–

RW, genom R. Haupt, Rechtsanwalt,

–

Österreichische Post AG, genom R. Marko, Rechtsanwalt,

–

Österrikes regering, genom G. Kunnert, A. Posch och J. Schmoll, samtliga i egenskap av ombud,

–

Tjeckiens regering, genom M. Smolek och J. Vláčil, båda i egenskap av ombud,

–

Italiens regering, genom G. Palmieri, i egenskap av ombud, biträdd av M. Russo, avvocato dello Stato,

–

Lettlands regering, genom J. Davidoviča, I. Hūna och K. Pommere, samtliga i egenskap av ombud,

–

Rumäniens regering, genom L.-E. Baţagoi, E. Gane och A. Wellman, samtliga i egenskap av ombud,

–

Sveriges regering, genom H. Eklinder, J. Lundberg, C. Meyer-Seitz, A.M. Runeskjöld, M. Salborn Hodgson, R. Shahsavan Eriksson, H. Shev och O. Simonsson, samtliga i egenskap av ombud,

–

Europeiska kommissionen, genom F. Erlbacher och H. Kranenborg, båda i egenskap av ombud,

1

Begäran om förhandsavgörande avser tolkningen av artikel 15.1 c i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen).

2

Begäran har framställts i ett mål mellan RW och Österreichische Post AG (nedan kallat Österreichische Post) angående en begäran om tillgång till personuppgifter enligt artikel 15.1 c i dataskyddsförordningen.

3

Skälen 4, 9, 10, 39, 63 och 74 i dataskyddsförordningen har följande lydelse:

…

…

…

…

4

Artikel 1 i dataskyddsförordningen har rubriken ”Syfte”. I punkt 2 i den artikeln föreskrivs följande:

”Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.”

5

I artikel 5 i dataskyddsförordningen, med rubriken ”Principer för behandling av personuppgifter”, föreskrivs följande:

”1.   Vid behandling av personuppgifter ska följande gälla:

…

2.   Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

6

I artikel 12 i dataskyddsförordningen, med rubriken ”Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter”, föreskrivs följande:

”1.   Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information som avses i artiklarna 13 och 14 och all kommunikation enligt artiklarna 15–22 och 34 vilken avser behandling i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.

2.   Den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter i enlighet med artiklarna 15–22. I de fall som avses i artikel 11.2 får den personuppgiftsansvarige inte vägra att tillmötesgå den registrerades begäran om att utöva sina rättigheter enligt artiklarna 15–22, om inte den personuppgiftsansvarige visar att han eller hon inte är i stånd att identifiera den registrerade.

…

5.   Information som tillhandahållits enligt artiklarna 13 och 14, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 15–22 och 34 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen

Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.

…”

7

I artikel 13 i dataskyddsförordningen, med rubriken ”Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade”, föreskrivs följande i punkt 1:

”Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande:

…

…”

8

I artikel 14 i dataskyddsförordningen, med rubriken ”Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade”, föreskrivs följande i punkt 1:

”Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige förse den registrerade med följande information:

…

…”

9

I artikel 15 i dataskyddsförordningen, med rubriken ”Den registrerades rätt till tillgång”, föreskrivs följande:

”1.   Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:

2.   Om personuppgifterna överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 46 har vidtagits vid överföringen.

3.   Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.

4.   Den rätt till en kopia som avses i punkt 3 ska inte inverka menligt på andras rättigheter och friheter.”

10

I artikel 16 i dataskyddsförordningen, med rubriken ”Rätt till rättelse”, föreskrivs följande:

”Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.”

11

Artikel 17 dataskyddsförordningen., med rubriken ”Rätt till radering (’rätten att bli bortglömd’)”, har följande lydelse:

”1.   Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

2.   Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter.

…”

12

Artikel 18 i dataskyddsförordningen har rubriken ”Rätt till begränsning av behandling”. I punkt 1 i artikeln anges följande:

”Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om något av följande alternativ är tillämpligt:

…”

13

I artikel 19 i dataskyddsförordningen föreskrivs följande:

”Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser eller radering av personuppgifter eller begränsningar av behandling som skett i enlighet med artiklarna 16, 17.1 och 18, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Den personuppgiftsansvarige ska informera den registrerade om dessa mottagare på den registrerades begäran.”

14

I artikel 21 i dataskyddsförordningen, med rubriken ”Rätt att göra invändningar”, föreskrivs följande:

”1.   Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f, inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

2.   Om personuppgifterna behandlas för direkt marknadsföring ska den registrerade ha rätt att när som helst invända mot behandling av personuppgifter som avser honom eller henne för sådan marknadsföring, vilket inkluderar profilering i den utsträckning som denna har ett samband med sådan direkt marknadsföring.

