Dom
ØSTRE LANDSRET
DOM
afsagt den 15. november 2024
BS-19616/2021-OLR, BS-19647/2021-OLR, BS-19665/2021-OLR, BS-19671/2021-OLR, BS-35113/2021-OLR og BS-35116/2021-OLR
(6. afdeling)
Appellant 1, tidligere Sagsøger 1,
Appellant 2, tidligere Sagsøger 3,
Appellant 3, tidligere Sagsøger 4,
Appellant 4, tidligere Sagsøger 5,
Appellant 5, tidligere Sagsøger 6 og
Appellant 6, tidligere Sagsøger 2
(alle ved advokat Eva Tofteberg Persson)
mod
Gladsaxe Kommune
(advokat Anders Valentiner-Branth og advokat Rasmus Blaabjerg*)
Biintervenient til støtte for indstævnte:
Kommunernes Landsforening
(advokat Anders Valentiner-Branth og advokat Rasmus Blaabjerg*)
Retten i Glostrup har den 11. maj 2021 afsagt dom i 1. instans (BS-19120/2019-GLO, BS-49315/2019-GLO, BS-51045/2019-GLO, BS-51234/2019-GLO, BS-51318/2019-GLO og BS-22348/2019-GLO).
Landsdommerne Peter Thønnings, Michael Schaumburg-Müller og Annacarina Staunstrup Hølledig (kst.) har deltaget i ankesagens afgørelse.
Påstande
2
I sag BS-19616/2021-OLR har appellanten, Appellant 1, tidligere Sagsøger 1, gentaget sin påstand for byretten om, at Gladsaxe Kommune skal betale 25.000 kr. med tillæg af procesrente fra den 2. december 2018.
I sag BS-19647/2021-OLR har appellanten, Appellant 2, tidligere Sagsøger 3, gentaget sin påstand for byretten om, at Gladsaxe Kommune skal betale 30.000 kr. med til-læg af procesrente fra den 2. december 2018.
I sag BS-19671/2021-OLR har appellanten, Appellant 4, tidligere Sagsøger 5, gentaget sin påstand for byretten om, at Gladsaxe Kommune skal betale 27.500 kr. med til-læg af procesrente fra den 2. december 2018.
I sag BS-35113/2021-OLR har appellanten, Appellant 5, tidligere Sagsøger 6, gentaget sin påstand for byretten om, at Gladsaxe Kommune skal betale 15.000 kr. med tillæg af procesrente fra den 2. december 2018.
I sag BS-35116/2021 har appellanten, Appellant 6, tidligere Sagsøger 2, gentaget sin på-stand for byretten om, at Gladsaxe Kommune skal betale 10.000 kr. med tillæg af procesrente fra den 2. december 2018.
I sag BS-19665/2021-OLR har Appellant 3, tidligere Sagsøger 4, nedlagt påstand om, at Gladsaxe Kommune skal betale 22.500 kr. med tillæg af procesrente fra den 2. december 2018.
Indstævnte, Gladsaxe Kommune, har i alle sager nedlagt påstand om stadfæ-stelse.
Supplerende sagsfremstilling
Der er for landsretten fremlagt en række nye bilag i form af mailkorrespondan-ce den 11-12. juni 2018 og 4. december 2018 mellem medarbejdere i Gladsaxe Kommune. Der er endvidere fremlagt et notat udarbejdet af Gladsaxe Kommu-ne den 2. juni 2021 om datasikkerhed ved mellemkommunal controlling i 2018 samt to erklæringer fra Gladsaxe Kommune dateret henholdsvis den 26. august 2024 og 25. september 2024.
Det fremgår af en mail den 12. juni 2018 sendt fra Person 3 til leder af Administration og Digitalisering, Person 4, bl.a., at der i for-bindelse med Gladsaxe Kommunes overgang og ibrugtagning af ”SBSYS” (kommunens sagsbehandlingssystem) havde været udsendt en guideline, hvor-efter medarbejderne i perioden fra torsdag den 14. juni kl. 16 til mandag den 18. juni kl. 8.00 ved eventuelt arbejde med eksisterende sager måtte gemme en lo-kal kopi af dokumenterne på computerens skrivebord og arbejde med dem der-fra. Person 3 anførte i den forbindelse, at han opfattede den ud-sendte guideline som et brud på de tidligere udsendte informationssikkerheds-
3
instrukser, hvorefter filer med personfølsomme oplysninger aldrig må gemmes på computerens C-drev.
Samme dag skrev Person 4 en mail til medarbejdere i kommunen, hvori han ”klart anbefalede” , at medarbejderne i den omhandlede periode i stedet gemte de dokumenter, de skulle arbejde med, på et netværksdrev, f.eks. U-drevet, One-drive eller andet. Dette var særlig vigtigt, hvis medarbejderne arbejdede med personoplysninger, idet dokumenterne herefter ikke ville være tilgængelige for uvedkommende, hvis computeren f.eks. blev stjålet.
Den 4. december 2018 – dvs. efter databruddet – skrev Person 4 en mail om, at det i visse tilfælde – bl.a. af tekniske årsager med hensyn til regne-ark – kan være nødvendigt at behandle en fil midlertidigt uden for et fagsystem eller ESDH-systemet, og at det i så fald er vigtigt, at det sker på et af netværks-drevene som f.eks. U-drev eller One-drive. I tilfælde af tyveri ville der dermed ikke være adgang til data.
Af Gladsaxe Kommunes notat af 2. juni 2021 om datasikkerhed ved mellem-kommunal controlling i 2018 fremgår bl.a., at medarbejderne i Økonomi og Sty-ring var orienteret om retningslinjerne for journalisering i SBSYS og brug af serverdrev i stedet for det lokale C-drev. Instruksen fra ledelsen ved arbejde med den mellemkommunale controlling, der foregik ved sammenstilling og tværgående analyse af store mængder data i Excel-ark, hvor SBSYS let kunne fryse og/eller ”crashe” , var, at Excel-arket midlertidigt kunne gemmes på ser-verdrevet og efterfølgende journaliseres i SBSYS, hvorefter filen skulle slettes på serverdrevet. Det fremgår endvidere, at instruksen var en undtagelse fra den klare hovedregel om, at man skulle arbejde direkte i SBSYS, og at orientering af medarbejderne om retningslinjerne skete ved overordnede orienteringsmøder, lokale teammøder, oplæg fra forvaltningens informationssikkerhedskonsulent samt awareness kampagner, hvor videoer med gennemgang af bl.a. de nævnte retningslinjer blev vist løbende på skærme opsat på rådhuset.
Af Gladsaxe Kommunes erklæring af 26. august 2024 fremgår, at kommunen fortsat ikke har modtaget oplysninger om, at oplysningerne i regnearket er kommet til tredjemands kundskab, og at kommunen derfor heller ikke har vi-den om, at oplysningerne skulle være blevet misbrugt.
Af Gladsaxe Kommunes erklæring af 25. september 2024 om visse faktiske for-hold fremgår bl.a.:
”Af [Gladsaxe Kommunes besvarelse af spørgsmål 6 i bilag nr. 1 om sikringsforhold til Gladsaxe Rådhus] fremgår det, at låsen til døren fra hallens trappeopgang, etage 2, til fløj 4 og 5, var defekt den 30. novem-ber 2018.
4
Der er tale om en indvendig dør på etage 2, der leder fra Rådhushallen via en trappeopgang til fløj 4 og 5. Den indvendige dør er således en del af Rådhusets indre skalsikring. Døren er altså ikke en del af den ydre skalsikring, og det kan oplyses, at Rådhusets ydre døre (den ydre skal-sikring) var aflåst også den pågældende weekend. På vedhæftede foto 1 er der tegnet en rød cirkel, hvor den indvendige dør med den defekte lås er placeret.
Af [Gladsaxe Kommunes besvarelse af spørgsmål 6 i bilag nr. 1 om sik-ringsforhold til Gladsaxe Rådhus] fremgår det, at døren til gammel Rå-dhusindgang som følge af arrangementet med juletræstændingen mv. blev åbnet kl. 15.30 den 30. november 2018. Døren blev ved arrange-mentets afslutning låst ca. kl. 18.30.
Der er her tale om en ydre dør, der fører ud til Rådhuspladsen, som normalt altid er aflåst. På vedhæftede foto 2 er der tegnet en rød cirkel, hvor man kan se den ydre dør, der fører ud til Rådhuspladsen (den gamle Rådhusindgang). På vedhæftede tegning er det markeret, hvor den gamle Rådhusindgang er placeret.
Når der i erklæringen af 2. juni 2021 omtales en mulighed for at gemme på ”serverdrevet” (…), og når der i mailen af 12. juni 2018 omtales en mulighed for at gemme på ”netværksdrev” (…), er det udtryk for det samme. Det betyder, at oplysninger, der er gemt på netværks-drev/serverdrev, gemmes i kommunens sikrede IT-system og derimod ikke lokalt på en computer.
For en god ordens skyld kan det i øvrigt oplyses, at der i forbindelse med det pågældende tyveri af 4 computere tillige fra fløj 5 blev stjålet tøj samt en pose med tomme flasker (pant).
