EU-domstolens dom av 11. april 2024.
Det følgende omtaler kun de deler av dommen som er relevant for personvernforordningen (GDPR).
Sentrale artikler behandlet:
– Artikkel 82(1), (2) og (3)
Hovedpunkter
- Saken gjaldt brudd på personvernfordningen ved at person mottok direkte markedsføring til tross for at denne hadde trukket samtykke og reservert seg mot markedsføring. Det var altså behandling uten grunnlag.
- Vedkommende krevde erstatning etter GDPR artikkel 82(1).
- Domstolen kom til at rett til brudd på GDPR er ikke i seg selv rett til å kreve erstatning.
- Det må i tillegg foreligge skade og sammenheng mellom bruddet på forordningen og det må være en sammenheng mellom skaden og bruddet på forordningen.
- At ansatt har brutt instruks er ikke tilstrekkelig til å frita behandlingsansvarlig for erstatningsansvar.
- Vilkårene i artikkel 83 for å ilegge overtredelsesgebyr har ikke betydning for utmåling av erstatningsbeløpet.
- Det at det foreligger flere brudd på forordningen har ikke betydning for størrelsen på erstatningsbeløpet.
Bakgrunn
En advokat benyttet et juridisk database levert av et selskap. Advokaten fant ut at selskapet benyttes hans data til direkte markedsføring, og trakk tilbake samtlige samtykker for markedsføring per telefon og epost. Han protesterte også mot behandling av hans personopplysninger utenom for mottak av nyhetsbrev.
Til tross for dette mottok advokaten markedsføring sendt til hans postadresse. Advokaten tok kontakt med selskapet per epost og minnet dem om at hans protest mot markedsføring og mente dette var ulovlig behandling av hans personopplysninger. Han krevde også erstatning etter GDPR artikkel 82. Etter dette mottok han ytterligere markedsføring.
Saken ble bragt inn for de nasjonale domstolene, som forespurte EU-domstolen i saken.
Artikkel 82(1) – Hva ligger i «ikke-materiell skade»?
For å kunne kreve erstatning etter GDPR artikkel 82 må det bl.a. foreligge «ikke-materiell skade». Spørsmålet som ble bragt inn for domstolen var om det kreves en viss grad av skade, eller om enhver overtredelse av forordningen er tilstrekkelig for å ha krav på erstatning.
1. Enhver person som har lidd materiell eller ikke-materiell skade som følge av en overtredelse av denne forordning, skal ha rett til å motta erstatning fra den behandlingsansvarlige eller databehandleren for den forvoldte skaden.
Domstolen har tidligere kommet til at enhver overtredelse av forordningen er ikke til strekkelig til å ha krav på erstatning, siden personen må ha «det må foreligge «lidd en «skade» og det må være en sammenheng mellom skaden og bruddet på forordningen. Alle disse tre forholdene må foreligge.
34 The Court has already interpreted Article 82(1) of the GDPR as meaning that the mere infringement of that regulation is not sufficient to confer a right to compensation, since the existence of ‘damage’, material or non-material, or of ‘damage’ which has been ‘suffered’ constitutes one of the conditions for the right to compensation laid down in Article 82(1), as does the existence of an infringement of that regulation and of a causal link between that damage and that infringement, those three conditions being cumulative
Den som krever erstatning må derfor påvise både brudd på forordningen og at bruddet har påført skaden. Men et brudd på forordningen er ikke i seg selv tilstrekkelig for at man skal ha krav på erstatning for ikke-materiell skade.
Allikevel kan ikke nasjonal rett sette krav til at skaden som den registrerte er påført er av en viss alvorlighetsgrad, og enhver person har krav på effektive rettsmidler mot en behandlingsansvarlig eller databehandler etter GDPR artikkel 79(1).
I denne saken mente advokaten at den har «mistet kontrollen over egne personopplysninger» siden disse ble behandlet uten lovlig grunnlag (samtykke var trukket, og det var protestert mot behandlingen). Fortalepunkt 85 nevner spesifikt at tap av kontroll over egne personopplysninger er noe som kan påføre ikke-materiell skade.
85. Et brudd på personopplysningssikkerheten kan, dersom det ikke håndteres på egnet måte og i rett tid, påføre fysiske personer fysisk, materiell eller ikke-materiell skade, f.eks. tap av kontroll over egne personopplysninger eller begrensning av egne rettigheter (…).
