Kilder for personvern/GDPR » Rettsavgjørelser og andre avgjørelser » Avgjørelser fra EU-domstolen – CJEU » C-182/22 Scalable Capital

C-182/22 Scalable Capital

EU-domstolens dom av 22. juni 2024.

Det følgende omtaler kun de deler av dommen som er relevant for personvernforordningen (GDPR).

Sentrale artikler behandlet:
Artikkel 82(1)

Hovedpunkter

  • Saken gjaldt krav om erstatning for ikke-materiell skade etter GDPR artikkel 82(1) som følge av at personopplysninger kom i hende til uvedkommende, men uten at det var påvist at opplysningene var blitt misbrukt.
  • Erstatning etter artikkel 82(1) har en kompenserende funksjon slik at skade som en følge av overtredelse av GDPR skal bli kompensert fullstendig, men erstatning etter artikkel 82(1) har ikke preventiv (straffende) virkning.
  • Alvorlighetsgraden og potensielt forsett ved brudd på GDPR skal ikke ha betydning for erstatning som tilkjennes etter artikkel 82(1).
  • Ikke-materiell skade som er påført som følge av brudd på GDPR er ikke mindre betydningsfullt enn fysisk skade, og dette skal ikke ha betydning for erstatning som idømmes.
  • En nasjonal domstol kan, dersom skaden ikke er alvorlig, innrømme minimal erstatning forutsatt at erstatningen gir full dekning for skaden som er lidt.
  • Det er ikke påkrevet at det foreligger et tyveri av personopplysninger for at det skal idømmes erstatning for ikke-materiell skade etter artikkel 82(1) knyttet til identitetstyveri eller -bedrageri eller at identiteten til den registrerte reelt sett er misbrukt.

Bakgrunn

To personer åpnet konto hos et selskap som drev en investeringsplattform, og i den sammenheng la inn navn, fødselsdato, post og e-post-adresser, og kopier av identifikasjonspapirer. Selskapet ble utsatt for et dataangrep og personenes opplysninger kom i hende på ukjente tredjeparter. Det var ikke påvist at opplysningene er benyttet til utpressing mv.

Personene krevde erstatning for ikke-materiell skade som følge av at opplysningen var kommet på avveie etter GDPR artikkel 82(1) som lyder:

(…) Enhver person som har lidd materiell eller ikke-materiell skade som følge av en overtredelse av denne forordning, skal ha rett til å motta erstatning fra den behandlingsansvarlige eller databehandleren for den forvoldte skaden.

Artikkel 82(1) – Preventiv og kompenserende funksjon?

Domstolen vurderte om erstatning etter artikkel 82(1) har en kompenserende funksjon, eller om bestemmelsen også skal ha en preventiv funksjon som gjør at erstatningen kan overstige kompensasjon.

Det følger av andre avgjørelser fra domstolen at artikkel 82(1) er kompenserende og ikke preventiv (straffende), i motsetning til artikkel 83 og 84. Artikkel 82(1) har, spesielt for ikke-materiell skade, kun en kompenserende funksjon, men skade skal kompenseres fullstendig.

Artikkel 82(1) – Alvorlighetsgraden og intensjonene ved overtredelsen

Domstolen vurderte så om alvorligheten og intensjonene for overtredelsen av GDPR ha betydning for vurderingen av om det skal gis erstatning under artikkel 82.

Det er de nasjonale domstoler som under nasjonal rett må vurdere om erstatning skal idømmes, hensyntatt prinsippene om effektivitet og likhet under EU-rett. Erstatning etter artikkel 82 krever imidlertid at det foreligger brudd på GDPR av den behandlingsansvarlige, som er ansvarlig om denne ikke påviser at den på ingen måte var ansvarlig for hendelsen som førte til skaden. Videre så krever ikke artikkel 82 at alvorligheten av bruddet hensyntas ved utmåling av erstatningens størrelse.

Siden erstatning etter artikkel 82 skal sørge for kompensasjon, vil ikke potensielt forsettlig brudd på forordningen ha betydning for størrelse på erstatning for ikke-materiell skade. Erstatningens størrelse må imidlertid være egnet for å gi kompensasjon for hele skaden som faktisk er påført som følge av bruddet.

Alvorlighetsgraden og potensielt forsett ved brudd på GDPR skal altså ikke ha betydning eventuell tilkjenning av erstatning etter artikkel 82(1).

30 (…) Article 82(1) of the GDPR must be interpreted as not requiring that the severity and the possible intentional nature of the infringement of that regulation by the controller be taken into account for the purposes of compensation for damage under that provision.

Artikkel 82(1) – Ikke-materiell skade vs. fysisk skade

Når størrelsen på erstatning for ikke-materiell skade, skal det hensyntas at skaden er – av natur – mindre betydningsfullt enn fysisk skade?

