Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Overtrædelse af GDPR: Erstatning for ikke-økonomisk skade

Bech Bruun
06/05/2024
Overtrædelse af GDPR: Erstatning for ikke-økonomisk skade
Bech Bruun logo
To afgørelser fra henholdsvis EU-Domstolen samt Romerike og Glåndal Tingrett i Norge vedrørende den registreredes ret til erstatning for overtrædelse af GDPR bringer muligvis en ny forståelse til databeskyttelsesforordningens artikel 82.

Det fremgår af databeskyttelsesforordningens (”GDPR”) artikel 82, at alle fysiske personer, der lider skade som følge af en overtrædelse af GDPR, har ret til erstatning. 


I præambel 146 til forordningen anføres det, at skadebegrebet bør fortolkes bredt i lyset af retspraksis ved Domstolen, så det afspejler formålene med forordningen. Den registrerede bør i den forbindelse have ”fuld erstatning” for ”enhver skade”.


Der er endnu kun afsagt få afgørelser om erstatning efter artikel 82, og det er derfor endnu ikke slået fast, hvordan bestemmelsen anvendes i praksis. 


To nye domme kan være med til at gøre os klogere på, hvilke tab der kan erstattes efter artikel 82. 


Sag C-300/21: Österreichische Post

Sagen drejede sig om Österreichische Post, der er et selskab under den østrigske stat. Selskabet indsamlede oplysninger fra 2017 om den østrigske befolknings politiske tilhørsforhold via en algoritme, som sammenlignede bl.a. sociale og demografiske forhold. Oplysningerne gjorde selskabet i stand til at målrette markedsføring til en specifik gruppe af borgere med tilhørsforhold til et specifikt politisk parti.


Oplysningerne blev ikke videregivet til tredjeparter, men en borger (”klager”), som ikke havde givet samtykke til behandling af personoplysninger om hans formodede politiske tilhørsforhold, anlagde sag med krav om erstatning. Han hævdede, at han følte sig oprørt, havde mistet tilliden og følte sig udsat på grund af det faktum, at der var blevet etableret et tilhørsforhold mellem ham og det pågældende parti. 


Klager krævede en erstatning på 1.000 euro ved de østrigske domstole. Den pågældende ret forelagde herefter et præjudicielt spørgsmål for EU-Domstolen med anmodning om vurdering af, om den blotte overtrædelse af GDPR er tilstrækkelig til at udløse retten til erstatning, eller om erstatning kun er mulig, hvis den immaterielle skade når en vis grad af alvor.


EU-Domstolen fastslog i sin afgørelse, at retten til erstatning for immaterielle skader efter GDPR, artikel 82 er underlagt tre kumulative betingelser, som siden er bekræftet i andre sager, fx C-340/21, C-667/21, C-456/22 og C-687/21). De tre betingelser er:


  1. behandling af personoplysninger i strid med bestemmelsen i GDPR,
  2. skade lidt af den registrerede og 
  3. en årsagssammenhæng mellem denne ulovlige behandling og skaden, der er lidt. 


Det er derfor ikke enhver overtrædelse af GDPR, der i sig selv giver ret til erstatning. EU-Domstolen fastslog imidlertid også, at retten til erstatning ikke er begrænset til immateriel skade, der har en vis grad af alvor. Retten til kompensation afhænger således ikke af graden af skaden eller overtrædelsen, men af en samlet vurdering, hvor årsagssammenhængen mellem skaden og overtrædelsen af GDPR er det bærende element i vurderingen. 


Der lægges i dommen ikke vægt på, at der er tale om en ikke-økonomisk skade. EU-Domstolens afgørelse medfører derfor potentielt en anderledes måde at fortolke GDPR, artikel 82, end der er lagt til grund i Betænkning 1565 om databeskyttelsesforordningen – og de retlige rammer for dansk lovgivning.


Sag TROG-2023-81694: Norsk Romerike og Glåmdal Tingrett

Sagen drejede sig om en e-mail med følsomme personoplysninger om en skoleelev, der kortvarigt blev vist på en storskærm i et klasseværelse, og som derfor kunne læses af de øvrige elever i klassen. 


Læreren havde vendt sig væk fra computeren for at hjælpe en elev, og da han vendte sig mod computeren igen, konstaterede han, at e-mailen var synlig på storskærmen. Det var muligt at læse den første del af e-mailen. Nogle af eleverne havde læst den, og konfronterede den pågældende elev, som sagen drejede sig om, med det i frikvarteret. 


Skolen indberettede hændelsen til det norske Datatilsyn og til kommunens ”personvernombud”, som vurderede, at der var tale om et brud på persondatasikkerheden og på tavshedspligten. Læreren blev givet kritik, og skolen fik en skriftlig irettesættelse for hændelsen.


