Kilder for personvern/GDPR » Rettsavgjørelser og andre avgjørelser » Avgjørelser fra EU-domstolen – CJEU » C-590/22 PS

C-590/22 PS

EU-domstolens dom av 20. juni 2024.

Det følgende omtaler kun de deler av dommen som er relevant for personvernforordningen (GDPR).

Sentrale artikler behandlet:
Artikkel 82(1)

Hovedpunkter

  • Et skatterådgivningsfirma feilsende skattemelding for to kunder, hvor det kan være oversendt omfattende opplysninger om kundene, herunder sensitive opplysninger. Det var uklart om mottakerne hadde fått disse opplysningene Kundene krevde erstatning for ikke-materiell skade etter GDPR artikkel 82(1) til tross for at det ikke kunne påvises at opplysningene var kommet tredjepersoner til kunnskap.
  • Domstolen fant at ikke ethvert brudd på forordningen gir i seg selv rett erstatning, og den som krever erstatning må påvise brudd på forordningen, at denne var påført skade og at bruddet forårsaket skaden. Det kan følgelig ikke kreves etter nasjonal rett at skaden må være av en viss alvorlighet.
  • En persons frykt for at dennes personopplysninger har blitt kjent for tredjeperson som følge av brudd på forordningen, er tilstrekkelig for erstatning selv om det ikke kan påvises at tredjepersoner fikk kjennskap til opplysningene, men bare om de negative konsekvensene kan påvises.
  • Kriteriene for å utmåle overtredelsesgebyr i artikkel 83(2) har ikke betydning for utmåling av erstatning, og erstatning skal ikke ha en preventiv virkning.
  • For å utmåle erstatning etter GDPR er det ikke nødvendig å hensynta samtidig brudd på nasjonal lovgivning vedrørende beskyttelse av personopplysninger, men som ikke har til hensikt å presisere reglene i GDPR.

Bakgrunn

To kunder av et skatterådgivningsfirma informerte firmaet om endring av sine postadresser, men firmaet sendte skattemeldingen til deres tidligere adresser. Mottakerne på de tidligere adressene åpnet skattemeldingene, og informerte kundene om dette og returnerte skattemeldingene til dem.

Det var trolig at det var sendt med et dokument med skattemeldingen som inneholdt mye sensitiv data om kundene, som navn, fødselsdato, yrker, arbeidsgiver, barn, identifikasjonsnummer, bankdetaljer, informasjon om medlemskapet i religiøst samfunn, funksjonshemmingen til et familiemedlem, yrker og arbeidsgiver, og ulike utgifter de hadde. Det var imidlertid ikke mulig å fastslå om denne informasjonen var sendt til feil adresse, og dermed åpnet av mottakerne.

Kundene krevde EUR 15.000 i erstatning for ikke-materiell skade som følge av at personopplysningene deres var blitt gjort tilgjengelig for tredjeparter. Domstolen måtte derfor vurdere en rekke spørsmål knyttet til erstatnings for ikke-materiell skade etter GDPR artikkel 82(1).

GDPR artikkel 82(1) – Må skaden være av en viss alvorlighet?

Domstolen vurderte først om et brudd på GDPR er i seg selv tilstrekkelig for å ha rett til erstatning eller om den som har vært utsatt for bruddet må påvise skade av en viss alvorlighetsgrad som er forårsaket av bruddet.

Etter artikkel 82(1) har enhver som har lidd materiell eller ikke-materiell skade som følge av en overtredelse av GDPR rett til erstatning for den forvoldte skaden. Etter tidligere dommer fra domstolen er det et krav om at det har vært «skade» som er «er lidd» (påført) er forutsetninger for rett til erstatning etter bestemmelsen. I tillegg må det være en sammenheng mellom bruddet på forordningen og skaden. Alle disse tre forholdene må foreligge.

Derfor kan ikke ethvert brudd på forordningen i seg selv gi rett til erstatning. Den som krever erstatning må derfor både påvise et brudd på forordningen, men også at bruddet forårsaket skaden. Men dette innebærer også at det kan ikke kreves etter nasjonal rett at skaden må ha kvalifikasjoner, som å være av en viss alvorlighet. Personen må allikevel påvise at denne var påført materiell eller ikke-materiell skade.

28      (…) Article 82(1) of the GDPR must be interpreted as meaning that an infringement of that regulation is not, in itself, sufficient to give rise to a right to compensation under that provision. The data subject must also establish the existence of damage caused by that infringement, without, however, that damage having to reach a certain degree of seriousness.

Artikkel 82(1) – Er frykt for at andre har hatt tilgang til personopplysningene tilstrekkelig for erstatning?

