Sakens bakgrunn

Österreichische Post («ÖP») selger adresseopplysninger, og har samlet inn opplysninger om den østerrikske befolknings politiske tilhørighet siden 2017, ved hjelp av en algoritme som benytter sosiale og demografiske kriterier. Disse opplysningene er solgt til forskjellige organisasjoner og brukes til å lage målrettet reklame.

ÖP utledet av disse dataene at A sympatiserte med et bestemt østerriksk parti. A anla søksmål med påstand om at ÖP ble pålagt å opphøre behandlingen av personopplysningene og krav om erstatning på 1000 euro for skaden han hadde lidt. A påstår å ha lidt tap i form av ergrelse, tap av tillit og ydmykelse. Saken står for Oberster Gerichtshof (øverste domstol i Østerrike) som er foreleggende domstol.

EU-domstolens vurdering

Det første spørsmålet er om enhver overtredelse av bestemmelsene i GDPR er tilstrekkelig til å gi rett til erstatning etter artikkel 82 (1).

«Materiell eller ikke-materiell skade» og «erstatning (...) for den forvoldte skaden» i artikkel 82 (1) må tolkes EU-autonomt. EU-domstolen finner at bestemmelsen for det første oppstiller et vilkår om at det foreligger eller er forvoldt en «skade». Det må også være årsakssammenheng mellom skaden og overtredelsen. Enhver overtredelse av bestemmelsene i GDPR gir dermed ikke den registrerte rett til erstatning. Dette underbygges av at bestemmelsen oppstiller et skille mellom «skade» og «overtredelse». Dersom enhver overtredelse førte til krav på erstatning for den registrerte, ville «skade»-begrepet vært overflødig.

Det andre spørsmålet er om GDPR artikkel 82 (1) er til hinder for en nasjonal regel eller praksis som oppstiller krav om at den ikke-materielle skaden den registrerte har lidt er av en viss alvorlighetsgrad.

EU-domstolen bemerker at bestemmelsen åpner for erstatning av både materiell og ikke-materiell skade, uten å nevne noen alvorlighetsterskel. Det følger dessuten av fortalepunkt 146 at begrepet «skade» bør tolkes vidt på bakgrunn av EU-domstolens rettspraksis og på en måte som fullt ut gjenspeiler målene i forordningen. Det vil være i strid med en slik vid tolkning å begrense begrepet til å bare omfatte skader med en viss alvorlighetsgrad.

Det tredje spørsmålet er om nasjonale domstoler ved fastsettelsen av størrelsen av erstatningen etter artikkel 82 skal anvende den enkelte medlemsstats nasjonale regler om erstatningens omfang.

I mangel av EU-rettslige bestemmelser på området følger det av prinsippet om prosessautonomi for medlemsstatene at hver enkelt medlemsstat kan regulere de prosessuelle aspektene fritt under overholdelse av ekvivalensprinsippet og effektivitetsprinsippet, se C-403/16.

GDPR inneholder ikke bestemmelser om fastlegging av beløp for erstatning etter artikkel 82. Det er opp til den nasjonale domstolen å avgjøre om ekvivalensprinsippet og effektivitetsprinsippet er overholdt. Det følger av fortalepunkt 146 at de registrerte bør få «full» og effektiv erstatning for skaden de har lidt. Full erstatning kompenserer skaden som er lidt på grunn av overtredelsen av forordningen, uten at det er nødvendig å pålegge erstatning med karakter av straff.

EU-domstolens konklusjon

GDPR artikkel 82 (1) skal ikke tolkes slik at enhver overtredelse av GDPR er tilstrekkelig til å gi rett til erstatning etter denne bestemmelsen. Artikkel 82 (1) er til hinder for en nasjonal regel eller praksis som oppstiller krav om at den ikke-materielle skaden den registrerte har lidt er av en viss alvorlighetsgrad. Det er opp til de nasjonale domstolene å fastsette størrelsen av erstatningen ved hjelp av medlemsstatens nasjonale erstatningsregler, så lenge disse overholder ekvivalensprinsippet og effektivitetsprinsippet.

Forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [GDPR] er inntatt i EØS-avtalens vedlegg XI og gjelder som norsk lov med EØS-tilpasningene, jf. lov 15. juni 2018 nr. 38 om behandling av personopplysninger § 1.

(C-300/21)

ÅE