Sakens bakgrunn
To tidligere klienter av et skatterådgivningsfirma gikk til sak mot firmaet etter at det sendte skattemeldingen til feil adresse. Personene, omtalt som AT og BT, hadde informert selskapet om at de hadde byttet bostedsadresse, men likevel ble skattemeldingen for 2019 sendt til den opprinnelige adressen. Den nye beboeren åpnet ved et uhell skattemeldingen og informerte deretter AT og BT om dette.
Da AT og BT fikk konvolutten med skattemeldingen, inneholdt den kun en kopi av skattemeldingen. Hoveddokumentet, som de antok også lå i konvolutten, inneholdt persondata som deres og barnas navn og fødselsdato, skatteidentifikasjonsnummeret deres, bankdetaljer, i tillegg til informasjon om medlemskapet deres i et religiøst samfunn, funksjonshemmingen til et familiemedlem, deres respektive yrker og arbeidsgiver, samt ulike utgifter de har pådratt seg.
AT og BT anla derfor søksmål for Amtsgericht Wesel med krav om 15 000 euro i erstatning for ikke-materiell skade etter personvernforordningen (GDPR) artikkel 82 (1) som følge av at persondataene deres er blitt gjort tilgjengelig for tredjeparter.
Amtsgericht Wesel besluttet på denne bakgrunn å forelegge en rekke tolkningsspørsmål for EU-domstolen. Samtlige spørsmål relaterer seg til tolkningen av artikkel 82 (1) om retten til erstatning ved brudd på bestemmelser i personvernforordningen, samt krav til erstatningsutmålingen.
EU-domstolens vurdering
EU-domstolen behandler først spørsmålet om et brudd på artikkel 82 (1) i seg selv er tilstrekkelig for å gi grunnlag for erstatning, eller om den registrerte også må bevise at det eksisterer en skade av et visst omfang og alvorlighetsgrad som følge av lovbruddet.
EU-domstolen tar først utgangspunkt i ordlyden i artikkel 82 (1), som lyder slik:
«Enhver person som har lidd materiell eller ikke-materiell skade som følge av en overtredelse av denne forordning, skal ha rett til å motta erstatning fra den behandlingsansvarlige eller databehandleren for den forvoldte skaden».
Krav på erstatning etter artikkel 82 (1), forutsetter at tre kumulative vilkår er oppfylt: (1) det må være «forvoldt» en «skade», (2) det må være et brudd på forordningen, og (3) det må kunne oppstilles en årsakssammenheng mellom skaden og lovbruddet, jf. C-300/21 Österreichische Post (Non-material damage in connection with the processing of personal data) avsnitt 32 (omtalt i EUR-2023-11-2) og C-741/21 juris avsnitt 34.
På bakgrunn av dette slutter EU-domstolen at et brudd på en bestemmelse i personvernforordningen alene ikke er tilstrekkelig for rett til erstatning.
Det må foreligge en skade og årsaks-sammenheng mellom skaden og bruddet på forordningen. Det er overlatt til den registrerte å påvise at det foreligger et brudd og at det er årsakssammenheng mellom bruddet og skaden. Nasjonale regler som krever at skaden har nådd en viss alvorlighetsgrad, er ikke forenlig med forordningen. Se Österreichische Post avsnitt 42, 50–51 og juris avsnitt 35–36.
EU-domstolen tar deretter stilling til spørsmålet om en persons frykt for at personopplysninger er kommet på avveie, er tilstrekkelig til å gi rett til erstatning.
Det følger av EU-domstolens praksis at «ikke-materiell» skade skal tolkes vidt. Dette har EU-domstolen forankret i forordningens fortale pkt. 85 og 146, og forordningens formål om å sikre et høyt nivå av beskyttelse av privatpersoner ved behandling av deres persondata. I lys av dette er frykten personen opplever som følge av et brudd på forordningen, tilstrekkelig til å utgjøre en «ikke-materiell» skade, jf. C-340/21 Natsionalna agentsia za prihodite avsnitt 79–86 og C-687/21 MediaMarktSaturn avsnitt 65.
Tap av kontroll over persondata, selv i en kort periode, kan utgjøre en ikke-materiell skade og dermed gi rett til erstatning. Den registrerte må imidlertid påvise at vedkommende har lidt et slikt tap, uansett hvor lite tapet er, jf. MediaMarktSaturn avsnitt 66 og juris avsnitt 42.
EU-domstolen konkluderer med at den registrerte er nødt til å bevise at det foreligger et tap, materielt eller ikke-materielt. En frykt uten noen beviselige negative konsekvenser er ikke tilstrekkelig.