Det kan endvidere oplyses, at der ikke efter weekenden fra den 30.
november 2018 til den 3. december 2018 var nogen tegn på indbrud, så-som ødelagte døre, vinduer eller lignende.”
De i erklæringen omtalte fotos og den omtalte tegning er endvidere fremlagt.
Forklaringer
Appellant 4, tidligere Sagsøger 5 har afgivet forklaring. Appellant 3, tidligere Sagsøger 4, Appellant 1, tidligere Sagsøger 1, Appellant 5, tidligere Sagsøger 6 og Appellant 2, tidligere Sagsøger 3 har endvidere afgivet supplerende forklaring.
Appellant 4, tidligere Sagsøger 5 har forklaret, at hun blev bekendt med, at der var stjålet
computere fra kommunen, da hun modtog et brev fra kommunen herom. Bre-vet beskrev i generelle vendinger, hvilke oplysninger der kunne være gået tabt. Det var vigtigt for hende at vide, hvilke konkrete oplysninger om hende der var tale om, idet hun havde adressebeskyttelse. Hun valgte derfor at anmode om aktindsigt i de oplysninger, der var i regnearket om hende.
5
Hun kan godt huske Gladsaxe Kommunes svar på aktindsigtsanmodningen den 17. april 2019. Hun havde i flere år følt sig truet af en person, og det var derfor meget ubehageligt og skuffende for hende at finde ud af, at både hendes personnummer og adresse fremgik af regnearket.
Hun var efterfølgende meget påvirket af situationen og sov dårligt om natten. Hun begyndte at undersøge, i hvilket omfang det ville være muligt at misbruge oplysningerne, og blev klar over, at det ikke var rigtigt, når kommunen havde skrevet, at risikoen for misbrug var begrænset. Hun er bekendt med sager, hvor lignende oplysninger var blevet misbrugt til f.eks. ordinering af stærk medicin eller optagelse af kviklån. Hun brugte meget tid på at tænke over, hvad der kunne ske, og følte, at det påvirkede hendes nervesystem.
Hun blev meget overrasket over, at der var blevet bestilt et nyt nøglekort til hende, og at hendes NemID af sikkerhedsmæssige årsager var blevet spærret. Hun havde sat sig godt ind i, hvordan man skulle passe på sit nøglekort, og hun havde ikke oplyst sit personnummer til uvedkommende. Hun kan derfor kun forestille sig, at nogen havde misbrugt hendes identitet til at bestille et nyt nøglekort og herefter taget brevet med nøglekortet fra hendes postkasse.
I dag – næsten 6 år efter databruddet – fylder sagen fortsat meget hos hende. Det har hjulpet, at man er gået væk fra de gamle nøglekort, men det sidder sta-dig i hende, hvor meget man skal passe på. Hun er skuffet over, at kommunen ikke passede bedre på hendes oplysninger, og håber på, at kommunen vedken-der sig et ansvar, så sikkerheden bliver bedre fremadrettet.
Appellant 3, tidligere Sagsøger 4 har supplerende forklaret, at han fik et mærkeligt bagatelliserende
svar, da han ringede til kommunen og forhørte sig om databruddet. Han for-søgte at spørge ind til sagen, men medarbejderen hos kommunen slog det hen. Han er ikke misbruger og har ikke skizofreni eller andre psykiske lidelser – hvilket de registrerede data om ham ellers kunne tyde på. Han følte sig magtes-løs, da han ikke fik den hjælp fra kommunen, som han efterspurgte. Det gjorde ikke noget større indtryk på kommunen, at han ikke følte sig hørt.
Han har efter databruddet været til jobsamtaler, hvor der er blevet spurgt til sikkerhedstjek, og han tænkte da, hvad der mon ville ske, hvis de urigtige op-lysninger om ham kom frem. Databruddet fyldte en del hos ham, og han havde mange humørsvingninger. Sagen har fyldt hos ham igen op til retssagen, hvor han har haft svært ved at sove og følt sig rastløs.
Hans motivation for at føre sagen er ikke et ønske om penge. Han ønsker en undskyldning fra kommunen og en anerkendelse af, at der er begået fejl. Han oplever det som en uretfærdighed, at kommunen ikke har lyttet til ham.
6
Appellant 1, tidligere Sagsøger 1 har supplerende forklaret, at hun på tidspunktet for
databruddet var syg og fortsat er det. Hun var dengang hele følelsesregistret igennem og var bange og gal. Hun følte ikke, at kommunen lyttede til hende. Hun kontaktede kommunen, men blev mødt med arrogance.
Databruddet fyldte alt for hende på daværende tidspunkt, og hun fik i en peri-ode beroligende medicin. Hun har ikke længere tillid til kommunen og er nervøs for at indgive personlige oplysninger til kommunen. På grund af sin sygdom er hun nødsaget til fortsat at søge om hjælpemidler og have kontakt til kommunen. Det vil være sådan resten af hendes liv.
Inden databruddet var hendes liv stille og roligt, men hun gik i panik, da hun fik brevet fra kommunen om databruddet. Hun skulle både kæmpe med sin sygdom, og med tanken om, at nogen kunne ”rode i” hendes private oplysnin-ger. Hun tænker fortsat over det en gang imellem. Hun tænker på det hver gang, hun skal ansøge kommunen om noget. Postkassen er hun ikke så bekym-ret over mere, men hun bliver fortsat bekymret, når der ligger noget fra kom-munen i e-Boks.
Kommunen har lækket oplysninger mere end én gang, og hun synes, at kom-munen burde passe bedre på oplysningerne. Det er ikke pengene, der betyder noget, men hun håber på, at der bliver lavet nogen strengere retningslinjer. Hun føler ikke, at hun har fået en undskyldning fra kommunen.
Appellant 5, tidligere Sagsøger 6 har supplerende forklaret, at der er forskel på hen-des liv før og efter databruddet. Hun var mere afslappet før. Hun har arbejdet i en virksomhed, hvor der var et stort fokus på sikkerhed, og hun er derfor meget forsigtig.
Hun lukkede ned mentalt, da hun fik brevet fra kommunen om databruddet.
Hun var syg og ved at ansøge om pension og havde en forsikringssag kørende, og så kom databruddet oveni. Hendes tillid til samfundet blev svækket. Hun tjekkede sin bankkonto dagligt i en lang periode. Hun tog heller ikke telefonen, hvis hun ikke kendte nummeret.
Risikoen for, at oplysningerne bliver misbrugt, fylder stadig meget hos hende. Hun bliver stadig mistroisk, hvis hun skal oplyse sit personnummer til nogen. Hun havde tillid til kommunen forud for databruddet. Hun er efterfølgende flyttet til en anden kommune.
Det værste ved databruddet er, at mange mennesker ved noget om hende, som er privat. Hun tænker af og til på, hvem der har haft tilgang til hendes oplys-ninger. Det handler ikke for hende om at få penge, men om at kommunen skal være bedre til at passe på oplysningerne.
7
Appellant 2, tidligere Sagsøger 3 har supplerende forklaret, at hun først senere kædede da-
tabruddet sammen med misbruget af hendes bankkonto. Det var ikke i den akutte fase. Hun havde ikke selv mistet sine personlige oplysninger og havde stadig sit nøglekort.
Hun var overrasket over, at man kunne få adgang til hendes telefon ved brug af hendes navn og personnummer, og at andre end hende kunne få adgang til te-lefonen. Det var en medarbejder fra teleselskabet 3, der oplyste hende, at hun muligt var blevet berøvet, og at hun skulle kontakte politiet og banken. Hun gik i chok, efter banken oplyste hende, at hun havde hævet alle sine penge. Hun ringede dernæst til politiet. Alle bad hende om at være effektiv og komme med informationer, selvom hun var den, der vidste mindst. Hun blev sendt frem og tilbage mellem kommunen og politiet.
Hun fandt ud af, at der var to nøglekort i omløb, hvor hun kun rådede over det ene. Det var dengang muligt at bestille nyt nøglekort ved brug af hendes per-sonnummer, hvis man samtidig havde hendes telefonnummer. Hvis man indta-stede en forkert nøglekode tre gange, blev nøglekortet lukket. Herefter kunne man bestille et nyt nøglekort og fiske dette op af modtagerens postkasse.
Hun kan ikke komme i tanke om andre tidspunkter, hvor hun kan have mistet sine oplysninger eller kort. Hun har aldrig reageret på forespørgsler om udleve-ring af personoplysninger.
Efter databruddet fik hun ikke den hjælp, hun skulle have. Alle døre blev luk-ket, da ingen vidste, hvordan man skulle håndtere, at hun ikke kunne bruge sit NemID. Hun skal bruge NemID til alt, og hun stod i en periode uden it-identitet. Hun havde ondt i ryggen og kunne ikke gå, men kunne ikke betale for sin kiropraktor, da hendes kort ikke virkede. Banken troede ikke på hende.