Så vurderte domstolen om det at en persons frykt for at dennes personopplysninger har vært tilgjengelig for andre som følge av brudd på forordningen, uten at dette kan påvises, er tilstrekkelig for å gi rett til erstatning for ikke-materiell skade.

I denne saken var det ikke mulig å påvise at mottakere på den tidligere adressen hadde mottatt personopplysningene. Etter tidligere avgjørelser av domstolen, samt i lys av fortalepunkt 85 og 146, skal «ikke-materiell» skade tolkes vidt, og for å sikre et høyt nivå av sikring av personvernet til den enkelte, kan frykt for misbruk av personopplysninger som følge av brudd på forordningen være tilstrekkelig, i seg selv, å være «ikke-materiell skade» etter artikkel 82(1).

Tap kontrollen over ens egne personopplysninger, selv i en kort periode, kan være «ikke-materiell skade» som gir rett til erstatning, forutsatt at påvise at denne er påført slik skade. Men brudd på forordningen er ikke tilstrekkelig i seg selv til rett til erstatning.

33      The loss of control over personal data, even for a short period of time, may constitute ‘non-material damage’, within the meaning of Article 82(1) of the GDPR, giving rise to a right to compensation, provided that the data subject can show that he or she has actually suffered such damage, however slight, bearing in mind that the mere infringement of the provisions of that regulation is not sufficient to confer a right to compensation on that basis (…)

Man må derfor kunne påvise at en reelt sett er påført en materiell eller ikke-materiell skade, hvor en ren påstand om frykt ikke er tilstrekkelig.

36      (…) a person’s fear that his or her personal data have, as a result of an infringement of that regulation, been disclosed to third parties, without it being possible to establish that that was in fact the case, is sufficient to give rise to a right to compensation, provided that that fear, with its negative consequences, is duly proven.

Artikkel 82(1) – Fastsettelse av erstatningens størrelse

Domstolen vurderte så om kriteriene for å vurdere et overtredelsesgebyrs størrelse etter GDPR artikkel 83(2) skal ha betydning for hvor stor erstatning som skal gis etter artikkel 82, og om erstatningen skal ha en preventiv virkning.

GDPR artikkel 82 og 83 har ulikt formål. Den ene bestemmelsen gjelder erstatning og den andre gjelder overtredelsesgebyr. Derfor kan ikke kriteriene i artikkel 83(2) benyttes for å utmåle erstatning etter artikkel 82.

GDPR inneholder imidlertid ingen bestemmelser for hvordan erstatning som følge av brudd på forordningen skal utmåles, og derfor må nasjonal lovgivning legges til grunn for utmålingen. Men nasjonal lovgivning må sikre at prinsippene for effektivitet og likhet i forordningen overholdes. Videre har ikke artikkel 82 en straffende funksjon, så alvorlighetsgraden for bruddet på forordningen kan ikke få betydning for størrelsen på erstatningen. Erstatningsbeløpet kan heller ikke overstige hva som utgjør full kompensasjon for den oppståtte skaden.

Det følger av fortalepunkt 146 at den registrerte bør få full og effektiv erstatning for den skade som denne har lidd, som innebærer at erstatningen skal ikke ha noen straffende effekt.

44      (…) in order to determine the amount of damages due as compensation for damage based on that provision, it is not necessary, first, to apply mutatis mutandis the criteria for setting the amount of administrative fines laid down in Article 83 of that regulation and, second, to confer on that right to compensation a dissuasive function

Artikkel 82(1) – Nasjonale reglers betydning for erstatningen

Det siste spørsmålet domstolen vurderte var om det forhold at det forelå brudd på nasjonale lovgivning i tillegg til GDPR skal ha betydning for utmålingen av erstatning.

Det følger av fortalepunkt 146 at behandling i strid med forordningen gjelder også behandling i strid med medlemslandenes nasjonale rett som presiserer bestemmelsene i forordningen. Domstolen mener imidlertid at brudd på nasjonal rett er ikke relevant for å vurdere erstatning etter artikkel 82(1), og brudd på nasjonal rett er ikke dekket av artikkel 82(1).

En person kan derfor få høyere erstatning enn det som tilkjennes etter GDPR («full og effektiv kompensasjon») hvor skaden var også forårsaket av overtredelser av nasjonal rett.

For å utmåle erstatning etter GDPR er det derfor ikke nødvendig å hensynta samtidig brudd på nasjonal lovgivning vedrørende beskyttelse av personopplysninger, men som ikke har til hensikt å presisere reglene i GDPR.

50      (…) in order to determine the amount of damages due as compensation for damage based on that provision, it is not necessary to take account of simultaneous infringements of national provisions which relate to the protection of personal data but which are not intended to specify the rules of that regulation.

Nyhetsbrev