Der blev den 11. maj 2021 af Retten i Glostrup truffet afgørelse i 7 principielle sager, som var anlagt af borgere i Gladsaxe Kommune i anledning af kommunens behandling af deres personoplysninger. For de 7 sagsøgere førte jeg sagerne, som er de første af deres art i Danmark vedr. Persondataforordningen (af de fleste måske bedre kendt som ”GDPR”).

Baggrunden for sagerne er, at der i november/december 2018 blev stjålet 4 bærbare computere fra Gladsaxe Kommunes rådhus. På den ene computer var der gemt et regneark med personoplysninger om 20.620 borgere, herunder de 7 sagsøgere, som var udarbejdet af kommunen til brug for kontrol af mellemkommunal refusion. Computerens harddisk var ikke krypteret, og lagringen af regnearket på lokaldrevet var en overtrædelse af kommunens egen sikkerhedspolitik.

De 7 borgere (på nær én) var alle registreret i regnearket med fulde navn, adresse og CPR-nummer, og for visse af dem, var der desuden oplysninger om modtagelse af boligtilskud. 5 af borgerne var desuden registreret med helbredsoplysninger af forskellig art – én af borgerne tilmed, fejlagtigt, registreret med tilknytning til en institution for psykisk syge. Én af de 7 borgere, som stod anført i regnearket med fulde navn og adresse samt CPR-nr., har adressebeskyttelse som følge af en konkret risiko. To af borgerne har i øvrigt efterfølgende været udsat for identitetstyveri – den ene af dem har tilmed fået tømt sin bankkonto.

Under sagen afgav 4 af borgerne partsforklaring, og efter min opfattelse var det helt åbenbart, at de alle har været – og stadig er – ekstremt påvirket af hændelsen, som har været en stor psykisk belastning. Også større, end jeg nogensinde har forestillet mig, og deres forklaringer gjorde virkelig indtryk på mig.

Under sagen gjorde jeg på vegne de 7 borgere gældende, at de er berettiget til tort-godtgørelse i henhold til Persondataforordningens art. 82, som bærer overskriften ”Ret til erstatning og erstatningsansvar”. Af bestemmelsens stk. 1 fremgår det, at ”enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af [Persondataforordningen], [har] ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.” I Databeskyttelseslovens § 40 er der en (nærmest) ordret gengivelse af art. 82, stk. 1.

Gladsaxe Kommunes advokat hævdede – bl.a. med henvisning til den danske betænkning (Betænkning nr. 1565/2017 – ”Databeskyttelsesforordningen – og de retlige rammer for dansk lovgivning”) – at der i art. 82, stk. 1 alene er hjemmel til godtgørelse for økonomisk tab. Det samme (forkerte) ræsonnement finder vi da også i juridiske lærebøger vedr. Persondataforordningen.

Ikke desto mindre fik mine klienter medhold i, at Gladsaxe Kommune ikke har haft den fornødne behandlingssikkerhed, samt medhold i, at der er hjemmel i Databeskyttelsesforordningens art. 82, stk. 1, til godtgørelse for ikke økonomisk skade.

De 3 dommere var således enige med mig i min vurdering af det EU-retlige skadebegreb og mine henvisninger til f.eks. EU-Domstolens dom af 12. marts 2002 (sag C-168/00), som omhandler en præjudiciel forelæggelse om fortolkningen af art. 5 i Rådets direktiv 90/314/EØF af 13. juni 1990 (”Pakkerejsedirektivet”), og EU-Domstolens dom af 24. oktober 2013 (sag C-277/12), som vedrører et barns ret til erstatning for immateriel skade i anledning af et trafikuheld, hvor begge forældre omkom, er gengivet i dommens præmisser.

Det bemærkes dog, at en immateriel skade kan føre til et økonomisk tab, og juridisk set er der således ikke sammenfald mellem sondringen materiel/immateriel og økonomisk/ikke-økonomisk.

Således blev det altså at de 3 dommere i en enstemmig afgørelse fastslået:

”Der er i Databeskyttelsesforordningen ikke præambelbetragtninger eller bestemmelser, som giver holdepunkter for at lægge til grund, at EU-lovgiver med bestemmelsen i artikel 82, stk. 1, har villet begrænse retten til erstatning således, at der kun kan kræves erstatning for økonomisk tab. Derimod fastslås det udtrykkeligt i præambelbetragtning nr. 146, at begrebet ”skade” bør fortolkes bredt i lyset af retspraksis ved Domstolen, således at det fuldt ud afspejler formålene for forordningen.

