarare än ett verkligt utövande av rätten till tillgång.

För företag innebär det ett behov av balans: rättighetsbegäranden ska tas på allvar, men det finns också utrymme att invända mot verkligt missbruk när omständigheterna tydligt motiverar det.

Morling Consulting hjälper våra dataskyddsjurister företag att hantera registrerades rättigheter, bygga robusta interna processer och bedöma risker i gränslandet mellan dataskydd, tvist och compliance.

Porträtt av Felix Morling, jurist och legal consultant – författare till inlägget.

Artikel skriven av:

Felix Morling

Relaterade inlägg

Bilden visar en man i kostym framför ett nätverk som symboliserar juridiken.

14 april 2026

Så hanterar fintech-bolag känsliga personuppgifter rätt
Läs mer
bilden visar två jurister vid ett dokument och juridiska symboler.

8 april 2026

När är avtal en giltig rättslig grund enligt GDPR?
Läs mer
Bilden visar två jurister som står vid en jordglob med varningstecken som representerar personuppgiftsincidenter.

25 mars 2026

Incidentrapportering enligt biträdesavtal – vad gäller i praktiken?
Läs mer