Efter hun fandt ud af, at hun var blevet bestjålet ved brug af telefonen, havde hun ikke lyst til at tage den. Hun tog kun telefonen, hvis hun kendte nummeret. Når telefonen ringede, reagerede hendes krop uhensigtsmæssigt, og hun blev stresset. Hun havde den derfor meget på lydløs funktion. Det er blevet noget bedre i dag.
Hun er blevet anderledes efter databruddet. Hun synes, at IT er for overvæl-dende, og hun har fået sat ekstra kode på sin telefon hos teleselskabet. Det er kommet lidt afstand nu. Dengang kunne hun ikke slappe af og var på vagt.
Hun vil dog altid have en frygt for, at oplysningerne kan blive misbrugt igen.
Det ligger fast nu, at hun ikke skal betale de 95.000 kr. tilbage til banken. Hun afgav vidneforklaring i en straffesag ved Retten i Århus. Hun ved ikke, om der
8
var nogen, der blev dømt. Politiet talte vist om, at der kunne være sket et ”sim-swap” . Hun mindes ikke, at nogen har fortalt hende om ”phishing” . Hun kun-ne se, hvortil pengene fra den ene af de to bankoverførsler var sket.
Hun tænker, at dem, der har misbrugt hendes oplysninger, har haft et SIM-kort, og at banken har sendt koden til SIM-kortet. Hun fik en udskrift af en historik med forskellige ip-adresser.
Supplerende om retsgrundlaget
EU-Domstolen har i en række domme afsagt efter byrettens dom udtalt sig om forståelsen af art. 32 (behandlingssikkerhed) og art. 82 (ret til erstatning og er-statningsansvar) i databeskyttelsesforordningen, jf. Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske per-soner i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forord-ning om databeskyttelse).
Ad navnlig artikel 32 om behandlingssikkerhed
Af Domstolens dom af 14. december 2023 i sag C-340/21 (Natsionalna agentsia za prihodite) fremgår bl.a.:
”29 Henvisningen i databeskyttelsesforordningens artikel 32, stk. 1 og 2, til »et sikkerhedsniveau, der passer til disse risici« og et »sikkerhedsni-veau[,] der er passende« vidner om, at der med denne forordning ind-føres en risikostyringsordning, og at det på ingen måde hævdes, at risi-ciene for brud på persondatasikkerheden fjernes.
30 Det fremgår således af affattelsen af databeskyttelsesforordningens artikel 24 og 32, at disse bestemmelser begrænser sig til at pålægge den dataansvarlige at vedtage tekniske og organisatoriske foranstaltninger med henblik på i videst muligt omfang at undgå ethvert brud på per-sondatasikkerheden. Spørgsmålet om, hvorvidt sådanne foranstaltnin-ger er passende, skal vurderes konkret, idet det skal undersøges, om den dataansvarlige har gennemført disse foranstaltninger under hen-syntagen til de forskellige kriterier, der er omhandlet i de nævnte artik-ler, og til de behov for databeskyttelse, der specifikt er forbundet med den pågældende behandling, samt til de risici, som denne behandling indebærer.
31 Databeskyttelsesforordningens artikel 24 og 32 kan derfor ikke for-stås således, at en uautoriseret videregivelse af, eller en uautoriseret adgang til, personoplysninger foretaget af tredjemand er tilstrækkelig til at konkludere, at de foranstaltninger, som den pågældende data-ansvarlige har truffet, ikke var passende som omhandlet i disse be-stemmelser, uden at det overhovedet gøres muligt for sidstnævnte at føre bevis for det modsatte.
32 En sådan fortolkning gælder så meget desto mere, som databeskyt-telsesforordningens artikel 24 udtrykkeligt fastsætter, at den data-
9
ansvarlige skal kunne påvise, at de foranstaltninger, som vedkommen-de har gennemført, er i overensstemmelse med denne forordning, hvil-ken mulighed den dataansvarlige ville blive frataget, hvis en uafkræfte-lig formodning blev anerkendt.
33 I anden række understøtter elementer angående sammenhæng og formål denne fortolkning af databeskyttelsesforordningens artikel 24 og 32.
34 Hvad for det første angår den sammenhæng, hvori disse to artikler indgår, skal det bemærkes, at det fremgår af databeskyttelsesforordnin-gens artikel 5, stk. 2, at den dataansvarlige skal kunne påvise, at ved-kommende har overholdt de principper for behandling af personoplys-ninger, der er fastsat i denne artikels stk. 1. Denne forpligtelse gentages og præciseres i denne forordnings artikel 24, stk. 1 og 3, og artikel 32, stk. 3, for så vidt angår forpligtelsen til at gennemføre tekniske og orga-nisatoriske foranstaltninger for at beskytte sådanne oplysninger i for-bindelse med den behandling, som denne dataansvarlige foretager. En sådan forpligtelse til at påvise, at disse foranstaltninger er passende, vil-le imidlertid ikke give mening, hvis den dataansvarlige var forpligtet til at forhindre ethvert brud på datasikkerheden i forhold til de nævnte oplysninger.
35 Det betones endvidere i 74. betragtning til databeskyttelsesforord-ningen, at den dataansvarlige bør have pligt til at gennemføre passende og effektive foranstaltninger og til at påvise, at behandlingsaktiviteter overholder denne forordning, herunder foranstaltningernes effektivitet, og at disse foranstaltninger bør tage højde for de kriterier, der er knyttet til den pågældende behandlings karakteristika og den risiko, som den udgør, hvilke kriterier også er fastsat i forordningens artikel 24 og 32.
36 Det fremgår ligeledes af 76. betragtning til denne forordning, at risi-koens sandsynlighed og alvor afhænger af den pågældende behand-lings særlige karakter, og at denne risiko bør evalueres på grundlag af en objektiv vurdering.
37 Det følger i øvrigt af databeskyttelsesforordningens artikel 82, stk. 2 og 3, at selv om en dataansvarlig hæfter for den skade, der er forvoldt af behandling, der overtræder denne forordning, er den pågældende ikke desto mindre fritaget for erstatningsansvar, hvis det bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.
38 For det andet bekræftes den fortolkning, der er anlagt i nærværende doms præmis 31, også af 83. betragtning til databeskyttelsesforordnin-gen, hvor det i første punktum er angivet, at »[f]or at opretholde sik-kerheden og hindre behandling i strid med denne forordning bør den dataansvarlige eller databehandleren vurdere de risici, som en behand-ling indebærer, og gennemføre foranstaltninger, der kan begrænse disse risici«. Herved har EU-lovgiver tilkendegivet sin hensigt om at »be-grænse« risiciene for brud på persondatasikkerheden uden at hævde, at det ville være muligt at fjerne dem.
10
39 Henset til ovenstående begrundelser skal det første spørgsmål be-svares med, at databeskyttelsesforordningens artikel 24 og 32 skal for-tolkes således, at en uautoriseret videregivelse af, eller en uautoriseret adgang til, personoplysninger foretaget af »tredjemand« som omhand-let i denne forordnings artikel 4, nr. 10), ikke i sig selv er tilstrækkelig til at fastslå, at de tekniske og organisatoriske foranstaltninger, som den omhandlede dataansvarlige har truffet, ikke var »passende« som om-handlet i denne artikel 24 og 32.
…
42 Det fremgår af den nævnte artikel 32, stk. 1 og 2, at det skal vurderes i to faser, om sådanne tekniske og organisatoriske foranstaltninger er passende. For det første skal der ske en identificering af de risici for brud på persondatasikkerheden, der følger af den pågældende behand-ling, og deres eventuelle konsekvenser for fysiske personers rettigheder og frihedsrettigheder. Denne vurdering skal foretages konkret under hensyntagen til, hvor sandsynlige og alvorlige de identificerede risici er. For det andet skal det efterprøves, om de foranstaltninger, som den dataansvarlige har gennemført, er tilpasset disse risici under hensynta-gen til det aktuelle tekniske niveau, implementeringsomkostningerne og denne behandlings karakter, omfang, sammenhæng og formål.
43 Den dataansvarlige har ganske vist en vis skønsmargen til at fast-lægge de passende tekniske og organisatoriske foranstaltninger med henblik på at sikre et sikkerhedsniveau, der passer til disse risici, såle-des som det kræves i henhold til databeskyttelsesforordningens artikel 32, stk. 1. Det forholder sig ikke desto mindre således, at en national ret skal kunne evaluere den komplekse vurdering, som den dataansvarlige har foretaget, og herved sikre sig, at de foranstaltninger, som sidst-nævnte har truffet, er egnede til at sikre et sådant sikkerhedsniveau.
44 En sådan fortolkning kan i øvrigt sikre dels effektiviteten af den be-skyttelse af personoplysninger, som betones i 11. og 74. betragtning til denne forordning, dels den adgang til effektive retsmidler over for en dataansvarlig, som er beskyttet ved den nævnte forordnings artikel 79, stk. 1, sammenholdt med 4. betragtning til samme forordning.
45 For at efterprøve, om de tekniske og organisatoriske foranstaltnin-ger, der er gennemført i henhold til databeskyttelsesforordningens arti-kel 32, er passende, skal en national ret derfor ikke begrænse sig til at fastslå, på hvilken måde den pågældende dataansvarlige har haft til hensigt at opfylde sine forpligtelser i henhold til denne artikel, men fo-retage en materiel undersøgelse af disse foranstaltninger ud fra alle de kriterier, der er nævnt i denne artikel, samt de særlige omstændigheder i den konkrete sag og de beviser, som denne ret råder over i denne hen-seende.
46 En sådan undersøgelse kræver, at der foretages en konkret analyse af både arten og indholdet af de foranstaltninger, som den dataansvarlige har gennemført, af den måde, hvorpå disse foranstaltninger er blevet gennemført, og af deres praktiske indvirkninger på det sikkerhedsni-
11
veau, som den dataansvarlige var forpligtet til at sikre, henset til de ri-sici, der er forbundet med denne behandling.
47 Følgelig skal det andet spørgsmål besvares med, at databeskyttelses-forordningens artikel 32 skal fortolkes således, at spørgsmålet om, hvorvidt de tekniske og organisatoriske foranstaltninger, som den dataansvarlige i henhold til denne artikel har truffet, er passende, skal vurderes konkret af de nationale retsinstanser under hensyntagen til de risici, der er forbundet med den pågældende behandling, og idet de skal vurdere, om arten, indholdet og gennemførelsen af disse foran-staltninger er tilpasset disse risici.”
Af Domstolens dom af 25. januar 2024 i sag C-687/21 (MediaMarktSaturn) fremgår bl.a.:
”40 Domstolen har (…) fortolket databeskyttelsesforordningens artikel 24 og 32 således, at en uautoriseret videregivelse af, eller en uautorise-ret adgang til, personoplysninger foretaget af »tredjemand« som om-handlet i denne forordnings artikel 4, nr. 10), ikke i sig selv er tilstræk-kelig til at fastslå, at de tekniske og organisatoriske foranstaltninger, som den omhandlede dataansvarlige har gennemført, ikke var »pas-sende« som omhandlet i denne artikel 24 og 32 (dom af 14.12.2023, Nat-sionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 39).
41 I det foreliggende tilfælde kan omstændighed, at den dataansvarli-ges medarbejdere fejlagtigt har udleveret et dokument, der indeholder personoplysninger, til en uautoriseret tredjemand, indikere, at de tekni-ske og organisatoriske foranstaltninger, som den pågældende data-ansvarlige har gennemført, ikke var »passende« som omhandlet i denne artikel 24 og 32. En sådan omstændighed kan navnlig skyldes forsøm-melighed eller fejl i den dataansvarliges organisation, som ikke tager konkret hensyn til de risici, der er forbundet med behandlingen af de omhandlede oplysninger.
42 I denne henseende skal det fremhæves, at det følger af databeskyttel-sesforordningens artikel 5, 24 og 32, sammenholdt med 74. betragtning hertil, at i forbindelse med et erstatningssøgsmål på grundlag af denne forordnings artikel 82 påhviler bevisbyrden for, at personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for disse op-lysninger som omhandlet i den nævnte forordnings artikel 5, stk. 1, li-tra f), og artikel 32, den pågældende dataansvarlige. En sådan fordeling af bevisbyrden kan ikke alene tilskynde de ansvarlige for behandlingen af disse data til at vedtage de sikkerhedsforanstaltninger, der kræves i henhold til databeskyttelsesforordningen, men også sikre den effektive virkning af den ret til erstatning, der er fastsat i denne forordnings arti-kel 82, og respektere EU-lovgivers hensigter, der er nævnt i 11. betragt-ning hertil (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 49-56).
43 Domstolen har derfor fortolket princippet om den dataansvarliges ansvar, der er fastsat i databeskyttelsesforordningens artikel 5, stk. 2, og konkretiseret i denne forordnings artikel 24 således, at den dataansvar-
12
lige i forbindelse med et erstatningssøgsmål på grundlag af denne for-ordnings artikel 82 bærer bevisbyrden for, at de sikkerhedsforanstalt-ninger, som vedkommende har gennemført i henhold til den nævnte forordnings artikel 32, er passende (dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 57).
44 En ret, ved hvilken der er anlagt et sådant søgsmål om erstatning for skade på grundlag af databeskyttelsesforordningens artikel 82, kan så-ledes ikke udelukkende tage hensyn til den omstændighed, at den da-taansvarliges medarbejdere fejlagtigt har udleveret et dokument, der indeholder personoplysninger, til en uautoriseret tredjemand, med henblik på at afgøre, om der foreligger en tilsidesættelse af en forplig-telse, der er fastsat i denne forordning. Denne ret skal nemlig ligeledes tage hensyn til alle de beviser, som den dataansvarlige har fremlagt for at godtgøre, at de tekniske og organisatoriske foranstaltninger, som denne har truffet for at opfylde sine forpligtelser i henhold til den nævnte forordnings artikel 24 og 32, er passende.
45 Henset til ovenstående betragtninger skal det tredje og det fjerde spørgsmål besvares med, at databeskyttelsesforordningens artikel 5, 24, 32 og 82, sammenholdt med hinanden, skal fortolkes således, at den omstændighed, at den dataansvarliges medarbejdere fejlagtigt har ud-leveret et dokument, der indeholder personoplysninger, til en uautori-seret tredjemand – i forbindelse med et erstatningssøgsmål på grundlag af denne artikel 82 – ikke i sig selv er tilstrækkelig til at fastslå, at de tekniske og organisatoriske foranstaltninger, som den pågældende da-taansvarlige har gennemført, ikke var »passende« som omhandlet i denne artikel 24 og 32.”
Ad navnlig artikel 82 om ret til erstatning og erstatningsansvar
Af Domstolens dom af 14. december 2023 i sag C-340/21 (Natsionalna agentsia za prihodite) fremgår bl.a.:
75 Med sit femte spørgsmål ønsker den forelæggende ret nærmere be-stemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den frygt, som en registreret nærer for, at dennes personoplysninger potentielt kan blive misbrugt af tredjemand som følge af en tilsidesættelse af denne forordning, i sig selv kan udgøre en »immateriel skade« som omhandlet i denne bestemmelse.
76 Hvad for det første angår ordlyden af databeskyttelsesforordningens artikel 82, stk. 1, skal det bemærkes, at denne bestemmelse fastsætter, at »[e]nhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvold-te skade fra den dataansvarlige eller databehandleren«.
77 I denne henseende har Domstolen bemærket, at det klart fremgår af ordlyden af databeskyttelsesforordningens artikel 82, stk. 1, at en af be-tingelserne for ret til erstatning som fastsat i denne bestemmelse er, at der foreligger »skade«, eller at der er »forvold[t] skade«, ligesom denne forordning skal være overtrådt, og der skal være en årsagsforbindelse mellem skaden og overtrædelsen, idet disse tre betingelser er kumulati-
13
ve (dom 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præ-mis 32).
78 Domstolen har i øvrigt på grundlag af både ordlyds-, system- og formålsbetragtninger fortolket databeskyttelsesforordningens artikel 82, stk. 1, således, at denne bestemmelse er til hinder for en national regel eller praksis, hvorefter erstatning for en »immateriel skade« som om-handlet i den nævnte bestemmelse er betinget af, at den skade, som den registrerede har lidt, har en vis alvorsgrad (dom 4.5.2023, Österreichis-che Post (Immateriel skade i forbindelse med behandling af personop-lysninger), C-300/21, EU:C:2023:370, præmis 51).
79 Når dette er sagt, skal det i det foreliggende tilfælde fremhæves, at databeskyttelsesforordningens artikel 82, stk. 1, ikke sondrer mellem til-fælde, hvor den »immaterielle skade«, som den registrerede hævder at have lidt som følge af en konstateret tilsidesættelse af denne forord-nings bestemmelser, på den ene side er forbundet med tredjemands misbrug af den registreredes personoplysninger, som allerede er sket på tidspunktet for vedkommendes erstatningskrav, og på den anden side er knyttet til den frygt, som denne person nærer for, at et sådant misbrug kan finde sted i fremtiden.
80 Ordlyden af databeskyttelsesforordningens artikel 82, stk. 1, udeluk-ker derfor ikke, at begrebet »immateriel skade«, der fremgår af denne bestemmelse, kan omfatte en situation som den, der er henvist til af den forelæggende ret, hvor den registrerede med henblik på at opnå erstat-ning på grundlag af denne bestemmelse påberåber sig sin frygt for, at den pågældendes personoplysninger i fremtiden vil blive misbrugt af tredjemand som følge af den skete tilsidesættelse af denne forordning.
81 Denne ordlydsfortolkning understøttes for det andet af 146. betragt-ning til databeskyttelsesforordningen, som specifikt vedrører den ret til erstatning, der er fastsat i denne forordnings artikel 82, stk. 1, og som i tredje punktum nævner, at »[b]egrebet »skade« bør fortolkes bredt i ly-set af retspraksis ved Domstolen, således at det fuldt ud afspejler for-målene for denne forordning«. En fortolkning af begrebet »immateriel skade« som omhandlet i denne artikel 82, stk. 1, som ikke inkluderer de situationer, hvor den registrerede, der er berørt af en tilsidesættelse af den nævnte forordning, påberåber sig den frygt, som vedkommende nærer for, at den pågældendes egne personoplysninger i fremtiden vil blive misbrugt, ville imidlertid ikke være i overensstemmelse med en bred opfattelse af dette begreb således som ønsket af EU-lovgiver (jf. analogt dom af 4.5.2023, Österreichische Post (Immateriel skade i for-bindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 37 og 46).