3.   Om den registrerade invänder mot behandling för direkt marknadsföring ska personuppgifterna inte längre behandlas för sådana ändamål.

4.   Senast vid den första kommunikationen med den registrerade ska den rätt som avses i punkterna 1 och 2 uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information.

5.   När det gäller användningen av informationssamhällets tjänster, och trots vad som sägs i [Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37)], får den registrerade utöva sin rätt att göra invändningar på automatiserat sätt med användning av tekniska specifikationer.

6.   Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.”

15

I artikel 79 i dataskyddsförordningen, med rubriken ”Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde”, föreskrivs följande i punkt 1:

”Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.”

16

I artikel 82 i dataskyddsförordningen, med rubriken ”Ansvar och rätt till ersättning”, föreskrivs följande i punkt 1:

”Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.”

17

Den 15 januari 2019 vände sig RW till Österreichische Post för att, med stöd av artikel 15 i dataskyddsförordningen, få tillgång till de personuppgifter som rörde honom eller som tidigare hade lagrats av detta företag och, för det fall uppgifter lämnats ut till tredje man, identiteten på dessa mottagare.

18

Som svar på denna begäran angav Österreichische Post endast att företaget använder sig av uppgifter, i den mån det är rättsligt tillåtet, inom ramen för sin verksamhet som utgivare av telefonkataloger och att den erbjuder dessa personuppgifter till företagskunder för marknadsföringsändamål. Österreichische Post hänvisade för övrigt till en webbplats för mer information och angående andra ändamål för behandlingen av uppgifterna. Företaget lämnade inte ut identiteten på de konkreta mottagarna av uppgifterna till RW.

19

RW väckte talan mot Österreichische Post vid österrikisk domstol och yrkade att företaget skulle föreläggas att lämna ut, bland annat, identiteten på mottagaren eller mottagarna av de utlämnade personuppgifterna.

20

Under det domstolsförfarande som inletts informerade Österreichische Post RW om att dennes personuppgifter hade behandlats för marknadsföringsändamål och överförts till kunder, däribland reklamföretag verksamma på området försäljning via postorder respektive försäljning i butik, it-företag, adressförlag och sammanslutningar såsom välgörenhetsorganisationer, icke-statliga organisationer eller politiska partier.

21

Domstolarna som prövade talan i första och andra instans ogillade RW:s talan med motiveringen att artikel 15.1 c i dataskyddsförordningen, i den del det där hänvisas till ”mottagare eller kategorier av mottagare”, ger den personuppgiftsansvarige möjlighet att endast upplysa den registrerade om kategorierna av mottagare, utan att behöva ange namnen på de konkreta mottagarna av personuppgifterna.

22

RW överklagade till Oberster Gerichtshof (Högsta domstolen, Österrike), som är den hänskjutande domstolen.

23

Nämnda domstol vill få klarhet i hur artikel 15.1 c i dataskyddsförordningen ska tolkas, eftersom det av ordalydelsen i denna bestämmelse inte klart framgår om den ger den registrerade rätt att få tillgång till information om de konkreta mottagarna av de uppgifter som lämnats ut eller om den personuppgiftsansvarige har ett utrymme för skönsmässig bedömning när det gäller hur vederbörande avser att efterkomma en begäran om tillgång till information om mottagarna.

24

Den hänskjutande domstolen har emellertid påpekat att bestämmelsens ratio legis snarare talar för en tolkning enligt vilken det är den registrerade som kan välja att begära information om kategorier av mottagare eller om de konkreta mottagarna av vederbörandes personuppgifter. Enligt den hänskjutande domstolen skulle en motsatt tolkning allvarligt undergräva effektiviteten hos de rättsmedel som den registrerade har till sitt förfogande för att skydda sina uppgifter. För det fall de personuppgiftsansvariga kunde välja mellan att till de registrerade ange vilka de konkreta mottagarna är eller endast ange mottagarkategorierna, kan det nämligen befaras att nästan ingen av de personuppgiftsansvariga i praktiken kommer att tillhandahålla information om de konkreta mottagarna.

25

Vidare kan det noteras att i motsats till artiklarna 13.1 e och 14.1 e i dataskyddsförordningen, i vilka det föreskrivs en skyldighet för den personuppgiftsansvarige att tillhandahålla de uppgifter som dessa bestämmelser avser, betonas i artikel 15.1 i denna förordning räckvidden av den registrerades rätt till tillgång. Enligt den hänskjutande domstolen tyder även detta på att den registrerade har rätt att välja mellan att begära information om konkreta mottagare eller om mottagarkategorier.

