Efter afgørelse i Østre Landsret: Seks borgere havde ikke krav på godtgørelse i henhold til databeskyttelseslovgivningen efter databrud i kommune
Den 15. november 2024 traf Østre Landsret afgørelse i ankesagen vedrørende om, hvorvidt seks borgere havde krav på godtgørelse som følge af et databrud i en kommune.
Læs mere om afgørelsen her, og hvad der ifølge seneste retspraksis skal til, før du som berørt registreret efter et databrud har ret til godtgørelse.
Databrud i Gladsaxe Kommune berørte over 20.000 borgere
I 2020 indstillede Datatilsynet Gladsaxe Kommune til en bøde, efter kommunen havde anmeldt et brud på persondatasikkerheden i forbindelse med tyveri i 2018 af en af kommunens computere fra Gladsaxe Rådhus, som indeholdt personoplysninger.
Computeren var ikke beskyttet med kryptering, hvorfor det udgjorde en høj risiko for de berørte borgere. Computeren indeholdt personoplysninger om 20.620 borgere herunder oplysninger af følsom karakter og oplysninger om personnumre. På computeren var der bl.a. et regneark til benyttelse for mellemkommunal økonomisk refusion.
Ud af de 20.620 borgere valgte i alt seks borgere at anlægge sag mod Gladsaxe Kommune med påstand om betaling af godtgørelse som følge af bruddet.
Byretten i Glostrup afgjorde dog den 11. maj 2021, at borgerne ikke havde ret til godtgørelse.
Betingelser for tilkendelse af godtgørelse
På baggrund af nyere praksis fra EU-Domstolen skal tre betingelser være opfyldt, før der kan tilkendes godtgørelse:
1) Der skal være sket en overtrædelse af forordningen
2) Der skal være sket en ”skade”
3) Der skal være årsagssammenhæng mellem skaden og overtrædelsen
Betingelserne bliver bl.a. redegjort for i afgørelsen C-300/21, som du finder her
Østre Landsrets afgørelse i sagen i Gladsaxe Kommune
Østre Landsret fandt, at kommunens tekniske og organisatoriske foranstaltninger ikke havde været tilpasset risikoen for databrud. Der var derfor sket en overtrædelse af databeskyttelsesforordningens regler om behandlingssikkerhed.
Første betingelse jf. førnævnte kriterier var således opfyldt.
Landsretten fandt dog også, at borgerne – med henvisning til det passerede og de afgivne forklaringer om egne opfattelse og tanker om bruddet – som følge af databruddet ikke havde lidt skade.
Alt i alt lød afgørelsen altså på, at betingelserne for at opnå godtgørelse ikke var opfyldt, og landsretten stadfæstede derfor byrettens dom fra 11. maj 2021.
HjulmandKaptains bemærkninger til dommen
Afgørelsen fra Østre Landsret er efter vores opfattelse et udtryk for, at der ifølge landsretten skal mere til at udløse en godtgørelse efter GDPR, end at der blot er sket et sikkerhedsbrud, og at de berørte registrerede selv har forklaret, hvordan de har oplevet konsekvenserne af bruddet.
Vi anerkender, at der altid vil være tale om en konkret vurdering i den enkelte sag, og at der ikke pr. automatik vil være ret til en godtgørelse alene fordi, personoplysninger har indgået i et brud på persondatasikkerheden.
Men den danske afgørelse fra Østre Landsret skal læses i sammenhæng med bl.a. afgørelsen i EU-Domstolen fra 3. maj 2023 (C-300/21), hvor EU-Domstolen kom med en række udtalelser om retten til godtgørelse efter artikel 82 i GDPR.
Du kan læse mere om denne afgørelse her
Under den sag påpegede EU-Domstolen netop, at begrebet ”skade” i GDPR-forstand ikke kun kan begrænses til skader af en vis alvorlighed, men at begrebet skal forstås bredt og fortolkes i lyset af, at hovedformålet med GDPR netop er at beskytte de registrerede.
Dette understøtter meget klart, at der ikke kan stilles krav om, at den skade, som overtrædelsen af GDPR har medført, har en bestemt alvorsgrad. Og det kan samtidig også signalere, at EU-Domstolen – hvis man kan tale om en egentlig ”tærskel” for, hvornår en overtrædelse af GDPR udløser et godtgørelseskrav – mener, at tærsklen er forholdsvis lav.
Hvordan hænger det sammen med afgørelsen i Østre Landsret?
Den omtalte sag fra EU-Domstolen kan ved første øjekast godt virke uforenelig med Østre Landsrets afgørelse i sagen fra Gladsaxe Kommune. I den forbindelse vil vi dog pointere, at EU-Domstolen i den ovennævnte afgørelse også anerkender, at det er op til den registrerede, som har haft skadevirkningerne af overtrædelsen af GDPR, at godtgøre, at disse virkninger udgør en immateriel skade.
EU-Domstolen anerkender dermed, at det var op til de seks borgere i den konkrete sag at bevise, at de havde lidt skade – det mente landsretten netop ikke, at de havde løftet bevisbyrden for, i afgørelsen.
Derfor er afgørelserne ikke som sådan uforenelige, men det bliver interessant at følge udviklingen i retspraksis, når der kommer flere nationale afgørelser og EU-domme, som kan bidrage til forståelsen af, hvilke bevismæssige krav der stilles til, at den registrerede har lidt en skade i GDPR-mæssig forstand.
Derudover bliver det interessant at følge, om de seks borgere ønsker og kan få tilladelse til at appellere landsrettens afgørelse til højesteret.
Lad HjulmandKaptains specialister i GDPR hjælpe dig
Har du spørgsmål til praksis vedrørende krav på erstatning efter databeskyttelseslovgivningen eller har du brug for rådgivning om en konkret sag, så kontakt vores specialister i GDPR for en uforpligtende snak. Vi vil gerne hjælpe dig.
Nyheder
Se flere-
Nyhed22.11.2024Efter afgørelse i Østre Landsret: Seks borgere havde ikke krav på godtgørelse i henhold til databeskyttelseslovgivningen efter databrud i kommune
Læs nyhed
-
Nyhed19.11.2024
Må du som arbejdsgiver spørge en jobansøger om alder under jobsamtalen?
Læs nyhed
-
Nyhed18.11.2024
Du kommer til skade under en julefrokost på arbejdet – hvad nu?
Læs nyhed
-
Nyhed13.11.2024
Ligebehandlingsnævnet: Arbejdsgiver havde ret til at bede om dokumentation for statsborgerskab
Læs nyhed
-
Nyhed07.11.2024
Medarbejder blev bortvist for at kalde sine chefer for dovne, inkompetente, nassere og tyveknægte
Læs nyhed
-
Nyhed05.11.2024
Ny vejledning fra Banedanmark og Dansk Infrastruktur skal sikre god entrepriseretlig praksis og god kommunikation mellem parterne
Læs nyhed
-
Nyhed04.11.2024
Hvilken betydning har de nye regler om gravides natarbejde for dig?
Læs nyhed
-
Nyhed30.10.2024
Nyt fra Klagenævnet: Ordregiver skal overholde de kriterier, de selv har fastsat
Læs nyhed
-
Nyhed24.10.2024
Højesteret: Medarbejder skulle have løn helt frem til det reelle bortvisningstidspunkt
Læs nyhed
Tilmeld dig
HjulmandKaptains
Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.