82 Det fremgår i øvrigt af 85. betragtning, første punktum, til databe-skyttelsesforordningen, at »[e]t brud på persondatasikkerheden kan, hvis det ikke håndteres på en passende og rettidig måde, påføre fysiske personer fysisk, materiel eller immateriel skade, såsom tab af kontrol over deres personoplysninger eller begrænsning af deres rettigheder, forskelsbehandling, identitetstyveri eller -svig, finansielle tab, […] eller
14
andre betydelige økonomiske eller sociale konsekvenser for den berørte fysiske person«. Det fremgår af denne liste over eksempler på »skade«, som de registrerede kan lide, at EU-lovgiver har haft til hensigt, at dette begreb navnlig skulle omfatte det blotte »tab af kontrol« over deres eg-ne oplysninger som følge af en tilsidesættelse af denne forordning, selv om et misbrug af de omhandlede oplysninger ikke konkret har fundet sted til skade for de nævnte personer.
83 For det tredje og endelig understøttes fortolkningen i nærværende doms præmis 80 af formålene med databeskyttelsesforordningen, som skal afspejles fuldt ud ved fastlæggelsen af begrebet »skade«, således som det fremgår af 146. betragtning, tredje punktum, til denne forord-ning. En fortolkning af databeskyttelsesforordningens artikel 82, stk. 1, hvorefter begrebet »immateriel skade« som omhandlet i denne be-stemmelse ikke omfatter de situationer, hvor en registreret udelukken-de påberåber sig sin frygt for, at den pågældendes oplysninger i fremti-den vil blive misbrugt af tredjemand, ville imidlertid ikke være i over-ensstemmelse med den garanti for et højt beskyttelsesniveau for fysiske personer i forbindelse med behandling af personoplysninger inden for Unionen, der er omhandlet i dette instrument.
84 Det skal imidlertid fremhæves, at en registreret person, der er berørt af en overtrædelse af databeskyttelsesforordningen, som har haft ska-devirkninger for den pågældende, skal godtgøre, at disse virkninger udgør en immateriel skade som omhandlet i forordningens artikel 82 (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 50).
85 Når en person, der kræver erstatning på dette grundlag, påberåber sig en frygt for, at der i fremtiden vil ske et misbrug af den pågælden-des personoplysninger som følge af en sådan tilsidesættelse, skal den nationale ret, hvor sagen anlægges, navnlig efterprøve, om denne frygt kan anses for at være velbegrundet under de pågældende specifikke omstændigheder og i forhold til den registrerede.
86 Henset til ovenstående begrundelser skal det femte spørgsmål be-svares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal for-tolkes således, at den frygt, som en registreret nærer for, at dennes per-sonoplysninger potentielt kan blive misbrugt af tredjemand som følge af en tilsidesættelse af denne forordning, i sig selv kan udgøre en »im-materiel skade« som omhandlet i denne bestemmelse.”
Af Domstolens dom af 14. december 2023 i sag C-456/22 (Gemeinde Ummen-dorf) fremgår bl.a.:
”14 Som Domstolen har fremhævet, fremgår det af ordlyden af databe-skyttelsesforordningens artikel 82, stk. 1, at en af betingelserne for ret til erstatning som fastsat i denne bestemmelse er, at der foreligger en »skade«, eller at der er »forvold[t] skade«, ligesom forordningen skal være overtrådt, og der skal være en årsagsforbindelse mellem skaden og overtrædelsen, idet disse tre betingelser er kumulative (dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med be-
15
handling af personoplysninger), C 300/21, EU:C:2023:370, præmis 32, og af dags dato, Natsionalna agentsia za prihodite, C-340/21, præmis 77). Det følger heraf, at disse tre betingelser er nødvendige og tilstrækkelige til at have ret til erstatning som omhandlet i den nævnte bestemmelse.
15 Da der i databeskyttelsesforordningens artikel 82, stk. 1, ikke er no-gen henvisning til medlemsstaternes nationale ret, skal begrebet »im-materiel skade« i denne bestemmelses forstand defineres selvstændigt og ensartet, der er særlig for EU-retten (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med be-handling af personoplysninger), C-300/21, EU:C:2023:370, præmis 30 og 44).
16 Ud fra dette synspunkt har Domstolen på grundlag af både ordlyds-, system- og formålsbetragtninger fortolket databeskyttelsesforordnin-gens artikel 82, stk. 1, således, at denne bestemmelse er til hinder for en national regel eller praksis, hvorefter erstatning for en »immateriel ska-de« som omhandlet i den nævnte bestemmelse er betinget af, at den skade, som den registrerede har lidt, har en vis alvorsgrad (dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med be-handling af personoplysninger), C-300/21, EU:C:2023:370, præmis 51, og af dags dato, Natsionalna agentsia za prihodite, sag C-340/21, præ-mis 78).
17 Det kan således ikke lægges til grund, at der ud over de tre betingel-ser, som er anført i nærværende doms præmis 14, kan tilføjes andre be-tingelser for at ifalde det ansvar, der er fastsat i databeskyttelsesforord-ningens artikel 82, stk. 1, såsom skadens konkrete karakter eller kræn-kelsens objektive karakter.
18 Det følger heraf, at databeskyttelsesforordningens artikel 82, stk. 1, ikke kræver, at den »immaterielle skade«, som den registrerede hævder at have lidt, skal nå en »bagatelgrænse«, for at denne skade kan erstat-tes, efter at der er konstateret en tilsidesættelse af denne forordnings bestemmelser.
19 Denne fortolkning understøttes af tredje punktum i 146. betragtning til databeskyttelsesforordningen, hvoraf det fremgår, at »[b]egrebet »skade« fortolkes bredt i lyset af retspraksis ved Domstolen, således at det fuldt ud afspejler formålene for denne forordning«. Det ville imid-lertid være i strid med denne brede fortolkning af begrebet »skade«, som EU-lovgiver har foretrukket, hvis dette begreb var begrænset til alene at omfatte skader af en vis alvor, navnlig for så vidt angår varig-heden af den periode, i hvilken skadevirkningerne af tilsidesættelsen af denne forordning er blevet lidt af de registrerede (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præ-mis 46, og af dags dato, Natsionalna agentsia za prihodite, sag C-340/21, præmis 81).
20 En sådan fortolkning er desuden i overensstemmelse med et af data-beskyttelsesforordningens formål, der består i at sikre et ensartet og højt niveau for beskyttelse af fysiske personer i forbindelse med behandling
16
af personoplysninger i EU. Såfremt erstatning for immateriel skade var betinget af, at en vis alvorstærskel var nået, ville det risikere at skade sammenhængen i den ordning, der er indført ved databeskyttelsesfor-ordningen, eftersom gradueringen af en sådan tærskel, som mulighe-den for at opnå en sådan erstatning ville afhænge af, ville kunne variere afhængigt af de påkendende retters bedømmelse (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præ-mis 48 og 49).
21 En registreret person, der er berørt af en overtrædelse af databeskyt-telsesforordningen, som har skabt skadevirkninger for den pågælden-de, skal imidlertid godtgøre, at disse virkninger udgør en immateriel skade som omhandlet i forordningens artikel 82 (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 50, og af dags dato, Natsionalna agentsia za prihodite, C-340/21, præ-mis 84). Den blotte overtrædelse af denne forordnings bestemmelser er nemlig ikke tilstrækkelig til at give ret til erstatning (dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 42).
22 Selv om der under disse omstændigheder ikke er noget til hinder for, at offentliggørelse på internettet af personoplysninger og det deraf føl-gende tab af kontrol over disse inden for et kort tidsrum kan anses for at påføre de registrerede en »immateriel skade« som omhandlet i data-beskyttelsesforordningens artikel 82, stk. 1, der giver ret til erstatning, skal disse personer endvidere godtgøre, at de faktisk har lidt en sådan skade, uanset hvor lille den måtte være.
23 På baggrund af det ovenstående skal det forelagte spørgsmål besva-res med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortol-kes således, at denne bestemmelse er til hinder for en national lovgiv-ning eller national praksis, der fastsætter en »bagatelgrænse« med hen-blik på at kvalificere en immateriel skade, der er forårsaget af en tilside-sættelse af denne forordning. Den registrerede skal godtgøre, at konse-kvenserne af denne tilsidesættelse, som vedkommende hævder at have lidt, udgør en skade, der adskiller sig fra den blotte tilsidesættelse af be-stemmelserne i den nævnte forordning.”