Det norske Datatilsyn vurderede imidlertid, at der ikke var grundlag for at gå nærmere ind i sagen, da skolen og læreren havde erkendt, at der var tale om et brud på persondatasikkerheden, og at der var tale om en menneskelig fejl, som skolen efterfølgende havde fulgt op på med skærpet opmærksomhed. Datatilsynet afsluttede derfor sagen uden sanktion. 


Det fremgår ikke af dommen, hvilke konsekvenser det konkret havde for den pågældende elev, men retten konstaterede, at der ligesom i den østrigske dom gengivet ovenfor var tale om en immateriel ikke-økonomisk skade.


Skoleeleven rettede efterfølgende, via sine forældre, et erstatningskrav mod kommunen. Kommunen var enig i, at der var lidt en ikke-økonomisk immateriel skade som følge af sikkerhedsbruddet, og mente på den baggrund, at eleven var berettiget til en erstatning på 30.000 norske kroner, hvilket eleven ikke var tilfreds med. Da parterne efter at have forhandlet i en længere periode ikke kunne blive enige, anlagde familien sag mod kommunen. 


Den norske domstol afgjorde dommen den 7. februar 2024. Det følger af dommen, at kommunen skal betale en erstatning på 90.000 norske kroner til eleven (svarende til ca. 60.000 danske kroner) for den pågældende overtrædelse af GDPR. 


Dommen fastslår, at den registrerede har ret til erstatning efter reglerne i GDPR, såfremt der er sket en behandling af personoplysninger i strid med GDPR, hvis overtrædelsen har medført en skade for den registrerede. Det gælder, uanset om skaden er af ikke-økonomisk karakter. Dommen er således helt i tråd med EU-Domstolens sag c-300/21.


Bech-Bruuns kommentarer

Selvom dommen fra Norge ikke kan overføres direkte til dansk ret, må det antages, at den kan få betydning for udmålingerne af erstatning efter GDPR – også i Danmark. Hidtil har vi i Danmark udmålt erstatning for ikke-økonomisk skade efter reglerne i erstatningsansvarsloven (”EAL”). Størrelsen på erstatninger for ikke-økonomisk skade har som udgangspunkt ikke været over 10.000 danske kroner. 


På baggrund af de to afgørelser må det antages, at der kan idømmes erstatning for en immateriel skade efter GDPR, artikel 82, uanset at denne skade ikke har medført et økonomisk tab. 


Afgørelserne viser en tendens til, at erstatningsudmålingen fremover skal have en mere afskrækkende virkning på de dataansvarlige og deres databehandlere, så bødeniveauet står mere mål med de øvrige bøder, der gives for overtrædelser af GDPR.


Afgørelserne indikerer dermed efter vores vurdering, at man skal være forsigtig med alene at lade den slags immaterielle ikke-økonomiske krænkelser behandle efter EAL § 26 om godtgørelse.  

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Bech Bruun logo
København
Gdanskgade 18
2150 Nordhavn
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Skift af forsikringsselskab - Dét skal du være opmærksom på
Jurainfo logo
EXCLUSIVE
VIDEO
Skift af forsikringsselskab - Dét skal du være opmærksom på
Mange virksomheder eller privatpersoner oplever at skulle skifte forsikringsselskab, hvilket der kan være mange gode grunde til. I forbindelse med et skift af forsikringsselskab er der dog visse ting man skal holde sig for øje.
Artikler, der kunne være relevante for dig
Ansvaret for cybersikkerhed ligger hos ledelsen
Ansvaret for cybersikkerhed ligger hos ledelsen
08/04/2024
Persondata, Compliance, Øvrige
VIRK23 er på gaden
VIRK23 er på gaden
16/04/2024
Kontraktret, IT- og telekommunikation, Persondata
Hvordan håndterer du dine medarbejderes brug af kunstig intelligens (AI)?
Hvordan håndterer du dine medarbejderes brug af kunstig intelligens (AI)?
26/04/2024
Persondata, Immaterialret, Øvrige
Kan selskabet skadesløsholde ledelsen?
Kan selskabet skadesløsholde ledelsen?
23/05/2024
Selskabsret, Forsikring og erstatning
AI-forordningen endelig vedtaget i EU
AI-forordningen endelig vedtaget i EU
28/05/2024
EU-ret, Immaterialret, Persondata, IT- og telekommunikation
Pludselig sygdom var usædvanlig omstændighed
Pludselig sygdom var usædvanlig omstændighed
28/05/2024
Øvrige, Forsikring og erstatning
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted