Krav om erstatning på grunn av brudd på GDPR eksisterer bare hvis det faktisk har oppstått en skade. Det har EU-domstolen avgjort med dom av 4. mai 2023 (sak C-300/21).
Bedrifter håndterer store mengder sensitive personopplysninger. Dette stiller høye krav til databeskyttelse, og brudd på personvernforordningen (GDPR) kan føre til store bøter og erstatningskrav, forklarer forretningsadvokatfirmaet MTR Legal, som også gir råd til sine klienter om IT-rett og databeskyttelse.
EU-domstolen har nå avgjort at krav om erstatning på grunn av brudd på GDPR først eksisterer når det faktisk har oppstått en skade. Dommerne i Luxembourg satte imidlertid ikke terskelen for skade til å være særlig høy. En betydelig skade er ikke en betingelse.
Foran EU-domstolen handlet det om en sak fra Østerrike. Her hadde en mann saksøkt det østerrikske postvesenet for ikke-økonomisk erstatning. Årsaken var at posten ved hjelp av en algoritme og underliggende sosiale og demografiske egenskaper hadde samlet informasjon om partipreferanser. Disse dataene ble ikke offentliggjort, men var ment for partienes valgkampanjeformål. For mannen ble det en tilknytning til et bestemt parti. Dette likte mannen ikke. Han saksøkte i henhold til art. 82 GDPR for ikke-økonomisk erstatning.
Den østerrikske høyesterett oversendte saken til EU-domstolen, som avgjorde at et enkelt brudd på GDPR ikke i seg selv gir krav på erstatning. Kravet om erstatning er betinget av tre forutsetninger: For det første må det foreligge et brudd på GDPR. Dessuten må det ha oppstått en økonomisk eller ikke-økonomisk skade, og bruddet på GDPR må være årsaken til dette. Dermed fører ikke hvert brudd på GDPR automatisk til erstatningskrav.
Imidlertid eksisterer ikke kravet om ikke-økonomisk erstatning først ved en viss betydelighet. Det finnes ingen bagatelltilfeller. GDPR fastsetter ikke kriterier for vurdering av skade, dette er opp til EU-medlemsstatene. Disse må imidlertid påse at det gis full og effektiv erstatning for det påførte tapet, ifølge EU-domstolen.
Ved håndtering av personopplysninger kreves stor forsiktighet etter EU-dommen. Advokater med erfaring innen IT-rett gir råd hos MTR Legal i spørsmål om databeskyttelse.
