Østre Landsret fastlægger ramme: Sådan skal immateriel skade vurderes efter GDPR

Sagens kerne: Kommunal medarbejder videregav følsomme oplysninger

Sagen handlede om Hillerød Kommunes håndtering af en aktindsigtsanmodning. I den forbindelse blev helbredsoplysninger om en borger ved en fejl videregivet til hendes mands tidligere ægtefælle. Oplysningen blev senere brugt af ekskonen i en bopælstvist ved Familieretshuset – en omstændighed, som landsretten lagde vægt på i vurderingen af skadens karakter.

Retten fastslog, at videregivelsen var en overtrædelse af GDPR artikel 9, stk. 1, om særlige kategorier af personoplysninger.

Kan en kommune blive erstatningspligtig for enkeltstående, menneskelige fejl?

Hillerød Kommune gjorde gældende, at videregivelsen skyldtes en enkeltstående menneskelig fejl, og at kommunen derfor ikke kunne holdes ansvarlig efter GDPR artikel 82, stk. 3. Denne bestemmelse siger nemlig, at en dataansvarlig eller databehandler er fritaget for erstatningsansvar, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.

Dette afviste retten og understregede, at uagtsomhed eller fejl begået af en medarbejder ikke fritager den dataansvarlige for erstatningsansvar. Dermed fulgte landsretten EU-Domstolens linje om, at der gælder et præsumptionsansvar for den dataansvarlige. Det betyder i praksis, at udgangspunktet altid er, at den dataansvarlige hæfter for brud på reglerne, medmindre det kan bevises, at skaden skyldes helt ekstraordinære forhold uden for den dataansvarliges kontrol.

Borgerens erstatning – ingen bagatelgrænse

Borgeren blev tilkendt 2.500 kr. i erstatning. Beløbet blev fastsat ud fra en samlet vurdering af den videregivne oplysnings følsomhed og de efterfølgende konsekvenser. Selvom summen synes mindre, markerer denne afgørelse dog et væsentligt skifte i vurderingen af erstatning for persondatakrænkelser. Det er tydeligt, at Østre Landsret følger EU-Domstolens afgørelse fra sidste år, hvor det blev anført, at en skade lidt som følge af en persondatakrænkelse er en skade der kan medføre en kompensation, uanset hvor lille denne skade måtte være – og dermed også den efterfølgende kompensation.

Hvorfor markerer dommen et vigtigt skridt for databeskyttelsesretten?

Landsretten henviste til EU-Domstolens praksis, der fastslår, at retten til erstatning ikke afhænger af, om skaden har en vis alvor eller overstiger en bagatelgrænse. Samtidig fremhævede retten, at erstatningen kan være beskeden, så længe den fuldt ud kompenserer skaden. Hertil henviser Østre Landsret til en afgørelse fra EU-Domstolen fra 2024, hvor det anføres, at en undskyldning også kan være en erstatning – ikke nødvendigvis kun et pengebeløb – så længe kompensationen står i rimeligt forhold til skaden.

Dommen er banebrydende som den første danske afgørelse om erstatning efter GDPR artikel 82. Den bekræfter, at immateriel skade kan give ret til kompensation – også ved mindre alvorlige brud – og at offentlige myndigheder ikke kan undgå ansvar ved at henvise til menneskelige fejl.

Hvordan vurderede retten de øvrige krav?

Retten tog også stilling til en række yderligere erstatningskrav. Borgerens ægtefælle krævede erstatning, fordi hans økonomiske oplysninger var blevet videregivet. Landsretten afviste kravet med den begrundelse, at oplysningerne ikke var blevet brugt i bopælstvisten og derfor ikke havde haft konkrete konsekvenser for ham. Dermed får vi et vigtigt indblik i, hvordan retten vurderer, om den registrerede har lidt et tab.

Havde sagsøgerne krav på tortgodtgørelse? 

Begge sagsøgere (borgeren og dennes ægtefælle) gjorde desuden subsidiært gældende, at de havde krav på tortgodtgørelse efter erstatningsansvarslovens § 26. Dette afviste retten, idet de konkrete databrud ikke havde en grovhed, der kunne udløse godtgørelse efter dansk retspraksis. Det er interessant, fordi tortgodtgørelse hidtil har været den type kompensation, som retten har tilkendt for persondatakrænkelser.

I modsætning til GDPR findes der dog en bagatelgrænse i erstatningsansvarsloven: Kun krænkelse af en vis alvorlighed kan udløse godtgørelse. Dermed bliver forskellen mellem erstatning efter GDPR kontra godtgørelse efter tort-bestemmelserne i erstatningsansvarsloven tydelig.

Hvem blev pålagt at betale sagsomkostningerne?

Hillerød Kommune blev pålagt at betale 50.750 kr. i sagsomkostninger til den borger, der fik medhold, mens den anden sagsøger (borgerens samlever) skal betale 50.000 kr. til kommunen.

Hvilken betydning kan sagen få for dataansvarlige i kommuner og virksomheder? HjulmandKaptains vurdering

Dommen kan få vidtrækkende betydning for både kommuner og private virksomheder. Den viser, at selv enkeltstående og utilsigtede brud kan udløse erstatningsansvar, og at domstolene vil anlægge en bred vurdering af, hvornår en skade er immateriel i forordningens forstand. For dataansvarlige betyder det et skærpet krav om præcision og sikkerhed i håndteringen af personoplysninger – ikke mindst i forbindelse med aktindsigt, hvor risikoen for fejludleveringer er særligt stor.

Sagen bliver tilsyneladende anket, hvorfor sagen skal vurderes af Højesteret. HjulmandKaptain følger naturligvis udviklingen tæt og giver dig vores specialisters vurdering, når sagen er afgjort.

Lad HjulmandKaptains specialister i databeskyttelse hjælpe dig

Har du brug for sparring om GDPR og håndtering af personoplysninger? Så tøv ikke med at kontakte os. Vi rådgiver både offentlige myndigheder og private virksomheder og står klar til at sikre, at din organisation er bedst muligt rustet til at overholde GDPR.