EU’s domstol, Court of Justice of the European Union (CJEU), har truffet sin første dom om følelsesmæssige skader i henhold til GDPR-brud.
Her bliver det slået fast, at der ikke er nogen tærskel for, hvornår der kan kræves økonomisk erstatning, hvis man er ramt at et brud på GDPR.
Også selvom skaden, der er påført, ikke er økonomisk.
”Der er dog ikke noget krav om, at den lidte ikke-økonomiske skade skal nå en vis alvorstærskel for at give ret til erstatning,” lyder det i dommen.
Sagen omhandlede, at det østrigske post- og logistikselskab Österreichische Post siden 2017 indsamlede information om den østrigske befolknings politiske tilhørsforhold, hvilket gjorde selskabet in stand til at fastslå, at en given østrigsk borger havde en høj grad af tilknytning til et givent parti i landet – mere specifk bliver sagen ikke.
Borgere havde ikke givet samtykke til behandlingen af vedkommendes personoplysninger, og han hævdede, at han følte sig meget ked af sagen.
I CJEU’s meddelelse bliver det beskrevet som ”et tab af tillid og en følelse af at være udstillet.”
Det er svært at sætte en pris på sådanne følelser, men borgeren gik til de østrigske domstole med et ønske om at blive kompenseret med 1.000 euro – hvilket svarer til 7447 danske kroner i skrivende stund.
Den østrigske højesteret udtrykte dog tvivl i forhold til spørgsmålet om omfanget af retten til erstatning under GPDR i denne sag.
Tre spørgsmål
Den østrigske domstol rettede derfor henvendelse til CJEU med henblik på en afgørelse.
Den østrigske domstol bad om svar på, om flere principielle spørgsmål:
- Er enhver overtrædelse af GDPR tilstrækkelig til at modtage erstatning?
- Er der en ’alvorstærskel’ for, hvornår en borger kan kræve erstatning for et såkaldt ’ikke-økonomisk’ GDPR-brud? Altså, hvor bruddet ikke direkte har kostet noget.
- Dertil bliver der spurgt, hvad der er EU-rettens krav til fastsættelse af erstatningsbeløbet.
Afgørelserne er truffet
CJEU traf derfor en række afgørelser.
Den første var, at ikke alle brud på GDPR er nok til at få kompensation. Der er tre krav: Der skal være begået et direkte brud på GDPR, der skal være sket enten materiel eller ikke-materiel skade som følge af bruddet, og der skal være en klar årsagssammenhæng mellem bruddet og den nævnte skade.
”Derfor giver ikke enhver overtrædelse af GDPR i sig selv ret til kompensation,” skriver CJEU. Det sker blandt andet med henblik på, at ikke alle GDPR-brud nødvendigvis medfører skade eller gene.
Den anden afgørelse er, at der ikke er en nedre grænse eller ’alvorstærskel’, for hvornår en ”skade” er tilstrækkelig til at kræve erstatning.
”GDPR indeholder ikke noget sådant krav, og en sådan begrænsning ville være i modstrid med den brede opfattelse af "skade", vedtaget af EU’s lovgivere,” skriver CJEU.
For det tredje fastslår CJEU, at GDPR ikke indeholder nogen regler for vurdering af skader, og at det derfor vil være den enkelte medlemsstats retssystem, der må behandle og vurdere detaljerne i sagen. CJEU understreger dog, at erstatningen er et krav, såfremt skade kan tilstrækkeligt påvises.
”Retten påpeger den kompenserende funktion af retten til erstatning, som GDPR giver, og minder om, at dette instrument sigter mod at sikre fuld og effektiv kompensation for den lidte skade,” lyder det afsluttende i CJEU’s meddelelse.
Vækker glæde
Den velkendte privacy-aktivist Max Schrems, som er manden bag Schrems II-dommen, glæder sig – sammen med hans organisation NYOB – over CJEU’s stillingtagen.
"Vi glæder os over afklaringerne fra EU-Domstolen. En hel industri forsøgte at omfortolke GDPR, for at undgå at skulle betale erstatning til brugere, hvis rettigheder de krænkede. Dette ser ud til at blive afvist. Vi er meget glade for resultatet," udtaler Max Schrems i en meddelelse og fortsætter:
"Vi har allerede set mange GDPR-sager blive afvist uden god grund. Hvis der ville have været en tærskel, ville det have været meget svært at definere det. Hvor mange minutter skulle du være vred eller græde? Loven forudser ikke en sådan tærskel, ligesom der ikke er nogen tærskel for noget andet krav. Man kan også anlægge sag over 5 øre, realiteten er bare, at det er der ingen, der gør."