26

Slutligen har den hänskjutande domstolen tillagt att den rätt till tillgång som föreskrivs i artikel 15.1 i dataskyddsförordningen inte enbart avser personuppgifter som för närvarande behandlas utan även samtliga uppgifter som behandlats tidigare. Härvidlag har den hänskjutande domstolen preciserat att bedömningarna i dom av den 7 maj 2009, Rijkeboer (C‑553/07, EU:C:2009:293), vilka bygger på den rätt till tillgång som föreskrivs i direktiv 95/46, kan överföras på den rätt till tillgång som avses i artikel 15 i dataskyddsförordningen. Detta gäller i än högre grad eftersom det av skälen 9 och 10 i dataskyddsförordningen framgår att unionslagstiftaren inte har avsett att sänka skyddsnivån jämfört med nämnda direktiv.

27

Mot denna bakgrund beslutade Oberster Gerichtshof (Högsta domstolen, Österrike) att vilandeförklara målet och ställa följande fråga till EU-domstolen:

”Ska artikel 15.1 c i [dataskyddsförordningen] tolkas på så vis att den registrerades rätt till tillgång till information är begränsad till mottagarkategorier när några specifika mottagare ännu inte fått del av personuppgifterna, men att [den registrerades] rätt till tillgång till information tvunget måste omfatta även mottagarna av personuppgifterna när personuppgifterna redan har lämnats ut?”

28

Den hänskjutande domstolen har ställt sin fråga för att få klarhet i huruvida artikel 15.1 c i dataskyddsförordningen ska tolkas så, att rätten för den registrerade att få tillgång till personuppgifter som rör honom eller henne, vilken föreskrivs i denna bestämmelse, innebär en skyldighet för den personuppgiftsansvarige att, när uppgifterna har lämnats ut eller ska lämnas ut till mottagare, tillhandahålla denna person den konkreta identiteten på dessa mottagare.

29

Domstolen erinrar inledningsvis om att enligt fast rättspraxis ska vid tolkningen av en unionsbestämmelse inte bara lydelsen beaktas, utan också sammanhanget och de mål som eftersträvas med den rättsakt som bestämmelsen ingår i (dom av den 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, punkt 63). När en unionsbestämmelse kan bli föremål för flera tolkningar, ska företräde ges för den tolkning som är ägnad att säkerställa bestämmelsens ändamålsenliga verkan (dom av den 7 mars 2018, Cristal Union, C‑31/17, EU:C:2018:168, punkt 41 och där angiven rättspraxis).

30

För det första, vad gäller lydelsen i artikel 15.1 c i dataskyddsförordningen, ska det erinras om att det i denna bestämmelse anges att den registrerade har rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och information om mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats ut eller ska lämnas ut.

31

Uttrycken ”mottagare” och ”kategorier av mottagare” används i denna bestämmelse efter varandra, utan att det är möjligt att härleda någon prioritetsordning mellan de båda.

32

Det får således konstateras att ordalydelsen i artikel 15.1 c i dataskyddsförordningen inte gör det möjligt att entydigt avgöra huruvida den registrerade har rätt att, när personuppgifter som rör honom eller henne har lämnats ut eller ska lämnas ut, informeras om mottagarnas konkreta identitet.

33

När det sedan gäller det sammanhang i vilket artikel 15.1 c i dataskyddsförordningen ingår, ska det för det första erinras om att det i skäl 63 i förordningen anges att den registrerade ska ha rätt att få kännedom om och underrättelse om framför allt vilka som mottar personuppgifterna. Såsom generaladvokaten har påpekat i punkt 23 i sitt förslag till avgörande anges inte i detta skäl att denna rätt kan begränsas till enbart kategorier av mottagare,

34

För det andra, ska det även erinras om att för att rätten till tillgång ska iakttas måste all behandling av personuppgifter ske i enlighet med principerna i artikel 5 i dataskyddsförordningen (se, för ett liknande resonemang, dom av den 16 januari 2019, Deutsche Post, C‑496/17, EU:C:2019:26, punkt 57).

35

Till dessa principer hör öppenhetsprincipen i artikel 5.1 a i dataskyddsförordningen, vilken – såsom framgår av skäl 39 i förordningen – innebär att den registrerade har tillgång till information om hur personuppgifter behandlas och att denna information är lättillgänglig och lättbegriplig.

