Denne artikel uddyber pointerne i artiklen ”Kan du få godtgørelse og erstatning for overtrædelse af persondatareglerne?”.
Der er sparsom praksis på området for godtgørelse af den registrerede, når der sker en krænkelse af vedkommendes personoplysninger og -rettigheder.
I 2018 er der sket en væsentlig ændring i retsgrundlaget, og derfor er det vigtigt at forstå reglerne fra før 2018. Dette er nødvendigt for at kunne udlede noget vejledende om de rettigheder som kan forventes I dag, ud fra praksis som stammer fra før de nugældende regler.
Persondataretten har en lang historie helt tilbage til værnsbestemmelser om privatlivet, familien og hjemmet i de EU-konventioner, som fulgte forfærdelighederne i 2. verdenskrig. I forhold til at forstå de nuværende regler, ser vi dog kun nærmere på er et begrænset udvalg af den historiske baggrund.
I 1995 vedtog EU et direktiv som gav medlemslandende en frist til at implementere direktivets bestemmelser i lokal, national lovgivning. Dette direktiv var baggrund for persondataloven, som var den primære danske regulering frem til 25. maj 2018.
Den 25. maj 2018 trådte EU-forordningen om generel databeskyttelse – alment kendt som GDPR – i kraft, og i denne forbindelse blev der i Danmark vedtaget databeskyttelsesloven.
I dag er reguleringen af persondata således primært at finde i GDPR-forordningen, i databeskyttelsesloven, samt i særlove på enkeltområder som f.eks. lov om brug af helbredsoplysninger på arbejdsmarkedet.
Der foreligger således en vis retspraksis for persondata i perioden fra den seneste version af persondatalovens ikrafttrædelse i år 2000 og frem til 25. maj 2018.
I persondatalovens § 69 var det fastlagt, at den som var ansvarlig for en skade, skulle erstatte skaden. I praksis lides der dog ofte sjældent en ”skade” i form af et beviseligt økonomisk tab, og derfor blev sagerne suppleret med erstatningsansvarslovens § 26, stk. 1 om godtgørelse af tort – dvs. godtgørelse for en skade, som ikke er økonomisk.
Efter de nye regler fremgår der af GDPR-forordningens artikel 82 en særlig bestemmelse om ret til erstatning for enhver som har lidt ”materiel eller immateriel skade”.
Dels kan det overvejes om den nye formulering nu er en erkendelse af, at den registrerede skal kunne søge både erstatning og tort direkte ud fra forordningens bestemmelser, dels kan det overvejes, om dette har betydning for udmåling af godtgørelsens størrelse.
Der kan også argumenteres for, at de nye regler er udtryk for en skærpelse af ansvaret og en generel forbedring af de registrerede personers rettigheder. Således kunne det antages, at en krænket person i dag må have samme ret som fastlagt i dansk retspraksis helt tilbage til 2000, eller bedre.
Det kan formentligt udledes af forhenværende praksis og af de nye regler i GDPR-forordningens artikel 82 og databeskyttelseslovens § 40, at muligheden for at søge godtgørelse er udvidet i forhold til den historiske praksis. Såfremt betingelserne for at få tillagt kompensation efter tidligere praksis er opfyldt, vil der med stor sandsynlighed også være ret til kompensation efter nugældende regler.
Ligeledes kan det ikke afvises, at der vil være adgang til kompensation efter gældende regler, selvom en tilsvarende kompensation ikke ville have været berettiget efter de tidligere regler. Dette spørgsmål er dog omfattet af en væsentlig usikkerhed.
En person som har fået sin frihed, fred, ære eller person krænket på retsstridig vis, har krav på at få tortgodtgørelse fra den ansvarlige.
Tortgodtgørelsen er forskellig fra erstatning, fordi tort ikke kræver, at den forurettede har lidt noget økonomisk tab. Der kan altså være et krav på kompensation, selvom krænkelsen ikke har kostet den krænkede nogen penge.
Der må tages udgangspunkt i reglerne om tortgodtgørelse efter erstatningsansvarsloven.
Det er langt fra alle krænkelser som giver ret til godtgørelse. Udgangspunktet er at krænkelsen skal være forårsaget ved uforsigtighed eller med vilje, samt have en vis grovhed.
Dermed er det ikke alle krænkelser af personoplysninger, som giver ret til tortgodtgørelse.
Godtgørelsen bliver fastlagt skønsmæssigt af domstolene.
Desværre er der endnu ikke offentliggjort tilstrækkeligt mange og/eller udførlige afgørelser efter de nye regler er trådt i kraft til at vurdere, om de nye regler giver domstolene anledning til generelt at ændre praksis omkring godtgørelserne for krænkelse af personoplysninger.
Tidligere praksis kan dog give en indikation, idet reglerne i væsentligt omfang er videreført. Ud fra den generelle skærpelse af sanktionsniveauet kan det med forsigtighed antages, at kompensations-niveauerne muligvis vil være større efter de nye regler – i hvert fald på områder hvor der kan gives kompensation direkte efter persondataforordningens artikel 82.