I mangel av regulering innenfor EU-retten skal nasjonal rett avgjøre rettighetene til enkeltpersoner under forutsetning at disse, i situasjoner som følger EU-retten, ikke gir mindre rettigheter etter EU-rett enn man har etter nasjonal rett (ekvivalensprinsippet) og kan ikke gjøre det mer vanskelig eller umulig i praksis å utøve rettigheter etter EU-rett (effektivitetsprinsippet). GDPR har ikke regler for å fastsette størrelsen på erstatning, så dette må derfor overlates til nasjonal rett under forutsetning at nevnte prinsipper følges.

Økonomisk kompensasjon må imidlertid etter artikkel 82(1) og fortalepunkt 146 være «full og effektiv» for å kompensere skaden som er påført fullstendig. Skade skal i slike sammenhenger forstås vidt i henhold til praksis fra EU-domstolen. Fortalepunkt 75 og 85 nevner flere omstendigheter som skal anses å være fysiske, materielle og ikke-materielle, uten at dette rangerer eksemplene eller indikere at noen er mer betydningsfulle enn andre.

75. (…) behandlingen kan føre til forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger, uautorisert oppheving av pseudonymisering eller andre betydelige økonomiske eller sosiale ulemper, når de registrerte kan bli fratatt sine rettigheter og friheter eller bli hindret i å utøve kontroll over egne personopplysninger, (…)

85. Et brudd på personopplysningssikkerheten kan, dersom det ikke håndteres på egnet måte og i rett tid, påføre fysiske personer fysisk, materiell eller ikke-materiell skade, f.eks. tap av kontroll over egne personopplysninger eller begrensning av egne rettigheter, forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, uautorisert oppheving av pseudonymisering, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper for den berørte fysiske personen.

Å legge til grunn at fysisk skade er mer betydningsfull enn ikke-materiell skade, vil kunne medføre at det ikke gis full erstatning for ikke-materiell skade som er påført. Derfor finner domstolen at ikke-materiell skade som er påført som følge av brudd på GDPR ikke mindre betydningsfullt enn fysisk skade.

Artikkel 82(1) – Kan erstatningen være minimal og kun symbolsk?

I det tilfelle det foreligger skade, kan nasjonal domstol, dersom skaden ikke er alvorlig, tilkjenne minimal erstatning som kan sees på som symbolsk?

Domstolen minnet i denne sammenheng på at kun at det foreligger et brudd på GDPR er ikke tilstrekkelig i seg selv for å bli tilkjent erstatning, siden det må foreligge også «skade», materiell eller ikke-materiell, som den registrerte må ha «lidd» som en konsekvens av bruddet på GDPR. Alle disse tre forhold må foreligge, og må påvises av den som krever erstatning.

Kan disse tre forholdene påvises, er det, som nevnt ovenfor, opp til de nasjonale domstolene å vurdere størrelsen på erstatningen, forutsatt at denne er fullstendig og effektiv. Det følger av praksis fra EU-domstolen at erstatning etter artikkel 82(1) ikke skal oppfylle et minimumsnivå for retten til erstatning. Dette forhindrer derfor ikke nasjonale domstoler, etter egen vurdering, å gi et mindre beløp i erstatning forutsatt at dette representerer en full kompensasjon for skaden.

Derfor kan en nasjonal domstol, dersom skaden ikke er alvorlig, innrømme minimal erstatning forutsatt at erstatningen gir full dekning for skaden som er lidt.

Artikkel 82(1) – Identitetstyveri

Domstolen ble så forespurt om det kreves at identiteten til den registrerte misbrukes etter et tyveri av personopplysninger for at det skal gis erstatning for ikke-materiell skade etter artikkel 82(1) som følge av «identitetstyveri», omtales i fortalepunkt 75 og 85, se ovenfor. Eller om det er tilstrekkelig at tredjepart bare har fått tilgang til opplysningene uten at det har skjedd et «tyveri» og så misbruker identiteten til den registrerte.

«Identitetstyveri» er ikke definert i GDPR, men nevnes som eksempler i en ikke-fullstendig liste for forhold som kan medføre materiell og ikke-materiell skade i fortalepunktene som nevnt. At det skilles mellom «identitetstyveri» og «identitetsbedrageri» har ingen betydning. Det er heller ingen forutsetning for at det skal skje identitetstyveri eller -bedrageri at personopplysninger er på avveie («stjålet»).

Erstatning for ikke-materiell skade etter artikkel 82(1) kan ikke begrenses til tilfeller hvor personopplysninger tas («stjeles») og så fører til identitetstyveri eller -bedrageri. Tyveri av personopplysninger gir i seg selv rett til erstatning dersom de tre vilkårene for erstatning er oppfylt, se ovenfor. Derfor vil en registrert kunne ha rett til erstatning uavhengig av om personopplysningene er stjålet og er så benyttet til identitetstyveri eller -bedrageri.

Nyhetsbrev