Af Domstolens dom af 25. januar 2024 i sag C-687/21 (MediaMarktSaturn) fremgår bl.a.:
”60 Domstolen har præciseret, at en registreret, der er berørt af en over-trædelse af databeskyttelsesforordningen, som har skabt skadevirknin-ger for den pågældende, imidlertid skal godtgøre, at disse virkninger udgør en immateriel skade som omhandlet i forordningens artikel 82, eftersom den blotte overtrædelse af denne forordnings bestemmelser ikke er tilstrækkelig til at give ret til erstatning (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 42 og 50, og domme af 14.12.2023, Natsionalna agentsia za prihodite, C-
17
340/21, EU:C:2023:986, præmis 84, og Gemeinde Ummendorf, C-456/22, EU:C:2023:988, præmis 21 og 23).
61 Henset til ovenstående betragtninger skal det andet spørgsmål be-svares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal for-tolkes således, at den person, der fremsætter et erstatningskrav i hen-hold til denne bestemmelse, er forpligtet til ikke alene at godtgøre en overtrædelse af denne forordnings bestemmelser, men ligeledes, at denne overtrædelse har forvoldt vedkommende materiel eller immate-riel skade.”
Af Domstolens dom af 20. juni 2024 i sag C-590/22 (PS GbR m.fl.) fremgår bl.a.:
”29 Den forelæggende ret ønsker med det tredje spørgsmål nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at en persons frygt for, at vedkommendes personop-lysninger som følge af en overtrædelse af denne forordning er blevet videregivet til tredjemand, uden at det kan godtgøres, at dette faktisk har været tilfældet, er tilstrækkelig til at begrunde en ret til erstatning for immateriel skade.
30 Det fremgår af forelæggelsesafgørelsen, at sagsøgerne i hovedsagen på grundlag af databeskyttelsesforordningen ønsker at opnå erstatning for en immateriel skade som følge af tab af kontrol med deres perso-noplysninger, der har været genstand for behandling, uden at kunne godtgøre, i hvilket omfang tredjemand faktisk har fået kendskab til dis-se oplysninger.
31 Da der i databeskyttelsesforordningens artikel 82, stk. 1, ikke er no-gen henvisning til medlemsstaternes nationale ret, skal begrebet »im-materiel skade« som omhandlet i denne bestemmelse i denne henseen-de undergives en selvstændig og ensartet fortolkning, der er særlig for EU-retten (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 30 og 44, og af 25.1.2024, Media-MarktSaturn, C-687/21, EU:C:2024:72, præmis 64).
32 Domstolen har fastslået, at det ikke alene fremgår af ordlyden af da-tabeskyttelsesforordningens artikel 82, stk. 1, sammenholdt med 85. og 146. betragtning til denne forordning, som opfordrer til at anlægge en bred fortolkning af begrebet »immateriel skade« som omhandlet i den-ne førstnævnte bestemmelse, men ligeledes af formålet, der består i at sikre et højt beskyttelsesniveau for fysiske personer i forbindelse med behandling af personoplysninger, som er omhandlet i den nævnte for-ordning, at den frygt, som en registreret nærer for, at dennes personop-lysninger potentielt kan blive misbrugt af tredjemand som følge af en overtrædelse af denne forordning, i sig selv kan udgøre en »immateriel skade« som omhandlet i denne artikel 82, stk. 1 (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, U:C:2023:986, præmis 79-86, og af 25.1.2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, præmis 65).
18
33 Tabet af kontrol med personoplysninger – selv i et kort tidsrum – kan udgøre en »immateriel skade« som omhandlet i databeskyttelses-forordningens artikel 82, stk. 1, der giver ret til erstatning, forudsat at den nævnte registrerede godtgør, at vedkommende faktisk har lidt en sådan skade, uanset hvor lille den måtte være, idet Domstolen har ud-talt, at den blotte tilsidesættelse af bestemmelserne i denne forordning ikke er tilstrækkelig til at give ret til erstatning på dette grundlag (jf. i denne retning dom af 25.1.2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, præmis 66, og af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 42).
34 En registreret, der mener, at vedkommendes personoplysninger er blevet behandlet i strid med de relevante bestemmelser i databeskyttel-sesforordningen, og kræver erstatning på grundlag af denne forord-nings artikel 82, stk. 1, skal derfor bevise, at vedkommende faktisk har lidt materiel eller immateriel skade.
35 Den blotte henvisning til en frygt – uden godtgjorte negative konse-kvenser – kan således ikke give anledning til erstatning i henhold til denne bestemmelse.
36 Henset til ovenstående betragtninger skal det tredje spørgsmål be-svares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal for-tolkes således, at en persons frygt for, at vedkommendes personoplys-ninger som følge af en overtrædelse af denne forordning er blevet vide-regivet til tredjemand, uden at det kan godtgøres, at dette faktisk har været tilfældet, er tilstrækkelig til at begrunde en ret til erstatning, for så vidt som denne frygt og de negative konsekvenser af denne er behø-rigt bevist.”
Parternes synspunkter
Appellanterne, Appellant 1, tidligere Sagsøger 1, Appellant 2, tidligere Sagsøger 3, Appellant 3, tidligere Sagsøger 4, Appellant 5, tidligere Sagsøger 6, Appellant 4, tidligere Sagsøger 5 og Appellant 6, tidligere Sagsøger 2
Appellant 6, tidligere Sagsøger 2, har i det væsentlige procederet i overensstemmelse med påstandsdoku-
ment af 20. august 2024, hvoraf bl.a. fremgår:
”…
Anbringender
1. Personoplysningerne og den stedfundne behandling
1.1 Personoplysningernes art
Der er enighed om, at der er sket ”behandling” i Databeskyttelsesfor-ordningens forstand.
Begrebet ”personoplysninger” omfatter ”enhver form for information om en identificeret eller identificerbar fysisk person” , f.eks. ”et navn [el-ler] identifikationsnummer” , jf. Databeskyttelsesforordningens art. 4, nr. 1.
19
Databeskyttelsesforordningen opdeler personoplysningerne i tre grup-per:
1) ” Almindelige personoplysninger” (Databeskyttelsesforordnin-gens art. 6 og Persondatalovens 6),
2) ” Følsomme personoplysninger” (Databeskyttelsesforordningens art. 9 og Persondatalovens § 7), samt
3) Oplysninger om straffedomme og lovovertrædelser eller tilknyt-tede sikkerhedsforanstaltninger (Databeskyttelsesforordningens art. 10 og Persondatalovens § 8).
Desuden er der en særlig type personoplysninger, som er selvstændigt reguleret i Persondataloven (og kun her):
4) CPR-numre (Persondatalovens § 11, jf. Databeskyttelsesforord-ningens art. 87).
Det kan lægges til grund, formentligt som ubestridt, at appellanterne har fået behandlet ”almindelige personoplysninger” i Databeskyttelses-forordningens art. 6’s forstand (navne og adresser) samt derudover de-res CPR-numre, jf. Persondatalovens § 11.
Der er videre enighed om, at der for så vidt angår Appellant 1, tidligere Sagsøger 1, Appellant 2, tidligere Sagsøger 3 og Appellant 5, tidligere Sagsøger 6 tillige er behandlet helbredsoplysninger, som omhandlet i Databeskyttelsesfor-ordningens art. 4, nr. 15 (” personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som gi-ver information om vedkommendes helbredstilstand” ).
Det kan på den baggrund tillige lægges til grund, at i hvert fald Appellant 1, tidligere Sagsøger 1, Appellant 2, tidligere Sagsøger 3 og Appellant 5, tidligere Sagsøger 6 også har fået behandlet ”følsomme personoplysninger” i Databe-skyttelsesforordningens art. 9’s forstand (jf. Persondatalovens § 7), hvil-ket byretten også fastslår, idet der dog ”kun” henvises til art. 4, nr. 15 (ikke art. 9 direkte), jf. dommens side 96.
Det gøres af appellanten Appellant 3, tidligere Sagsøger 4 desuden gældende (og dette blev også fastslået af byretten), at der tillige var registreret ”følsomme per-sonoplysninger” (helbredsoplysninger) om ham, idet han i regnear-ket(fejlagtigt) var registreret med ophold på institutionen Egebo. Egebo er en institution, der henvender sig til personer med psykisk funktions-nedsættelse, ofte med diagnoser inden for skizofreni-spektret, og op-lysningerne herom var egnede til at give fejlagtige informationer om hans mentale helbred og/eller modtagelsen af sundhedsydelser.
1.2 Principper for behandling af personoplysninger (art. 5, stk. 1)
1.2.a Lovlighed, rimelighed og gennemsigtighed (litra a)
Art. 5, stk. 1, litra a, angiver det, som hidtil er betegnet ”god databe-handlingsskik” . Persondatabehandlingen skal være lovlig, hvilket ikke blot gælder i forhold til forordningen, men også i relation til anden na-tional lovgivning eller anden lovgivning fra EU, og behandlingen skal være ”rimelig” , hvilket indebærer, at den skal være i overensstemmelse
20
med den ”ånd” , der udtrykker forordningens beskyttelsesinteresse.
Denne del af bestemmelsen fungerer i Datatilsynets praksis som en ge-neralklausul.
De grundlæggende regler om tavshedspligt findes i Straffelovens § 152 og Forvaltningslovens § 27, smh.m. Offentlighedslovens §§ 30-33.
