EU-domstolens dom av 4. oktober 2024.
Det følgende omtaler kun de deler av dommen som er relevant for personvernforordningen (GDPR).
Sentrale artikler behandlet:
– Artikkel 82(1)
Hovedpunkter
- Spørsmålene som ble vurdert av domstolen var om et brudd på personvernet og GDPR er tilstrekkelig til at det foreligger «skade» som gir rett til kompensasjon etter artikkel 82(1), om en beklagelse er tilstrekkelig kompensasjon, og om holdningen og motivasjonen til den som påførte skaden (behandlingsansvarlig) har betydning for kompensasjonens størrelse.
- Brudd på personvernet og GDPR er ikke – i seg selv – tilstrekkelig for at det skal foreligge «skade» som gjør at en registrert har krav på kompensasjon etter artikkel 82(1).
- Å gi en beklagelse kan være tilstrekkelig kompensasjon for ikke-materiell skade etter nasjonal lov, som i situasjoner hvor det ikke er mulig å gjenopprette situasjonen før skaden oppsto, forutsatt at slik beklagelse er tilstrekkelig til å gi full kompensasjon for skaden den registrerte er påført.
- Holdningen og motivasjonen til den som påfører skaden har ikke betydning for om kompensasjon skal ilegges og dennes størrelse, selv om kompensasjonen er mindre enn skaden som den registrerte har reelt blitt påført.
Bakgrunn
Det latviske forbrukerombudet lagde og gjorde tilgjengelig online en video som imiterte en latvisk journalist. Journalisten hadde ikke samtykket til videoen og krevde den fjernet, samt krevde kompensasjon for skaden videoen hadde gjort på hans omdømme. Forbrukerombudet avslo å fjerne videoen og tilbakeviste at det var skjedd brudd på personvernlovgivningen, og derfor også å gi kompensasjon.
Saken ble bragt inn for latviske domstoler som fant at videoen og publiseringen av denne var ulovlig, men avslo kravet om kompensasjon og påla ombudet å beklage forholdet.
Spørsmålene som EU-domstolen skulle vurdere var om et brudd på GDPR er tilstrekkelig til at det foreligger «skade» som gir rett til kompensasjon etter artikkel 82, om en beklagelse er tilstrekkelig kompensasjon, og om holdningen og motivasjonen til den som påførte skaden har betydning for kompensasjonens størrelse.
Artikkel 82(1) – Er et brudd på personvernet tilstrekkelig grunnlag for erstatning?
Etter artikkel 82(1) følger det:
1. Enhver person som har lidd materiell eller ikke-materiell skade som følge av en overtredelse av denne forordning, skal ha rett til å motta erstatning fra den behandlingsansvarlige eller databehandleren for den forvoldte skaden.
Merk at etter den norske oversettelsen av artikkel 82(1) kan det kreves «erstatning», mens etter den engelske versjonen av GDPR kan man kreve «compensation». «Kompensasjon» må forstås videre enn «erstatning» etter den alminnelige forståelsen av ordet i Norge og under norsk rett, og derfor må dommen leses i lys av dette. Det brukes derfor «kompensasjon» og ikke «erstatning» i det følgende.
Det følger av tidligere praksis fra EU-domstolen at for at det skal foreligge brudd på artikkel 82 så må foreligge en «skade» som er «lidt», samt at det må foreligge årsakssammenheng mellom bruddet på bestemmelsen og skaden som er påført. Den som krever kompensasjon må derfor både kunne på vise at det et brudd som er årsaken til skaden.
24 The Court has repeatedly interpreted Article 82(1) to the effect that mere infringement of that regulation is not sufficient to confer a right to compensation on that basis, since the existence of ‘damage’, whether material or non-material, or of ‘damage’ which has been ‘suffered’ constitutes one of the conditions for the right to compensation laid down in that provision, as does the existence of an infringement of the provisions of that regulation and of a causal link between that damage and that infringement, those three conditions being cumulative. Accordingly, the person seeking compensation for non-material damage on the basis of that provision is required to establish not only infringement of that regulation, but also that that infringement has actually caused him or her such damage (…).
Retten til erstatning kan derfor ikke settes som vilkår at det har skjedd et uberettiget inngrep i den registrertes personvern. På den andre siden kan ikke et slikt inngrep i seg selv gi rett til kompensasjon.