EU-domstolen har kommet til at tap av kontroll over egne personopplysninger, selv for en kort periode, kan gi rett til erstatning dersom den registrerte kan påvise en viss grad av skade.
Domstolen kom derfor til at overtredelse av personvernforordningen er ikke i seg selv tilstrekkelig for å bli tilkjent erstatning uavhengig av graden av omfang av skade den registrerte er påført.
Artikkel 82(2) og (3) – Behandlingsansvarliges ansvar for ansattes handlinger utenfor instruksjon
Det neste spørsmål var om behandlingsansvarlig kan vise til at bruddet var påført av en person som håndterer personopplysninger etter GDPR artikkel 29 og er derfor ikke erstatningsansvarlig.
Det følger av GDPR artikkel 82(2) at enhver behandlingsansvarlig som har vært involvert i behandlingen er ansvarlig for skade, om denne ikke kan godgjøre at denne på ingen måte er ansvarlig for hendelsen som førte til skaden, se artikkel 82(3). Domstolen har tidligere kommet til at den behandlingsansvarlige har bevisbyrden for at denne ikke er ansvarlig, og ikke den registrerte som er påført skaden.
Etter GDPR artikkel 29 kan de som behandler personopplysninger på vegne av den behandlingsansvarlige, kun gjøre dette etter instruksjon fra den behandlingsansvarlige.
Databehandleren og enhver person som handler for den behandlingsansvarlige eller databehandleren, og som har tilgang til personopplysninger, skal behandle nevnte opplysninger bare etter instruks fra den behandlingsansvarlige (…).
Etter artikkel 32(4) skal den behandlingsansvarlige sikre at ikke andre behandler personopplysninger foruten etter instruksjon. En ansatt av behandlingsansvarlige er klart en person som er under dennes instruksjon, og dermed må den behandlingsansvarlige som arbeidsgiver sikre at de ansatte kun behandler personopplysninger etter instruksjon. Behandlingsansvarlige kan derfor ikke frigjøre seg fra ansvar ved å vise til sine ansattes manglende overholdelse av instruksjoner.
Artikkel 82(1) – Kriteriene i for overtredelsesgebyrs betydning for erstatningens størrelse
Det ble så vurdert om kriteriene som kan benyttes for å vurdere størrelsen på overtredelsesgebyr i GDPR artikkel 83 skal ha betydning for utmåling av erstatning etter GDPR artikkel 82(1).
Domstolen presiserte at formålet med artikkel 82(1) og artikkel 83 har forskjellige formål, nemlig å tilkjenne erstatning og å sanksjonere med overtredelsesgebyr. Det følger også av artikkel 83 at kriteriene i bestemmelsen er for å beregne størrelsen på overtredelsesgebyr, som også er nevnt i fortalepunkt 148. Forordningen inneholder for øvrig ingen bestemmelser om utmåling av erstatning, så dette må de nasjonale domstoler utmåle under nasjonal rett, forutsatt at de overholder prinsippene om effektivitet og likhet under EU-rett.
Erstatning etter artikkel 82 skal sørge for kompensasjon, og ikke sanksjonerende i motsetning til artikkel 83 og 84. Selv om disse bestemmelsene har til hensikt å sørge for overholdelse av regelverket, så har de også ulike formål. Dette vises også ved at artikkel 82 ikke krever at bruddet på forordningen er av en viss alvorlighetsgrad for at man skal kunne tilkjennes erstatning, men skal sikre at den som utsettes for skaden får full og effektiv kompensasjon for skaden denne er utsatt for.
Domstolen fant derfor at kriteriene i artikkel 83 har ikke betydning og kan ikke anvendes for å utmåle størrelsen på erstatning etter artikkel 82(1).
Artikkel 82(1) – Om flere brudd på forordningen har betydning for størrelsen på erstatningen
Det ble også vurdert om flere brudd på personvernforordningen skal ha betydning for utmålingen av erstatningen.
Basert på ovennevnte, har artikkel 82(1) et kompenserende og ikke sanksjonerende formål. At det er begått flere overtredelser av forordningen, kan derfor ikke ha betydning for størrelsen på erstatningen til den registrerte. Kun skade som denne reelt er påført må hensyntas ved utmålingen av erstatningen for å vurdere erstatningsbeløpet som skal tilkjennes.