Det neste spørsmålet EU-domstolen vurderer er om kriteriene for å fastsette størrelsen på administrative bøter etter personvernforordningen artikkel 83 også må gjelde for erstatningsutmålingen etter artikkel 82. Herunder vurderer EU-domstolen om erstatningen etter artikkel 82 (1) skal ha en avskrekkende funksjon.
EU-domstolen påpeker først at de to bestemmelsene forfølger forskjellige formål. Av den grunn kan ikke vilkårene i artikkel 83 som gjelder administrative bøter overføres til artikkel 82 om retten til erstatning, jf. juris avsnitt 57.
I fravær av EU-rettslige reguleringer på området, er det opp til den enkelte medlemsstat, med de begrensninger som følger av ekvivalens- og effektivitetsprinsippet, å fastlegge detaljreglene som verner rettighetene hjemlet i artikkel 82 (1). Dette gjelder særlig prinsippene for utmåling av erstatning, jf. juris avsnitt 58.
Fordi artikkel 82 er ment å ha en gjenopprettende funksjon, der artikkel 83 til sammenligning har en straffefunksjon, finner EU-domstolen at artikkel 82 (1) ikke er ment å ha en avskrekkende funksjon. I lys av artikkel 82 (1) vil en erstatning som kompenserer skadelidte fullt ut for den skaden personen er blitt voldt, anses som ‘full and effective’, jf. fortalen pkt. 146. Kompensasjon utover dette, kreves ikke etter artikkel 82 (1), jf. juris avsnitt 61–62.
Det siste spørsmålet EU-domstolen tar stilling til, er om det ved erstatningsutmålingen, i tillegg til de bestemmelser i forordningen som er brutt, skal tas hensyn til brudd på nasjonale bestemmelser.
Med henvisning til fortalen pkt. 146, slutter EU-domstolen at nasjonale bestemmelser som gjelder personvern, men som ikke er ment å spesifisere reglene i personvernforordningen, ikke er omfattet av retten til erstatning etter artikkel 82 (1).
EU-domstolen påpeker imidlertid at kravet til ‘full and effective’ erstatning etter artikkel 82 (1), ikke er til hinder for at medlemsstatene gir den registrerte rett til erstatning som går ut over dette når nasjonale bestemmelser også er blitt brutt.
EU-domstolens konklusjon
For å ha rett til erstatning er det ikke tilstrekkelig å konstatere et brudd på personvernforordningen. Det må foreligge en skade, likevel slik at det ikke er noe krav til skadens omfang.
Frykten en person opplever fordi vedkommendes personopplysninger kan ha kommet på avveie, uten at det kan bevises at opplysningene faktisk er på avveie, er tilstrekkelig grunnlag for krav til erstatning. Dette forutsetter at fryktens negative konsekvenser er behørig bevist.
Ved erstatningsutmålingen er det ikke nødvendig å anvende vilkårene i personvernforordningen artikkel 83 eller å tillegge retten til erstatning en avskrekkende funksjon.
Ved erstatningsutmålingen er det ikke nødvendig å ta hensyn til brudd på nasjonale bestemmelser som ikke er ment å spesifisere reglene i personvernforordningen.
Forordning (EU) 2016/679 (personvernforordningen) er inntatt i EØS-avtalens vedlegg XI (Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester). Personvernforordningen er gjennomført i norsk rett ved lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven). Retten til erstatning for ikke-økonomisk tap er hjemlet i personopplysningsloven § 30 og personvernforordningen artikkel 82.
Retten til erstatning for ikke-økonomisk tap er i norsk rett regulert i skadeserstatningsloven § 3-5 om oppreisning. Vilkårene for oppreisning er strenge, og det kreves blant annet at skaden er gjort enten forsettlig eller grovt uaktsomt. Ved simpel uaktsomhet eller objektivt ansvar har en kun rett på erstatning for eventuelt økonomisk tap. Til sammenligning er terskelen for erstatning etter personvernforordningen langt lavere. Som dommen viser, forutsetter personvernforordningen artikkel 82 (1) kun brudd på forordningen, årsakssammenheng mellom bruddet og skaden og at skaden er bevist. Erstatningsbeløpet vil imidlertid variere ut fra skadens omfang, da det kun er et krav at den skaden personen har lidt kompenseres fullt ut. Et oppreisningsbeløp etter skadeserstatningsloven ligger som regel på mellom 10 000 og 75 000 kroner.
(C-590/22)
LMBH