36

För det tredje, ska det påpekas, såsom generaladvokaten har understrukit i punkt 21 i sitt förslag till avgörande, att till skillnad från artiklarna 13 och 14 i dataskyddsförordningen, i vilka det föreskrivs en skyldighet för den personuppgiftsansvarige att till den registrerade lämna information om kategorier av mottagare eller om de konkreta mottagarna av personuppgifter som rör honom eller henne när dessa uppgifter har samlats in från den registrerade eller inte har erhållits från den registrerade, föreskrivs det i artikel 15 i dataskyddsförordningen en faktisk rätt för den registrerade att få tillgång till uppgifter. Detta innebär att den registrerade måste kunna välja att få antingen information om de specifika mottagare till vilka uppgifterna har lämnats ut eller ska lämnas ut, om detta är möjligt, eller information om kategorierna av mottagare.

37

För det fjärde, har domstolen redan slagit fast att utövandet av denna rätt till tillgång ska göra det möjligt för den registrerade att inte bara kontrollera att de uppgifter som rör honom eller henne är korrekta, utan även att de behandlas på ett lagenligt sätt (se, analogt, dom av den 17 juli 2014, YS m.fl., C‑141/12 och C‑372/12, EU:C:2014:2081, punkt 44, och dom av den 20 december 2017, Nowak, C‑434/16, EU:C:2017:994, punkt 57), och särskilt att de har lämnats ut till behöriga mottagare (se, analogt, dom av den 7 maj 2009, Rijkeboer, C‑553/07, EU:C:2009:293, punkt 49).

38

I synnerhet är denna rätt till tillgång nödvändig för att möjliggöra för den registrerade att, i förekommande fall, kunna utöva sin rätt till rättelse, sin rätt till radering (”rätten att bli bortglömd”) och rätten till begränsning av behandling, vilka tillerkänns den registrerade i artiklarna 16, 17 respektive 18 i dataskyddsförordningen (se, analogt, dom av den 17 juli 2014, YS m.fl., C‑141/12 och C‑372/12, EU:C:2014:2081, punkt 44, och dom av den 20 december 2017, Nowak, C‑434/16, EU:C:2017:994, punkt 57), liksom sin i artikel 21 i dataskyddsförordningen föreskrivna rätt att göra invändningar mot behandlingen av hans eller hennes personuppgifter, och sin rätt att föra talan till följd av skada, i enlighet med artiklarna 79 och 82 i dataskyddsförordningen (se, analogt, dom av den 7 maj 2009, Rijkeboer, C‑553/07, EU:C:2009:293, punkt 52).

39

För att säkerställa den ändamålsenliga verkan av samtliga de rättigheter som nämns i föregående punkt måste den registrerade således särskilt ha rätt att bli underrättad om identiteten på de konkreta mottagarna i de fall hans eller hennes personuppgifter redan har lämnats ut.

40

För det femte, och slutligen, bekräftas en sådan tolkning av artikel 19 i dataskyddsförordningen, i vilken det i första meningen föreskrivs att den personuppgiftsansvarige i princip ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser eller radering av personuppgifter eller varje begränsning av behandling och det i andra meningen föreskrivs att den personuppgiftsansvarige ska informera den registrerade om dessa mottagare på den registrerades begäran.

41

Artikel 19 andra meningen i dataskyddsförordningen ger således den registrerade en uttrycklig rätt att bli informerad av den personuppgiftsansvarige om de konkreta mottagarna av de uppgifter som rör honom eller henne, inom ramen för den personuppgiftsansvariges skyldighet att informera samtliga mottagare om den registrerades utövande av de rättigheter som han eller hon har enligt artiklarna 16, 17.1 och artikel 18 i dataskyddsförordningen.

42

Det följer av den kontextuella analysen ovan att artikel 15.1 c i dataskyddsförordningen är en av de bestämmelser som syftar till att säkerställa insyn i hur personuppgifterna behandlas med avseende på den registrerade och gör det möjligt för honom eller henne att, såsom generaladvokaten har påpekat i punkt 33 i sitt förslag till avgörande, utöva de rättigheter som föreskrivs i bland annat artiklarna 16–19, 21, 79 och 82 i dataskyddsförordningen.

43

Följaktligen ska de uppgifter som lämnas till den registrerade med stöd av rätten till tillgång enligt artikel 15.1 c i dataskyddsförordningen vara så exakta som möjligt. Denna rätt till tillgång innebär i synnerhet en möjlighet för den registrerade att från den personuppgiftsansvarige erhålla information om de specifika mottagare till vilka uppgifterna har lämnats ut eller ska lämnas ut eller, alternativt, att välja att endast begära upplysningar om kategorierna av mottagare.

