Norsk ret tilkender stor erstatning til skoleelev for brud på GDPR
Hvilken erstatning har en registreret ret til, hvis en dataansvarlig har overtrådt GDPR? Det spørgsmål har en norsk domstol for nylig taget stilling til, hvor en skoleelev blev tilkendt 90.000 norske kroner i erstatning.
Hvad handlede sagen om?
En lærer havde glemt at lukke sit e-mailprogram, da han anvendte computeren i undervisningen. På et tidspunkt kom en e-mail med oplysninger om en skoleelev frem på storskærmen og kunne dermed læses af de øvrige elever i klassen. Oplysningerne var kun tilgængelige i et kort øjeblik, men i tilstrækkelig lang tid til, at nogle elever blev bekendt med fortrolige og følsomme oplysninger om eleven.
Læreren erkendte, at han havde begået et fejl. Kommunen erkendte, at der var tale om et brud på persondatasikkerheden og sagen blev derfor anmeldt til det norske Datatilsyn, der lukkede sagen uden en sanktion til kommunen.
Og nu har en norsk domstol også afgjort, at kommunen skal betale eleven 90.000 norske kroner, hvilket svarer til knap 60.000 danske kroner i erstatning for overtrædelsen af GDPR.
Få domme om erstatning for brud på GDPR
Dommen blev afsagt den 7. februar og er en af de få domme, der endnu er afsagt med udgangspunkt i artikel 82 i GDPR. Artikel 82 slår fast, at ”enhver, der har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlig eller databehandleren”.
Det fremgår desuden af præambel 146, at den registrerede skal have ”fuld erstatning” for overtrædelsen af GDPR.
I sag C-300/21 udtalte EU Domstolen, at de nationale domstole skal anvende nationale regler, når de afgør spørgsmål om erstatning efter artikel 82. Det er dog et krav, at disse regler overholder de EU-retlige principper om ækvivalens og effektivitet.
Læs mere om EU-Domstolens afgørelse her
Og det er netop kravet om ækvivalens og effektivitet, som den norske domstol henviser til i forbindelse med udmåling af en ”rimelig” erstatningsstørrelse.
Norsk retspraksis er forældet – erstatning skal nu være højere
I Danmark afgøres sager om erstatning for ikke-økonomisk skade efter erstatningsansvarslovens regler om tort og er som hovedregel ikke over 10.000 kroner.
Det fremgår af dommen, at der i norsk retspraksis også typisk tilkendes lavere erstatning for overtrædelse af databeskyttelsesretlige regler, end der blev tilkendt i denne dom. Men den gældende retspraksis i Norge er forældet, mener domstolen, der begrunder dette med, at retspraksissen stammer fra før, GDPR trådte i kraft. Med andre ord, så er tidligere erstatningsudmålinger ikke i overensstemmelse med kravet om, at det skal ”gøre ondt” på den, der overtræder de databeskyttelsesretlige regler. Det kan derfor ikke tillægges stor vægt, at kommunen ikke handlede groft uagtsomt, eller at der var tale om en menneskelig fejl.
Derfor tager domstolen udgangspunkt i andre erstatningssager med et højere erstatningsbeløb, hvor der også er sket spredning af personoplysninger. Samtidig lægger domstolen særlig vægt på konsekvensen for den registrerede: Hun er et barn, og der er spredt meget fortrolige og følsomme oplysninger om hende. Derudover er kommunen ifølge domstolen den stærke part i sagen, som må forventes at passe godt på sådanne oplysninger, ligesom det ikke er muligt for eleven at påvirke kommunens handlinger eller forhindre episoden.
HjulmandKaptains bemærkninger til dommen
Selv om dommen er fra Norge, og den derfor ikke kan overføres direkte til dansk ret, er det HjulmandKaptains vurdering, at den er værd at bemærke for dataansvarlige og databehandlere i Danmark. Dette skyldes, at dommen slår fast – i overensstemmelse med EU-Domstolens udtalelse – at en registreret har ret til erstatning, hvis der sker en overtrædelse af de databeskyttelsesretlige regler, og at dette medfører en konsekvens for den registrerede. Samtidig gør dommen op med tidligere retspraksis om udmåling af erstatning i denne type af sager.
Det kan ikke afvises, at også danske domstole vil følge den norske dom og hæve erstatningsniveauet for overtrædelse af de databeskyttelsesretlige regler på baggrund af EU-Domstolens afgørelse i C-300/21 fra maj 2023. Dette kan medføre store omkostninger for den enkelte dataansvarlige.
Det er derfor HjulmandKaptains klare anbefaling, at alle dataansvarlige og databehandlere sikrer, at de databeskyttelsesretlige regler overholdes.
Det er i den forbindelse værd at bemærke, at det ikke alene er ved brud på persondatasikkerheden, som det er tilfældet i den norske dom, at den registrerede kan have krav på erstatning. Artikel 82 giver ret til erstatning ved enhver overtrædelse af de databeskyttelsesretlige regler, forudsat at overtrædelsen medfører en konsekvens for den registrerede. Det betyder, at f.eks. overtrædelse af de registreredes rettigheder, hvis de medfører en konsekvens for den registrerede, også er omfattet.
Lad HjulmandKaptains specialister i databeskyttelse hjælpe dig
Har du brug for hjælp til at sikre, at du overholder gældende GDPR-regler, så er du altid velkommen til at kontakte vores specialister i databeskyttelse. Vi står klar til at hjælpe dig.
Nyheder
Se flere-
Nyhed17.04.2024Nye domme skærper praksis omkring 15%-reglen ved overdragelse af fast ejendom til nærtstående
Læs nyhed
-
Nyhed17.04.2024
Skatterådets nye afgørelser udvider forståelsen af nærtstående, når du yder lån efter ligningslovens § 16 E
Læs nyhed
-
Nyhed10.04.2024
Ændringer i arbejdsmiljøloven påvirker opsigelsesvarsler for arbejdsmiljørepræsentanter og forsimpler APV’en
Læs nyhed
-
Case05.04.2024
HjulmandKaptain fik Raw Solution styrket gennem opstart, vækstambitioner og en potentiel varemærkesag
Se case
-
Nyhed03.04.2024
Datatilsyn: EU overholder ikke reglerne for GDPR ved brug af Microsoft-produkter
Læs nyhed
-
Nyhed01.04.2024
Sanctions in International Arbitration
Læs nyhed
-
Nyhed21.03.2024
Gravid medarbejder fik godtgørelse for opsigelse, chikane og repressalier
Læs nyhed
-
Nyhed20.03.2024
Nyt lovforslag om revision af konkurskarantænereglerne: Offentlig adgang til konkurskarantæneregisteret og øget gennemsigtighed
Læs nyhed
-
Nyhed15.03.2024
Højesteret: Det var ikke en arbejdsskade, da medarbejder kom til skade under omrokering af hjemmearbejdsplads
Læs nyhed
Tilmeld dig
HjulmandKaptains
Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.