Der henvises desuden til art. 7 og 8 i Chartret, hvoraf det fremgår, at enhver har ret til respekt for sit privatliv og ret til beskyttelse af sine personoplysninger.
Det gøres af appellanterne med henvisning til ovenstående gældende, at personoplysningerne burde være holdt fortrolige, og at indstævnte som forvaltningsmyndighed har overtrådt sin tavshedspligt, herunder de ovennævnte regler.
Det gøres gældende, at den stedfundne behandling af appellanternes personoplysninger også derved ikke opfylder ”god databehandlings-skik” , og at art. 5, stk. 1, litra a, er tilsidesat, jf. også nedenfor.
1.2.b Formålsbegrænsning (litra b) og dataminimering (litra c)
Det følger af art. 5, stk. 1, litra b (vedrørende ”formålsbegrænsning”), at personoplysninger skal indsamles til udtrykkeligt fastslåede og ”legiti-me” , dvs. saglige, formål. Det skal være klart, hvorfor personhenførbare oplysninger bliver indsamlet, og formålet hermed skal være sagligt, jf. Peter Blume: ”Den nye persondataret” (2. dg.), side 86.
Videre fremgår det af art 5, stk. 1, litra c (vedrørende ”dataminime-ring”), at personoplysninger skal være tilstrækkelige, relevante og be -grænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (konkret altså kontrol af beregning af mellemkommunal re-
fusion).
Princippet om ”dataminimering” indebærer, at personoplysninger kun bør behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde.
Det er Gladsaxe Kommune, som skal dokumentere,
1) at kommunen har foretaget en tilstrækkelig konkret vurdering af, hvilke oplysninger der var nødvendige at indsamle i det i sagen omhandlede dokument, og
2) at alle de indsamlede oplysninger var nødvendige for at opfylde formålet med at foretage kontrol af beregningen af mellem-kommunal refusion.
Af appellanterne gøres det gældende, at denne bevisbyrde ikke er løf-tet.
Som dataansvarlig er man – ved behandlingen af personoplysninger – forpligtet til at overveje, om behandlingen af de enkelte oplysninger er
21
nødvendig, herunder om der indsamles for mange oplysninger i for-hold til formålet, eller om formålet kan opnås ved mindre indgribende behandlingsformer. Man bør i den forbindelse overveje, om formålet f.eks. kan opnås ved brug af anonymiserede eller pseudonymiserede data, eller om omfanget af behandlingen kan begrænses på anden vis.
Af appellanterne gøres det gældende, at Gladsaxe Kommune ikke har foretaget en sådan tilstrækkelig konkret vurdering af, hvilke oplysnin-ger, der var nødvendige at indsamle i det i sagen omhandlede doku-ment.
Dette dokumenteres utvivlsomt af det faktum, at der i regnearket for visse af borgerne (dog ikke appellanterne) er medtaget oplysninger om
At navne og adresser i regnearket formentlig slet ikke var nødvendige for den stedfundne kontrol, dokumenteres da også af det faktum, at en af de øvrige sagsøgere i dommen (vedr. sag BS-51332/2019-GLO) netop kun var registreret med sit CPR-nummer, men uden navn og adresse.
Gladsaxe Kommune har eksponeret en hel urimelig risiko ved at regi-strere sådanne til brug for kontrollen helt unødvendige oplysninger og forøget skadevirkningen af dokumentets bortkomst (smh.m. Databe-skyttelsesforordningens art. 32).
22
Det er en skærpende omstændighed, at regnearket vedrører næsten 30% af kommunens borgere og også vedrører særlige kategorier af per-sonoplysninger, altså meget personlige oplysninger.
Det gøres gældende, at det videre er en skærpende omstændighed, at visse af appellanterne også har fået behandlet ”følsomme personoplys-ninger” i Databeskyttelsesforordningens art. 9’s forstand (jf. Personda-talovens § 7).
Sådanne præcise oplysninger om ydelsernes art (helbredsoplysninger-
ne) kunne være udeladt eller udskiftet med koder eller for udenforstå-ende uforståelige forkortelser.
Adgangen til at behandle sådanne følsomme personoplysninger er som udgangspunkt forbudt, jf. art. 9, stk. 1.
Kun i særlige i art 9, stk. 2 opregnede situationer, er behandlingen af følsomme personoplysninger tilladt, f.eks. hvis behandlingen er nød-vendig. Der er ovenfor redegjort for, at dette netop ikke var tilfældet i appellanternes situation.
På den baggrund fastholdes det, at Gladsaxe Kommune har tilsidesat reglen om ”formålsbegrænsning” (manglende legitimitet i forhold til den konkrete opgave) og reglen om ”dataminimering” i art 5, stk. 1, li-tra b og c, og det gøres gældende, at byretsdommen også på dette om-råde er forkert.
1.2.c Rigtighed (litra d)
Art. 5, stk. 1, litra d angiver princippet om datakvalitet, og fastslår, at behandlede oplysninger skal være korrekte og ajourført.
Af appellanten Appellant 3, tidligere Sagsøger 4 gøres det gældende, at oplysningerne i reg-nearket, om, at han skulle have ophold på institutionen Egebo, er for-kerte. Egebo er en institution, der henvender sig til personer med psy-kisk funktionsnedsættelse, ofte med diagnoser inden for skizofreni-spektret, og der er altså tale om ”følsomme personoplysninger” (hel-bredsoplysninger), således som byretten også har fastslået.
Appellant 3, tidligere Sagsøger 4 har imidlertid aldrig boet på institutionen Egebo (eller no-gen anden institution, for den sags skyld), og han har heller ikke psy-kisk funktionsnedsættelse af nogen art.
Den registrerede oplysning om ham er således utvivlsomt ukorrekt, og særlig skadelig for ham, fordi han beskæftiger sig med kommunalpoli-tik (og på daværende tidspunkt var byrådskandidat).
På den baggrund kan det således også lægges til grund, at Gladsaxe Kommune har tilsidesat reglen om ”rigtighed” i Databeskyttelsesfor-ordningens art 5, stk. 1, litra d.
23
Det fremgår af 51. betragtning til Databeskyttelsesforordningen, at per-sonoplysninger, der i kraft af deres karakter er særligt følsomme i for-hold til grundlæggende rettigheder og frihedsrettigheder, bør nyde specifik beskyttelse, da sammenhængen for behandling af dem kan in-debære betydelige risici for grundlæggende rettigheder og frihedsret-tigheder.
Databeskyttelsesforordningens art. 9, stk. 1, fastsætter således princip-pet om forbud mod behandling af de heri nævnte særlige kategorier af personoplysninger. En af disse er ”helbredsoplysninger” som defineret i forordningens art. 4, nr. 15, sammenholdt med den 35. betragtning hertil.
Domstolen har præciseret, at formålet med Databeskyttelsesforordnin-gens art. 9, stk. 1, består i at sikre en øget beskyttelse mod behandlinger, der som følge af de behandlede oplysningers særligt følsomme karakter kan udgøre et særligt alvorligt indgreb i den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger, der er sikret ved art. 7 og 8 i Chartret om grundlæggende rettigheder (jf. i denne retning EU-Domstolens sag C-204/21, præmis 345 og den deri nævnte retspraksis), jf. EU-Domstolens sag C-667/21, præmis 39-41.
Også af disse grunde bør appellanten Appellant 3, tidligere Sagsøger 4 af Østre Landsret få medhold i, at Gladsaxe Kommune har tilsidesat reglen om ”rigtighed” i Databeskyttelsesforordningens art 5, stk. 1, litra d.
1.3 Reglerne i Databeskyttelsesforordningen om behandlingssikkerhed
Endelig fastholdes det af appellanterne – således som appellanterne og-så har fået medhold i af byretten – at personoplysningerne ikke er ”be -handlet på en måde, der sikrer tilstrækkelig sikkerhed for de pågæl-dende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, [] under anvendelse af pas-
Det er i præamblen således netop præciseret, at selv det hændelige tab af personoplysninger er omfattet af bestemmelsen.
Under hensyntagen til det aktuelle tekniske niveau og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene og alvor for fysiske personers rettigheder og frihedsrettigheder burde Gladsaxe Kommune have gennemført andre tekniske og organisatori-ske foranstaltninger for at sikre et (langt) højere sikkerhedsniveau, jf. Databeskyttelsesforordningens art. 32.
Dermed har Gladsaxe Kommune tillige overtrådt princippet i Databe-skyttelsesforordningens art. 5, stk. 1, litra f, om ”integritet og fortrolig-hed” .
24
1.4 Den Europæiske Unions charter om grundlæggende rettigheder
Endelig gøres det gældende, at Gladsaxe Kommune har tilsidesat Chartret om grundlæggende rettigheder, som beskytter de grundlæg-gende rettigheder, som borgerne har i Den Europæiske Union.
Ifølge Chartrets art. 7 har enhver ret til respekt for sit privatliv og ifølge art. 8 ret til beskyttelse af personoplysninger, der vedrører den pågæl-dende.
