Persondataforordningen/”GDPR” og Databeskyttelsesloven
—
Hos Concilio & Co rådgiver vi om Persondataforordningen (”GDPR”) og Databeskyttelsesloven.
Desuden fører vi sager for personer, som har været genstand for brud på de databeskyttelsesretlige regler; Det kan f.eks. være fordi, en arbejdsgiver ved en fejl er kommet til at sende lønsedler ud til de forkerte medarbejder, eller fordi personoplysninger ved en fejl er blevet offentliggjort på en hjemmeside.
Med ”personoplysninger” menes enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger.
Vi fører bl.a. også et stort antal sager for borgere i Gladsaxe Kommune, som er berørte af det stedfundne brud på datasikkerheden i december 2018, hvor 4 bærbare computer blev stjålet fra kommunens rådhus. Den ene computer indeholdt et Excel-ark med personoplysninger om mere end 20.000 borgere.
Under sagerne gør vi i henhold til GDPR og Databeskyttelsesloven gældende, at borgerne har ret til tortgodtgørelse, dvs. godtgørelse for ikke-økonomisk skade. Det er vores opfattelse, at borgerne har krav på mellem kr. 15.000 og kr. 50.000, afhængig af, hvilke oplysninger, der er lækket, og afhængig af, hvilken skadevirkning, databruddet konkret har haft for den enkelte borger.
Sagerne skal forventeligt for ved retten i Glostrup i efteråret 2020, og det er forventeligt, at borgerne får medhold i, at – i hvert fald de første af – sagerne skal afgøres af 3 dommere, fordi sagerne er principielle og kan få betydning for andre.
I dansk ret sondrer man mellem økonomisk skade og ikke-økonomisk skade. Det er vores opfattelse, at der i GDPR art. 82 og Databeskyttelseslovens § 40 er hjemmel til at tilkende en forurettet person, som har været udsat for brud på de databeskyttelsesretlige regler, en godtgørelse – Også selvom personen ikke har lidt noget økonomisk tab.
Hverken EU-Domstolen eller de danske domstole har endnu taget stilling til dette spørgsmål, men i England har op til 500.000 personer den 4. oktober 2019 fået tilladelse til at anlægge sag mod British Airways i et gruppesøgsmål ved Landsretten, som – netop – skal afgøre spørgsmålet om, hvorvidt der i GDPR art. 82 er hjemmel til godtgørelse for ikke-økonomisk tab.
British Airways er i august/september 2018 blevet hacket, i hvilken forbindelse der er stjålet oplysninger om de 500.000 kunder og deres foretagne rejser. For så vidt angår de ca. 380.000 af kunderne er der desuden stjålet kreditkortoplysninger. I gruppesøgsmålet for Landsretten vil kunderne kræve tortgodtgørelse for “the loss of control of their personal information, the distress and inconvenience caused”, dvs. tab af kontrol med egne personoplysninger samt lidelse og ulemper forårsaget af hændelsen. Desuden vil kunderne – i det omfang, de har lidt et tab – kræve erstatning.
Disse krav fra kunderne i gruppesøgsmålet bliver rejst uafhængigt af den bøde, som den engelske tilsynsmyndighed (ICO) – svarende til Datatilsynet herhjemme – har udstedt på £ 183.39 mio.
Hos Concilio & Co er vi selvfølgelig meget optaget af den engelske afgørelse, som dog – forventeligt – tidligst foreligger i 2021.