Overtrædelse af GDPR: Erstatning for ikke-økonomisk skade

Det fremgår af databeskyttelsesforordningens (”GDPR”) artikel 82, at alle fysiske personer, der lider skade som følge af en overtrædelse af GDPR, har ret til erstatning. 

I præambel 146 til forordningen anføres det, at skadebegrebet bør fortolkes bredt i lyset af retspraksis ved Domstolen, så det afspejler formålene med forordningen. Den registrerede bør i den forbindelse have ”fuld erstatning” for ”enhver skade”.

Der er endnu kun afsagt få afgørelser om erstatning efter artikel 82, og det er derfor endnu ikke slået fast, hvordan bestemmelsen anvendes i praksis. 

To nye domme kan være med til at gøre os klogere på, hvilke tab der kan erstattes efter artikel 82. 

Sag C-300/21: Österreichische Post

Sagen drejede sig om Österreichische Post, der er et selskab under den østrigske stat. Selskabet indsamlede oplysninger fra 2017 om den østrigske befolknings politiske tilhørsforhold via en algoritme, som sammenlignede bl.a. sociale og demografiske forhold. Oplysningerne gjorde selskabet i stand til at målrette markedsføring til en specifik gruppe af borgere med tilhørsforhold til et specifikt politisk parti.

Oplysningerne blev ikke videregivet til tredjeparter, men en borger (”klager”), som ikke havde givet samtykke til behandling af personoplysninger om hans formodede politiske tilhørsforhold, anlagde sag med krav om erstatning. Han hævdede, at han følte sig oprørt, havde mistet tilliden og følte sig udsat på grund af det faktum, at der var blevet etableret et tilhørsforhold mellem ham og det pågældende parti. 

Klager krævede en erstatning på 1.000 euro ved de østrigske domstole. Den pågældende ret forelagde herefter et præjudicielt spørgsmål for EU-Domstolen med anmodning om vurdering af, om den blotte overtrædelse af GDPR er tilstrækkelig til at udløse retten til erstatning, eller om erstatning kun er mulig, hvis den immaterielle skade når en vis grad af alvor.

EU-Domstolen fastslog i sin afgørelse, at retten til erstatning for immaterielle skader efter GDPR, artikel 82 er underlagt tre kumulative betingelser, som siden er bekræftet i andre sager, fx C-340/21, C-667/21, C-456/22 og C-687/21). De tre betingelser er:

1. behandling af personoplysninger i strid med bestemmelsen i GDPR,
2. skade lidt af den registrerede og 
3. en årsagssammenhæng mellem denne ulovlige behandling og skaden, der er lidt. 

Det er derfor ikke enhver overtrædelse af GDPR, der i sig selv giver ret til erstatning. EU-Domstolen fastslog imidlertid også, at retten til erstatning ikke er begrænset til immateriel skade, der har en vis grad af alvor. Retten til kompensation afhænger således ikke af graden af skaden eller overtrædelsen, men af en samlet vurdering, hvor årsagssammenhængen mellem skaden og overtrædelsen af GDPR er det bærende element i vurderingen. 

Der lægges i dommen ikke vægt på, at der er tale om en ikke-økonomisk skade. EU-Domstolens afgørelse medfører derfor potentielt en anderledes måde at fortolke GDPR, artikel 82, end der er lagt til grund i Betænkning 1565 om databeskyttelsesforordningen – og de retlige rammer for dansk lovgivning.

Sag TROG-2023-81694: Norsk Romerike og Glåmdal Tingrett

Sagen drejede sig om en e-mail med følsomme personoplysninger om en skoleelev, der kortvarigt blev vist på en storskærm i et klasseværelse, og som derfor kunne læses af de øvrige elever i klassen. 

Læreren havde vendt sig væk fra computeren for at hjælpe en elev, og da han vendte sig mod computeren igen, konstaterede han, at e-mailen var synlig på storskærmen. Det var muligt at læse den første del af e-mailen. Nogle af eleverne havde læst den, og konfronterede den pågældende elev, som sagen drejede sig om, med det i frikvarteret. 

Skolen indberettede hændelsen til det norske Datatilsyn og til kommunens ”personvernombud”, som vurderede, at der var tale om et brud på persondatasikkerheden og på tavshedspligten. Læreren blev givet kritik, og skolen fik en skriftlig irettesættelse for hændelsen.

Det norske Datatilsyn vurderede imidlertid, at der ikke var grundlag for at gå nærmere ind i sagen, da skolen og læreren havde erkendt, at der var tale om et brud på persondatasikkerheden, og at der var tale om en menneskelig fejl, som skolen efterfølgende havde fulgt op på med skærpet opmærksomhed. Datatilsynet afsluttede derfor sagen uden sanktion. 

Det fremgår ikke af dommen, hvilke konsekvenser det konkret havde for den pågældende elev, men retten konstaterede, at der ligesom i den østrigske dom gengivet ovenfor var tale om en immateriel ikke-økonomisk skade.

Skoleeleven rettede efterfølgende, via sine forældre, et erstatningskrav mod kommunen. Kommunen var enig i, at der var lidt en ikke-økonomisk immateriel skade som følge af sikkerhedsbruddet, og mente på den baggrund, at eleven var berettiget til en erstatning på 30.000 norske kroner, hvilket eleven ikke var tilfreds med. Da parterne efter at have forhandlet i en længere periode ikke kunne blive enige, anlagde familien sag mod kommunen. 

Den norske domstol afgjorde dommen den 7. februar 2024. Det følger af dommen, at kommunen skal betale en erstatning på 90.000 norske kroner til eleven (svarende til ca. 60.000 danske kroner) for den pågældende overtrædelse af GDPR. 

Dommen fastslår, at den registrerede har ret til erstatning efter reglerne i GDPR, såfremt der er sket en behandling af personoplysninger i strid med GDPR, hvis overtrædelsen har medført en skade for den registrerede. Det gælder, uanset om skaden er af ikke-økonomisk karakter. Dommen er således helt i tråd med EU-Domstolens sag c-300/21.

Bech-Bruuns kommentarer

Selvom dommen fra Norge ikke kan overføres direkte til dansk ret, må det antages, at den kan få betydning for udmålingerne af erstatning efter GDPR – også i Danmark. Hidtil har vi i Danmark udmålt erstatning for ikke-økonomisk skade efter reglerne i erstatningsansvarsloven (”EAL”). Størrelsen på erstatninger for ikke-økonomisk skade har som udgangspunkt ikke været over 10.000 danske kroner. 

På baggrund af de to afgørelser må det antages, at der kan idømmes erstatning for en immateriel skade efter GDPR, artikel 82, uanset at denne skade ikke har medført et økonomisk tab. 

Afgørelserne viser en tendens til, at erstatningsudmålingen fremover skal have en mere afskrækkende virkning på de dataansvarlige og deres databehandlere, så bødeniveauet står mere mål med de øvrige bøder, der gives for overtrædelser af GDPR.

Afgørelserne indikerer dermed efter vores vurdering, at man skal være forsigtig med alene at lade den slags immaterielle ikke-økonomiske krænkelser behandle efter EAL § 26 om godtgørelse.