Generelt må kompensationsniveauet historisk set siges at spænde mellem 10.000 – 25.000 hvor kompensation tilkendes. Der tilkendes fortrinsvist kompensation i forbindelse med krænkelser, der sker som led i ansættelsesforholdet, eller i forbindelse med udveksling af oplysninger fra en tidligere arbejdsgiver.
Bemærk at domme afsagt efter 2018 kan vedrøre forhold som er foregået før de nye reglers ikrafttræden, og således er pådømt efter de tidligere regler.
Det kan dog generelt siges, at der bør udvises særlig forsigtighed i følgende typetilfælde:
Listen er ikke udtømmende.
Krænkelserne i sagen var, at A i en periode har stået på en liste, som B sendte til Avis 1 med navne på en flere kendte personer, at B i flere tilfælde skaffede sig adgang til oplysninger om As kreditkorttransaktioner og videregav oplysningerne til Avis 1, og at Avis 1 har anvendt en af disse oplysninger i en artikel.
Oplysningerne om de pågældende transaktioner afslører ikke personfølsomme forhold, og var indsamlet i en periode mellem 2008 og 2009.
Uanset at A som anført har været udsat for grove retsstridige krænkelser, fandt Højesteret, at disse krænkelser efter deres karakter og omfang ikke er egnet til at påvirke hans selv- og æresfølelse, hvilket var en betingelse for at modtage tortgodgørelse.
Det interessante ved afgørelsen er illustrationen af at erstatningsansvarsloven ikke dækker alle former for krænkelser, selvom om det faktisk anerkendes, at personoplysninger er blevet udnyttet på en retsstridig måde. Det ville være interessant at se, om domstolen var kommet til samme konklusion, såfremt GDPR-forordningens artikel 82 eller databeskyttelseslovens § 40 havde fundet anvendelse på forholdet.
Arbejdsgiveren A havde ved hjælp af lovligt opsatte kameraer tv-overvåget B, der var ansat i ca. 3 måneder. Sagen vedrørte hvorvidt B havde krav på tortgodtgørelse efter erstatningsansvarslovens § 26, stk. 1.
Højesteret fandt at A havde anvendt tv-overvågning bl.a. til at disciplinere B og kontrollere, om B udførte sit arbejde korrekt. Overvågningen havde et betydeligt omfang og var foregået løbende, både når A var og ikke var på arbejdspladsen. Tv-overvågningen var ikke saglig og proportional og havde overskredet grænserne for arbejdsgiverens ledelsesret og dagældende persondatalov.
Højesteret fandt at arbejdsgivers uberettigede anvendelse af tv-overvågning over for en ansat ikke i sig selv vil udløse et krav på godtgørelse for tort, og at det afhænger af en konkret vurdering af den enkelte sags omstændigheder, hvorvidt der er grundlag for tortgodtgørelse.
Højesteret fandt i den konkrete sag, at tv-overvågningen havde haft den fornødne grovhed og havde været egnet til at krænke B’s selv- og æresfølelse. B blev derfor tilkendt tortgodtgørelse fastsat til kr. 20.000.
A blev grundet højt sygefravær opsagt af Kommune 1. A havde overfor Kommune 1 bestredet mistanke om alkoholmisbrug, og anmodet om at sådanne ”ondsindede rygter” ikke blev spredt.
A gav i forbindelse med en ansættelsessamtale med en ny arbejdsgiver – Kommune 2 – samtykke til at der kunne indhentes referenceoplysninger fra den tidligere arbejdsgiver, Kommune 1.
Kommune 1 oplyste Kommune 2 omkring mistanken om alkoholmisbrug, og at A havde benægtet dette.
Retten fandt at videregivelsen var omfattet af persondatareglerne, at et generelt samtykke til indhentning af referenceoplysninger ikke var tilstrækkeligt, og at oplysninger om nydelsesmidler ikke var omfattet af særlovgivningen i helbredsoplysningsloven.
Retten fandt endvidere videregivelse uberettiget og tilkendte en kompensation på kr. 25.000.
Den butiksansatte A blev tv-overvåget af sin arbejdsgiver fra arbejdsgiverens private bopæl i en halv time til tre kvarter. Overvågningen var hverken arbejdsmæssigt eller sikkerhedsmæssigt begrundet. Overvågningen indebar indsamling af oplysninger (billeder) af A til et andet formål end hvad der måtte have været A bekendt, og var derfor en overtrædelse af den dengang gældende persondatalovs § 5, stk. 1 og 2, om god databehandlingsskik og om at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål – disse regler er i dag videreført i persondataforordningen. Etableringen af overvågning var også i strid med en mellem LO og DA indgået aftale om kontrolforanstaltninger.
Der var tale om en retsstridig krænkelse, som berettigede A til erstatning for tort efter erstatningsansvarslovens § 26.
Under hensyn til en samlet vurdering af den konkrete sag, blev tortgodtgørelsen fastsat til kr. 25.000.
Du er altid velkommen til at henvende dig til os og få en indledende drøftelse af din sag. Vi har stor erfaring i at analysere situationen og give dig råd om, hvad der er bedst at gøre.