Rekordhøje bøder til Europæiske virksomheder for overtrædelse af GDPR – Men hvad betyder det for borgerne i Gladsaxe Kommune? (November 2019)
Hos Concilio & Co fører vi et stort antal sager for borgere i Gladsaxe Kommune, som er berørte af det stedfundne brud på datasikkerheden i december 2018, hvor 4 bærbare computer blev stjålet fra kommunens rådhus. Den ene computer indeholdt et Excel-ark med personoplysninger om mere end 20.000 borgere.
Under sagerne gør vi i henhold til Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (mm.) (”GDPR”) og Lov 2018-05-23 nr. 502 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger (”Databeskyttelsesloven”), gældende, at borgerne har ret til tortgodtgørelse, dvs. godtgørelse for ikke-økonomisk skade. Det er vores opfattelse, at borgerne har krav på mellem kr. 15.000 og kr. 50.000, afhængig af, hvilke oplysninger, der er lækket, og afhængig af, hvilken skadevirkning, databruddet konkret har haft for den enkelte borger.
Sagerne skal forventeligt for ved retten i Glostrup i efteråret 2020, og det er forventeligt, at borgerne får medhold i, at – i hvert fald de første af – sagerne skal afgøres af 3 dommere.
Det er således med interesse, at vi hos Concilio & Co har konstateret, at Østrigs- og Tysklands tilsynsmyndigheder (svarende til Datatilsynet herhjemme) netop har udstedt bøder i millionklassen til henholdsvis den østrigske postvirksomhed Österreichische Post og det tyske ejendomsmæglerfirma Deutsche Wohnen.
Bøden til Österreichische Post blev givet for salg af kunders personoplysninger til politiske partier med henblik på målrettet markedsføring. Bøden blev derudover givet for manglende hjemmel til behandling af oplysninger om, hvor ofte, pakker blev leveret, og hvor ofte, kunder skiftede adresse.
Österreichische Post har indbragt bøden, som – foreløbigt – er fastsat til Euro 18 mio., for de tyske domstole, så bøden er ikke endelig.
Bøden til Deutsche Wohnen blev givet for opbevaring af personoplysninger om lejere i form af bl.a. lønsedler, kontoudskrifter, skatteoplysninger og ansættelseskontrakter samt oplysninger om sociale forhold i et arkivsystem, hvor det ikke var muligt at slette oplysningerne. Forholdet var allerede blevet påpeget over for Deutsche Wohnen i forbindelse med et kontrolbesøg i 2017. Da Deutsche Wohnen ikke havde taget dette til efterretning og sikret sig, at systemet fik en slettefunktion, havde Deutsche Wohnen overtrådt de databeskyttelsesretlige regler, og selskabet modtog en bøde, stor Euro 14,5 mio.
De to bøder illustrerer, at det kan blive dyrt at tilsidesætte de databeskyttelsesretlige regler.
Det er vores opfattelse, at det vil savne mening, at Österreichische Post skal betale en bøde på Euro 18 mio. til den østrigske statskasse, men borgerne, som har oplevet at få solgt personoplysninger med henblik på
målrettet markedsføring over for dem fra politiske partier – altså dem, databruddet reelt er gået ud over – ikke skulle være berettiget til godtgørelse.
GDPR er formentlig det lovgivningsmæssige tiltag på EU-plan, som har fået størst opmærksomhed i nyere tid. Men også det lovgivningsmæssige tiltag, som reelt har været forbundet med den største, enkeltstående lovgivningsmæssige omvæltning for europæiske virksomheder og myndigheder.
På den baggrund vil det savne fuldstændig mening, hvis dette omfattende regelsæt ikke også tilsiger borgerne i medlemsstaterne nogle beføjelser og rettigheder, herunder rettigheder af økonomisk art, hvis de bliver krænket som følge af brud på datasikkerheden.
Bødeniveauet i afgørelserne fra Østrig og Tyskland afspejler, at myndighederne ser alvorligt på overtrædelser af GDPR, og dette bør selvfølgelig ikke kun være i forhold til bødestørrelsen, men også i forhold til borgernes individuelle rettigheder.