Domstolen kom derfor til at brudd på personvernet og GDPR er ikke – i seg selv – tilstrekkelig for at det skal foreligge «skade» som gjør at en registrert har krav på kompensasjon etter artikkel 82(1).
Artikkel 82(1) – Er en beklagelse tilstrekkelig kompensasjon ved brudd på personvernet?
Domstolen vurderte så om beklagelse er tilstrekkelig «kompensasjon» (omtales som «erstatning» i den norske versjonen av GDPR, se ovenfor) for ikke-materiell skade etter artikkel 82(1).
Etter EU-rett kan ikke nasjonal rett gi mindre rettigheter etter EU-rett enn man har etter nasjonal rett (ekvivalensprinsippet) og kan ikke gjøre det mer vanskelig eller umulig i praksis å utøve rettigheter etter EU-rett (effektivitetsprinsippet). Men siden EU-rett (som GDPR) ikke gir regler om vurdering av rett til kompensasjon, kan det gis slike regler under nasjonal lov forutsatt at prinsippene om ekvivalens og effektivitet følges, og at slik kompensasjon er tilstrekkelig og effektiv.
32 In the present case, since the GDPR does not contain any provision intended to define the rules on the assessment of the damages due under the right to compensation laid down in Article 82 of that regulation, national courts must, to that end, apply the domestic rules of each Member State relating to the extent of financial compensation, provided that the principles of equivalence and effectiveness of EU law are observed (…).
Domstolen har tidligere fastslått at om skaden for den registrerte ikke er alvorlig, kan nasjonale domstoler gi minimal kompensasjon forutsatt at kompensasjonen er tilstrekkelig for å dekke. Dette kan man ifølge latvisk rett.
35 Furthermore, the Court has accepted that where the damage suffered by the data subject is not serious, a national court may compensate for it by awarding minimal compensation to that person, provided that the small amount of damages thus granted is such as to offset in full that damage, which it is for that court to ascertain (…).
Derfor kan en beklagelse være tilstrekkelig som kompensasjon for ikke-materiell skade som er påført, forutsatt at prinsippene for ekvivalens og effektivitet er hensyntatt, spesielt om denne kompenserer den ikke-materielle skaden fullstendig, i den enkelte sak. Dette kan gjelde i saker hvor det ikke er mulig å gjenopprette situasjonen før skaden oppsto.
36 Likewise, Article 82(1) of the GDPR does not preclude the making of an apology from being able to constitute standalone or supplementary compensation for non-material damage, as laid down in the present case in Article 14 of the Law of 2005, provided that such a form of compensation complies with those principles of equivalence and effectiveness, in particular in that it must serve to compensate in full the non-material damage that has actually been suffered as a result of the infringement of that regulation, which it is for the national court before which the case has been brought to ascertain, taking account of the circumstances of each individual case.
Artikkel 82(1) – Har holdningen og motivasjonen til den som påfører skaden betydning for kompensasjonen?
Etter artikkel 83(2)(k), jf. fortalepunkt 148, kan holdningen og motivasjonen til den som forårsaker skaden ha betydning som «enhver annen skjerpende eller formildende faktor ved saken» i vurdering om det skal ilegges overtredelsesgebyr. Men det er ikke vist til artikkel 83 eller slike faktorer i artikkel 82, og artikkel 83 kan derfor ikke ha betydning for om det skal ilegges kompensasjon eller størrelsen på denne etter artikkel 82.
Dette fordi artikkel 82 kun har en kompenserende funksjon, og ikke en straffende. Derfor kan ikke alvorlighet og mulig intensjon hensyntas under vurdering av kompensasjon.
42 In the second place, the exclusively compensatory function of the right to compensation provided for in Article 82(1) of the GDPR precludes the taking into account of the severity and possible intentional nature of the infringement of that regulation by the controller for the purposes of compensation for damage under that provision (…).
43 (…) the gravity of such an infringement cannot influence the amount of damages granted under Article 82(1) and that amount cannot be set at a level that exceeds full compensation for that damage (…). Only the damage actually suffered by the data subject must be taken into consideration in order to determine the amount of such monetary compensation (…).
Som en følge av dette kan ikke kompensasjonen overstige total kompensasjon som kan gis, se ovenfor, og kun skade som den registrerte faktisk er påført kan danne grunnlag for kompensasjonen.