44

Slutligen, vad gäller det mål som eftersträvas med dataskyddsförordningen framgår det av skäl 10 i förordningen att den bland annat syftar till att säkerställa en hög skyddsnivå för fysiska personer inom unionen (dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 207). Såsom generaladvokaten har påpekat i punkt 14 i sitt förslag till avgörande innebär den allmänna rättsliga ram som inrättats genom dataskyddsförordningen att de krav genomförs som följer av den grundläggande rätten till skydd av personuppgifter som skyddas genom artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna, bland annat de krav som uttryckligen föreskrivs i punkt 2 i denna artikel (se, för ett liknande resonemang, dom av den 9 mars 2017, Manni, C‑398/15, EU:C:2017:197, punkt 40).

45

Detta mål stöder den tolkning av artikel 15.1 i dataskyddsförordningen som anges i punkt 43 ovan.

46

Det framgår således även av det mål som eftersträvas med dataskyddsförordningen att den registrerade har rätt att från den personuppgiftsansvarige erhålla information om de konkreta mottagare till vilka personuppgifter som rör honom eller henne har lämnats ut eller ska lämnas ut.

47

Slutligen ska det emellertid understrykas att rätten till skydd av personuppgifter inte är en absolut rättighet, såsom framgår av skäl 4 i dataskyddsförordningen. Denna rättighet ska nämligen beaktas i förhållande till sin funktion i samhället och den ska vägas mot andra grundläggande rättigheter, i enlighet med proportionalitetsprincipen, såsom domstolen slog fast i punkt 172 i dom av den 16 juli 2020, Facebook Ireland och Schrems (C‑311/18, EU:C:2020:559).

48

Det kan följaktligen accepteras att det under särskilda omständigheter inte är möjligt att tillhandahålla information om specifika mottagare. Rätten till tillgång kan således begränsas till information om kategorierna av mottagare om det är omöjligt att ange identiteten på de konkreta mottagarna, i synnerhet när dessa ännu inte är kända.

49

Vidare ska det erinras om att enligt artikel 12.5 b i dataskyddsförordningen får den personuppgiftsansvarige, i enlighet med den princip om ansvar som avses i artikel 5.2 i förordningen och i skäl 74 i förordningen, vägra att tillmötesgå en begäran från den registrerade när den är uppenbart ogrundad eller orimlig. Det ska preciseras att det ankommer på den personuppgiftsansvarige att visa att nämnda begäran är uppenbart ogrundad eller orimlig.

50

I förevarande fall framgår det av begäran om förhandsavgörande att Österreichische Post har avslagit den begäran som RW framställt med stöd av artikel 15.1 i dataskyddsförordningen om att företaget skulle lämna ut identiteten på de mottagare till vilka de personuppgifter som rör RW lämnats ut. Det ankommer på den hänskjutande domstolen att pröva huruvida Österreichische Post, med beaktande av omständigheterna i det nationella målet, har visat att denna begäran var uppenbart ogrundad eller orimlig.

51

Av det anförda följer att tolkningsfrågan ska besvaras enligt följande. Artikel 15.1 c i dataskyddsförordningen ska tolkas så, att rätten för den registrerade att få tillgång till personuppgifter som rör honom eller henne, vilken föreskrivs i denna bestämmelse, innebär – när uppgifterna har lämnats ut eller ska lämnas ut till mottagare – att den personuppgiftsansvarige är skyldig att ge den registrerade den faktiska identiteten på dessa mottagare, såvida det inte är omöjligt att identifiera mottagarna eller den personuppgiftsansvarige visar att den registrerades begäran om tillgång är uppenbart ogrundad eller orimlig i den mening som avses i artikel 12.5 i dataskyddsförordningen. I sådant fall är det tillräckligt att den personuppgiftsansvarige informerar den registrerade om de aktuella kategorierna av mottagare.

52

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (första avdelningen) följande:

Artikel 15.1 c i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ska tolkas så, att

rätten för den registrerade att få tillgång till personuppgifter som rör honom eller henne, vilken föreskrivs i denna bestämmelse, innebär – när uppgifterna har lämnats ut eller ska lämnas ut till mottagare – att den personuppgiftsansvarige är skyldig att ge den registrerade den faktiska identiteten på dessa mottagare, såvida det inte är omöjligt att identifiera mottagarna eller den personuppgiftsansvarige visar att den registrerades begäran om tillgång är uppenbart ogrundad eller orimlig i den mening som avses i artikel 12.5 i förordning 2016/679. I sådant fall är det tillräckligt att den personuppgiftsansvarige informerar den registrerade om de aktuella kategorierna av mottagare.