Herefter og når henses til beskyttelseshensynene i databeskyttelsesforordningen, må forordningens artikel 82, stk. 1, fortolkes således, at bestemmelsen også omfatter erstatning/godtgørelse for ikke-økonomisk skade.”

Dette er selvsagt meget tilfredsstillende, og en hel rigtig afgørelse.

Til trods for denne principielle sejr til borgerne, nåede retten imidlertid samtidig frem til, at borgerne ikke konkret har været udsat for en sådan krænkelse, at der er grundlag for at fastslå, at de er berettiget til godtgørelse efter bestemmelsen.

Denne anden del af dommen mener jeg, er afgørende forkert, da Danmark er forpligtet til at fortolke unionsretlige begreber og legaldefinitioner i EU-retten EU-konformt.

Denne forpligtelse blev udtrykkeligt bekræftet af Domstolen i Google Spain-sagen (C-131/12), og forpligtelsen må anses for at være blevet skærpet med Databeskyttelsesforordningens vedtagelse. Ét af hovedformålene med forordningen var netop at imødegå den fragmentering, der var opstået under det tidligere Databeskyttelsesdirektiv, herunder at opnå en mere konsekvent og ensartet retsstilling, jf. præambelbetragtning nr. 9 og 10 i Databeskyttelsesforordningen.

Af Databeskyttelsesforordningen fremgår det helt eksplicit, at formålet er at ”sikre et ensartet og højt niveau for beskyttelse af fysiske personer” (min understregning).

Når domstole i Storbritannien, Tyskland, Østrig og Holland således allerede har fastslået, at der er hjemmel i Databeskyttelsesforordningens artikel 82 til tort-godtgørelse, og samtidig har sat ”barren” for, hvornår krænkelsen er så stor, at man er berettiget til tort-godtgørelse, relativt lavt, giver det ikke mening, at ingen af de 7 borgere i Danmark har krav på en vis tort-godtgørelse, evt. blot af mere symbolsk værdi. Efter min opfattelse, burde i hvert fald de 5 af borgerne være tilkendt en sådan.

Det er min opfattelse, at Retten i Glostrup foretager en u-lovhjemlet, alt for stram og ikke EU-konform fortolkning af artikel 82, stk. 1, når ”barren” for godtgørelse – formentlig fordi, det er svært at løsrive sig fra danske retstraditioner og den praksis, der allerede foreligger i henhold til Erstatningsansvarslovens § 26 – sættes så højt, at beskyttelsen de facto bliver illusorisk.

Jeg skal understrege, at sagerne her ikke handler om, at vi skal have en retsstilling i Danmark, hvor dusør-jægere og lykkeriddere kan kræve uforholdsmæssige erstatningsbeløb, hvis de udsættes for brud på persondatasikkerheden.

Vi skal ikke have amerikanske tilstande. Det vil simpelthen ikke passe til vores retstradition i Danmark, hvis de 7 borgere bliver tilkendt halve årsindtægter som følge af databruddet. Der skal naturligvis være en rimelig bagatelgrænse.

Men for borgerne i Gladsaxe Kommune vil det betyde alverden, at modtage en anerkendelse af, at det ikke er rimeligt, at deres personoplysninger til evig tid – potentielt – vil være til rådighed for mennesker, vi utvivlsomt ved, er kriminelle. De har krav på et ”plaster på såret” for krænkelsen, og vi ved nu, er der er hjemmel hertil i art. 82.

Det er forventeligt, at EU-Domstolen inden for kort tid bliver mødt med et præjudicielt spørgsmål vedr. art. 82, stk. 1, herunder et spørgsmål (formentligt fra Tyskland) om, hvorvidt der ved tilkendelsen af tort-godtgørelse gælder en bagatelgrænse (og – forhåbentligt – nogenlunde, hvor den så ligger). I hvert fald visse af de 7 sager bliver anket til landsretten, og det er således ikke usandsynligt, at disse bliver udsat på besvarelsen af sådanne præjudicielle spørgsmål.