27. maj 2021

Erstatningskrav for GDPR-overtrædelse

27. maj 2021
Da Persondataforordningen (GDPR) trådte i kraft i 2018, var der meget opmærksomhed om de bøder, virksomhederne kunne blive ramt af, hvis reglerne blev overtrådt. Siden er der kommet nogle afgørelser om bøder, men generelt færre og lavere bøder end mange havde forventet.

Kan dataansvarlige blive pålagt at betale godtgørelse til de registrerede?

Der var i 2018 mindre opmærksomhed om, at de dataansvarlige også kunne blive pålagt at betale godtgørelse til de registrerede. GDPR bestemmer, at den dataansvarlige kan blive pålagt erstatning for ”materiel eller immateriel skade” i den forbindelse.

Typisk vil den registrerede ikke lide noget egentligt tab ved databrud, så det interessante spørgsmål er nu, om der kan pålægges ”godtgørelse” - det vil sige erstatning uden et påvist tab.

Retten i Glostrup har netop taget stilling til dette i en dom, afsagt i enighed af tre dommere.

7 borgere krævede erstatning

Forholdet var, at der fra en kommunal forvaltning var stjålet et antal PC’ere, hvoraf der på en af PC'erne lå personoplysninger (såkaldt særlige eller følsomme oplysninger) om 20.000 borgere. 7 af disse borgere krævede nu erstatning / godtgørelse af kommunen i fra 7.000- 30.000 kr.

Der var ikke påvist et tab, så spørgsmålet var, om borgerne kunne få godtgørelse, enten efter GDPR artikel 82 eller den generelle bestemmelse om tort (Erstatningsansvarslovens § 26).

Rettens afgørelse om godtgørelse til borgerne

Det var Rettens opfattelse, at der kunne gives godtgørelse efter artikel 82, men Retten vurderede konkret, at de pågældende borgere ikke havde været udsat for en krænkelse, der berettigede til godtgørelse. Dermed bortfaldt også krav efter Erstatningsansvarsloven.

Hvad kan udledes af dommen?

Det er præmisserne, der er interessante i dommen, navnlig at den slår fast, at artikel 82 giver et selvstændigt grundlag for godtgørelse.

Dermed må der forudses godtgørelseskrav, der er højere, end der sædvanligvis gives efter Erstatningsansvarsloven.

At Retten konkret fandt, at der ikke var sket en krænkelse, der gav ret til godtgørelse, er i denne sammenhæng mindre interessant.

For den dataansvarlige (og databehandleren, hvis det er denne person, der er årsag til databruddet) er det ubehagelige ikke mindst antallet af sager, i det konkrete tilfælde, var der 20.000 mulige skadelidte. Dette kan både økonomisk og administrativt være en stor udfordring.

Dommen giver også anledning til at repetere det gode råd om ikke opbevare personoplysninger lokalt og slet ikke personoplysninger om de registreredes helbredsforhold.

Har du spørgsmål eller brug for rådgivning?

Har du spørgsmål eller brug for rådgivning i forbindelse med erstatningskrav eller GDPR generelt, så er du altid velkommen til at kontakte os.

Tak for din henvendelse

Vi har sendt dig en kvittering via mail og kontakter dig hurtigst muligt.

Har du en sag, hvor du mangler advokathjælp?

Vores advokater står klar til at hjælpe

Vil du vide mere, eller har du brug for hjælp, så udfyld felterne. Så kontakter vi dig hurtigst muligt.

Vi anbefaler, at du ikke indtaster nogle følsomme personoplysninger (f.eks. helbredsoplysninger) eller cpr. nr. i kontaktformularen.

Se vores persondatapolitik her