En ny dom fra Østre Landsret kan skabe rystelser i GDPR-landskabet.
"Ny dansk dom kan ændre praksis for erstatning efter GDPR," skriver Datatilsynet i en udmelding om dommen.
Sagen omhandler, at et ægtepar har sagsøgt Hillerød Kommune med det formål om godtgørelse og immateriel skade, da kommunen ved en aktindsigt har videregivet oplysninger om de to personer til den ene persons tidligere ægtefælde.
Det drejer sig blandt andet om oplysninger om, at den ene part lider af bipolar lidelse samt informationer om den ene parts ansøgning om økonomisk støtte til et efterskoleophold for sit barn.
Landsretten fandt, at udleveringen af helbredsoplysninger var en overtrædelse af GDPR’s artikel 9, og at dette havde påført en immateriel skade. Derfor får den forurettede 2.500 kroner i erstatning, men dette beløb er blot en lille del af sagens betydning.
Det er dog kun delingen af helbredsoplysninger og ikke de økonomiske forhold, der har kastet en afgørelse om økonomisk erstatning af sig.
Et nybrud
Dommen er blevet anket til Højesteret, hvor ægteparret vil forsøge at få erstatningen forøget og også prøve at få erstatning for delingen af økonomiske oplysninger, og hvis Højesteret ender med at give erstatning, som landsretten netop har besluttet, kan det betyde et nybrud inden for danske GDPR-erstatninger.
Det er nemlig i dag sådan, at krav om erstatning, hvor der ikke direkte har været et økonomisk tab for parten, skal vurderes ud fra erstatningsansvarsloven.
Retten har generelt krævet en 'kvalificeret skadevirkning', hvilket betyder, at en borger ikke kan få erstatning blot ved en krænkelse af GDPR, men at det kræver en mere alvorlig og mærkbar effekt på den forurettede. Men dette kan nu ændre sig, så det bliver langt lettere at få erstatning for GDPR-brud.
Der har nemlig tidligere været eksempler, hvor erstatning er blevet afvist.
"Et eksempel herpå er Østre Landsrets dom af 11. maj 2021, hvor 7 borgere søgte erstatning for en kommunes overtrædelse af databeskyttelsesforordningen. Retten afviste erstatning med den begrundelse, at bruddet – sammenholdt med arten og karakteren af oplysningerne – ikke havde medført en skade af en sådan karakter, at der kunne gives erstatning," skriver Datatilsynet.
Hvis afgørelsen stadfæstes eller måske endda ender med en større erstatning, vil det betyde, at der kommer præcedens for at uddele GDPR-erstatninger. Det betyder, at det får stor betydning for borgeres muligheder for at få disse erstatninger, og at mange virksomheder og organisationer vil være i større risiko for at skulle betale dem ved GDPR-brud.
Det er ikke de 2.500 kroner i denne sag, som er af stor betydning, men det kan betyde, at borgere kan gå sammen om større søgsmål eller, at der pludselig er mange GDPR-sager, hvor der skal betales erstatning efter forordningens artikel 82, som omhandler erstatningsansvar.
"Afgørelsen fra august kan, hvis den stadfæstes i Højesteret, blive et nybrud i dansk ret. Erstatningen på 2.500 kroner er et mindre beløb, men hvis tusindvis af borgere vælger at anlægge sag i forbindelse med samme brud – eksempelvis via gruppesøgsmål – kan konsekvenserne for virksomheder og myndigheder blive omfattende," skriver Datatilsynet.