Retten i Glostrup har for nylig taget stilling til et principielt spørgsmål om, hvorvidt databeskyttelsesforordningens artikel 82 giver mulighed for erstatning for ikke-økonomisk skade i tilfælde, hvor der sker brud på persondatasikkerheden.
Sagens faktiske omstændigheder
I vinteren 2018 blev der stjålet fire bærbare PC’ere fra Gladsaxe Kommunes rådhus. På en af disse PC’ere var der på et lokaldrev lagret et regneark med personoplysninger om 20.620 borgere. Regnearket var udarbejdet til brug for mellemkommunal refusion.
Den PC, som ovennævnte regneark var lagret på, var sikret med de sædvanlige Windows-foranstaltninger i form af brugernavn og adgangskode. PC’ens harddisk var dog ikke krypteret, og lagringen af regnearket på den bærbare PC’s lokaldrev var i øvrigt en overtrædelse af kommunens egen sikkerhedspolitik.
Kommunen anmeldte tyveriet som et sikkerhedsbrud til Datatilsynet og underrettede de registrerede i overensstemmelse med de databeskyttelsesretlige regler.
På baggrund af ovenstående anlagde syv borgere sag mod Gladsaxe Kommune med påstande om betaling af erstatning i størrelsesordenen kr. 7.500-30.000, idet disse borgeres personoplysninger var anført i regnearket. Der var tale om blandt andet CPR-nummer, navn og adresse, ligesom der desuden vedrørende nogle af borgerne var summariske oplysninger om boligsikring og helbredsoplysninger i form af blandt andet paragraffer og leverandør af sundhedsydelser.
Byrettens afgørelse
Byretten fandt, at Gladsaxe Kommune som dataansvarlig ikke havde overholdt de krav til behandlingssikkerhed, som EU’s databeskyttelsesforordning stiller, og at Gladsaxe Kommune derfor var ansvarlig herfor.
Det principielle spørgsmål i sagen var herefter, om de syv borgere havde krav på erstatning for ikke-økonomisk skade i henhold til databeskyttelsesforordningens artikel 82 – som alene omtaler erstatning for materiel eller immateriel skade.
Retten fandt, at databeskyttelsesforordningens artikel 82, må fortolkes således, at denne også omfatter erstatning for ikke-økonomisk skade.
Dog fandt retten efter en samlet vurdering af sikkerhedsbruddet sammenholdt med arten og karakteren af de summariske oplysninger om hver enkelt af de syv borgere, som bruddet omfattede, at de syv borgere ikke havde krav på erstatning for ikke-økonomisk skade.
Sagen blev behandlet som en tredommersag, og dommerne var enige om sagens udfald.
CLEMENS Advokatfirmas bemærkninger
Til trods for at borgerne ikke fik tilkendt nogen erstatning, er sagen principiel. Dette skyldes, at der ikke tidligere er taget stilling til spørgsmålet om, hvorvidt databeskyttelsesforordningens artikel 82 kunne fortolkes således, at den omfatter krav på erstatning for ikke-økonomisk skade.
Byrettens afgørelse er i øvrigt ikke i overensstemmelse med Justitsministeriets vurdering og konklusionen i betænkning om databeskyttelsesforordningen, hvorefter der ikke er ”tilstrækkeligt grundlag for at fastslå, at godtgørelse for ikke-økonomisk skade er omfattet af retten til erstatning for materiel eller immateriel skade efter artikel 82, stk. 1”.
Det fremgår ikke af byrettens pressemeddelelse, hvorvidt der er taget stilling til, om sagen skal ankes til Østre Landsret, men CLEMENS Advokatfirma er dog gjort bekendt med, at en del af sagerne er blevet anket til Østre Landsret.
Såfremt du har spørgsmål til ovenstående eller databeskyttelse og persondatasikkerhedsbrud i øvrigt, er du meget velkommen til at kontakte CLEMENS Advokatfirmas persondata-specialister, som altid står klar til at hjælpe.
Du kan i øvrigt læse mere om sikkerhedsbrud m.v. i artiklen Vejledning om håndtering af brud på persondatasikkerheden.