DAEN

MENU

Godtgørelse for ikke-økonomisk skade i sager om brud på datasikkerheden

Retten i Glostrup konkluderer i en ny principiel dom, der udspringer af et sikkerhedsbrud hos Gladsaxe Kommune, at ikke-økonomiske skader er omfattet af retten til godtgørelse i medfør af databeskyttelsesforordningens art. 82.

Retten i Glostrup konkluderer i en ny principiel dom, der udspringer af et sikkerhedsbrud hos Gladsaxe Kommune, at ikke-økonomiske skader er omfattet af retten til godtgørelse i medfør af databeskyttelsesforordningens art. 82.

Bruddet på behandlingssikkerheden

Fire bærbare computere blev i 2018 stjålet fra Gladsaxe Kommune. På den ene var der lagret et regneark med personoplysninger på 20.620 borgere. Personoplysningerne, der var lagret, var af forskellig karakter, og omfattede både almindelige og følsomme personoplysninger. For de syv sagsøgere var der lagret oplysninger om CPR-nummer, navn og adresse. Informationerne i regnearket er samlet med henblik på rutinemæssig økonomisk kontrol til sikring af korrekt afregning kommunerne i mellem.

Da kommunen bliver klar over bruddet, anmelder de tyveriet til politiet og indberetter sikkerhedshændelsen til Datatilsynet. Kommunen oplyser i den forbindelse, at bruddet er sket på grund af en manuel menneskelig fejl. Computeren var sikret med almindelige Windows-foranstaltninger i form af brugernavn og adgangskode, men harddisken var ikke krypteret. Regnearket var blevet gemt lokalt på computerens skrivebord, hvilket er i strid med kommunens interne retningslinjer.  Kommunen oplyser dog, at det ikke er muligt at arbejde med dokumentet i kommunens dokumenthåndteringssystem, hvorfor det var nødvendigt at gemme det lokalt. Dette medførte efter rettens opfattelse en særlig anledning til at overveje tekniske og organisatoriske sikkerhedsforanstaltninger.

Retten i Glostrup finder herefter, at kommunen som dataansvarlig ikke har overholdt databeskyttelsesforordningens krav til behandlingssikkerhed som omhandlet i databeskyttelsesforordningen art. 32, stk. 1 og stk. 2, jf, art. 5, stk. 1, litra f.

Ikke-økonomisk skade

Det næste væsentlige – og principielle – spørgsmål i sagen var, om de syv borgere på den baggrund havde ret til godtgørelse for ikke-økonomiske skade.

Reguleringen af erstatning og erstatningsansvar for brud på databeskyttelsen følger af databeskyttelsesforordningen art. 82, stk. 1 og databeskyttelsesloven § 40. Det følger af disse bestemmelser, at der kan tilkendes erstatning for materiel og immateriel skade som følge af ulovlige behandlingsaktiviteter og enhver anden behandling, der strider med forordningen og databeskyttelsesloven. 

Rækkevidden af immaterielle skader er ikke nærmere defineret i retsgrundlaget, hvorfor retten foretager vurderingen af det konkrete spørgsmål ud fra en fortolkning af databeskyttelsesforordningens skadesbegreb. Begrebet er ikke endnu blevet fortolket af EU-Domstolen i relation til forordningen, men kun i forhold til andre EU-retsakter. Det fremgår heraf, at begrebet blandt andet skal fortolkes bredt i lyset af den pågældende retsakts formål. Brugen af begrebet er ikke entydig og i nogle tilfælde bruges det om ikke-økonomisk skade.

Retten konkluderer, at EU-lovgiver ikke ses at have villet begrænse retten til erstatning til økonomiske tab og henset til beskyttelseshensynene i databeskyttelsesforordningen, må artikel 82, stk. 1, fortolkes således, at bestemmelsen også omfatter godtgørelse for ikke-økonomisk skade.

Godtgørelse i den konkrete sag

I den konkrete sag finder retten dog, at der ikke er grundlag for at fastslå, at sagsøgerne har været udsat for en sådan skade, der kan begrunde en godtgørelse. Retten lægger vægt på det skete brud på datasikkerheden sammenholdt med arten og karakteren af de summariske oplysninger om hver enkelt af sagsøgerne, bruddet har omfattet.

Retten fremhæver dog, at en borger har en legitim og beskyttelsesværdig interesse i, at dennes persondata beskyttes. Efter rettens opfattelse kræver godtgørelse for ikke-økonomiske skader, at det skete brud på datasikkerheden har medført skade eller nærliggende risiko for skade på fx omdømme, tab af fortrolighed, identitetstyveri eller andre økonomiske eller sociale konsekvenser for sagsøgerne af en vis kvalificeret karakter.

Kommentar

Dommen er blevet anket, og det bliver derfor interessant at se, om landsretten anlægger samme fortolkning som byretten.

Den østrigske højesteret har endvidere den 15. april 2021 indgivet en anmodning om præjudiciel afgørelse til EU-Domstolen vedr. databeskyttelsesforordningens artikel 82. Den østrigske højesteret anmoder bl.a. EU-Domstolen om at svare på om indrømmelsen af erstatning/godtgørelse i henhold til artikel 82, ud over en overtrædelse af bestemmelserne i databeskyttelsesforordningen, kræver, at sagsøger har lidt skade, eller er overtrædelsen af ​​bestemmelserne i forordningen som sådan tilstrækkelig til tildeling af erstatning. Det er endnu uvist hvornår EU-Domstolen vil behandle sagen, men det bliver interessant at se hvordan domstolen vælger at fortolke dette centrale spørgsmål om godtgørelse for ikke-økonomisk skade.

TILMELD DIG VORES NYHEDSBREVE

Mere end 20.000 personer abonnerer på vores nyhedsbreve og modtager løbende vores juridiske nyheder og publikationer. Nyhedsbrevene giver også et overblik over vores kurser, webinarer og netværksmøder, og fra tid til anden indeholder de information om særlige arrangementer inden for de områder, du interesserer dig for. Vi ser frem til at dele vores viden om juridiske emner med dig.