Således fremgår det videre af art. 8, at personoplysninger skal behand-les rimeligt, til udtrykkeligt angivne formål og på grundlag af de berør-te personers samtykke eller på et andet berettiget ved lov fastsat grund-lag.
1.5 Delkonklusion
Sammenfattende fastholdes det på baggrund af ovenstående, at hver af appellanterne har fået behandlet ”almindelige personoplysninger” i hht. Databeskyttelsesforordningens art. 6 og Persondatalovens 6.
Appellanterne Appellant 1, tidligere Sagsøger 1, Appellant 2, tidligere Sagsøger 3, Appellant 5, tidligere Sagsøger 6 og Appellant 3, tidligere Sagsøger 4 har derudover fået behandlet helbredsoplysninger, som omhandlet i Databeskyttelsesforord-ningens art. 4, nr. 15 – altså ”følsomme personoplysninger” i Databeskyttelses-forordningens art. 9’s forstand (jf. Persondatalovens § 7).
Det fastholdes videre, at Gladsaxe Kommune har handlet i strid med principperne for behandling af personoplysninger i Databeskyttelses-forordningen, navnlig art. 5, stk. 1, litra a (jf. Chartrets art. 7 og 8), art. 5, stk. 1, litra b, c og d, jf. art. 6, stk. 1, litra e og art. 9, stk. 2, litra f, ligesom Gladsaxe Kommune har overtrådt reglerne om behandlingssikkerhed, herunder art. 32, jf. art. 5, stk. 1, litra f om krav til ”integritet og fortro-lighed” .
Det kan på den baggrund lægges til grund, at Gladsaxe Kommune utvivlsomt har overtrådt Databeskyttelsesforordningen, Persondata-loven og Chartret om grundlæggende rettigheder.
Ifølge Datatilsynet er der da også tale om en ”meget alvorlig overtræ-delse” af Databeskyttelsesforordningen, (…).
2. Hjemmelsgrundlaget i Databeskyttelsesforordningens art. 82, stk. 1, til godtgørelse ved ikke-økonomisk skade
2.1 Baggrund
Ifølge Databeskyttelsesforordningens art. 82, stk. 1, har ”enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af [Databeskyttelsesforordningen], [] ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.”
25
Databeskyttelsesforordningen afløste persondatadirektivet fra 1995 (Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af perso-noplysninger og om fri udveksling af sådanne oplysninger) (i det føl-gende ”Persondatadirektivet”).
Af Persondatadirektivet art. 23, stk. 1 hed det:
” Medlemsstaterne fastsætter bestemmelser om, at enhver, som har lidt skade som følge af en ulovlig behandling eller enhver anden handling, der er uforene-lig med de nationale bestemmelser, der vedtages til gennemførelse af dette di-rektiv, har ret til erstatning for den forvoldte skade [].”
Efter almindelig opfattelse i dansk ret, omfattede bestemmelsen kun økonomisk skade (formuetab), og sager om ikke-økonomisk skade blev behandlet på grundlag af Erstatningsansvarslovens § 26.
Persondatadirektivet art. 23, stk. 1 blev i øvrigt implementeret i dansk ret ved § 69 i Persondataloven (Lov 2000-05-31nr. 429 om behandling af personoplysninger). Formodningen er, at hovedparten af sager vedrø-rende persondatabehandling vedrører immateriel og ikke-økonomisk skade (som ikke nødvendigvis er sammenfaldende begreber, jf. neden-for), hvorfor § 69 sandsynligvis aldrig har været anvendt.
Det således helt afgørende nye ved Databeskyttelsesforordningens art. 82, stk. 1, er, at det nu er præciseret, at der også er hjemmel til, at ”im-materiel skade” kan give anledning til erstatning.
2.2 Databeskyttelsesforordningens ordlyd og fortolkning 2.2.a Indledning
Af Databeskyttelsesforordningens art. 82 kan det ikke med sikkerhed udledes, at bestemmelsen omfatter godtgørelse ved ikke-økonomisk skade.
Det bemærkes i den forbindelse, at det danske begreb ”immateriel ska-de” ikke (nødvendigvis) er synonymt med begrebet ”ikke-økonomisk skade” , da en immateriel skade godt kan føre til et økonomisk tab.
Ud fra en streng ordlydsfortolkning alene, kan det altså ikke nødven-digvis udledes, at art. 82, stk. 1, omfatter krav på ”ikke-økonomisk ska-de” . På den anden side, er det en kendsgerning, at man ved Databe-skyttelses-forordningens tilblivelse anvendte begreberne ”immateriel skade” og ”ikke-økonomisk skade” i flæng.
I Databeskyttelsesforordningens præambel er det da også forudsat flere steder, at Databeskyttelsesforordningen beskytter mod ikke-økonomisk tab, og således savner det enhver mening, hvis ikke også art. 82, stk. 1 skulle omfatte sådanne skader;
I præamblens betragtning 75 hedder det f.eks.:
26
” Risiciene for fysiske personers rettigheder og frihedsrettigheder, af varierende sandsynlighed og alvor, kan opstå som følge af behandling af personoplysnin-ger, der kan føre til fysisk, materiel eller immateriel skade, navnlig hvis behand-
(min understregning).
Også i præamblens betragtning 10, 75, 76, 81, 84, 89 og 91 (ikke udtøm-mende) omtales ”rettigheder og frihedsrettigheder” i øvrigt som af hin-anden uafhængige begreber.
2.2.b Skadesbegrebet i Databeskyttelsesforordningens art. 82, stk. 1, og appellanternes subjektive følelser
Databeskyttelsesforordningen indeholder ingen definition af skadesbe-grebet, men præambelbetragtning 146, der knytter sig til art. 82, fastslår, at skadesbegrebet bør fortolkes bredt, hvilket EU-Domstolen også har bekræftet i sin praksis (jf. C-300/21, præmis 46).
27
Skadesbegrebet er et EU-retligt begreb, og der er derfor ikke rum for nationale fortolkninger af begrebet (jf.-300/21, præmis 30).
Begrebet ”skade” skal, ifølge Databeskyttelsesforordningens præambel (betragtning 146), da også fortolkes bredt. Heraf følger det, at
” Den dataansvarlige eller databehandleren bør yde erstatning for enhver skade,
(min understregning).
Sædvanligvis omfatter det EU-retlige skadebegreb da også sådan skade, der ikke er af økonomisk art.
I EU-Domstolens dom af 12. marts 2002 (sag C-168/00), blev det således lagt til grund, at der er hjemmel til tortgodtgørelse i art. 5 i Rådets di-rektiv 90/314/EØF af 13. juni 1990 (”Pakkerejsedirektivet”), der vedrø-rer” skader, der påføres forbrugeren som følge af manglende eller man-gelfuld opfyldelse af kontrakten” . I sagen var der tale om en turist, som havde fået ødelagt sin charterferie i Tyrkiet pga. salmonellaforgiftning. I EU-Domstolens dom af 24. oktober 2013 (sag C-277/12), blev det lagt til grund, at skadebegrebet omfattede immateriel skade (tortgodtgørel-se) i anledning af et trafikuheld, hvor et barn mistede begge forældre.
I sag C-340/21 er det af EU-Domstolen fastslået, at tab af kontrol over personoplysninger kan udgøre en skade i art. 82’s forstand.
Professor Henrik Udsen anfører da også i sin artikel på side 98 (UfR 2024B.95), at ”Det synes nærliggende, at begrebet ikke-økonomisk (im-materiel) skade i art. 82 dækker over et psykisk ubehag, som den regi-strerede påføres ved den ulovlige behandling af den pågældendes per-sonoplysninger.”
EU-Domstolen har da også gentaget adskillige gange (jf. f.eks. sag C-340/21, præmis 78, sag C-456/22, præmis 16 samt sag C-687/21, præmis 59), at der ikke gælder en alvorstærskel efter art. 82.
28
I sag C-456/22 anfører EU-Domstolen således, at skaden ikke skal ligge over en vis ”bagatelgrænse” (jf. præmis 18) og at en skade kan kræves erstattet, ”uanset hvor lille den måtte være” (jf. præmis 22).
I den førnævnte artikel af professor Henrik Udsen (UfR 2024B.95) hed-der det da også:
” Analyse og konklusion: Enhver (ubetydelig) psykisk gene udgør formentlig en skade, der giver ret til erstatning
om netop anført, synes EU-Domstolens afgørelse at medføre, at selv simpel ir-ritation mv. omfattes af skadesbegrebet i art. 82.
[]
Uanset de sidstnævnte argumenter taler mest for, at EU-Domstolen rent fak-tisk har ment, at alle former for psykisk ubehag omfattes af skadesbegrebet, og at Domstolen derfor i sidste ende vil bekræfte dette”
(jf. side 100-101) samt – for så vidt angår spørgsmålet om, hvorvidt ska-desbegrebet er subjektivt eller objektivt:
” Som anført har EU-Domstolen med henvisning til præambelbetragtning 146 understreget, at skadesbegrebet skal fortolkes bredt, hvilket isoleret set peger i retning af, at skadesbegrebet også bør omfatte det reelle psykiske ubehag, en re-gistreret oplever, selvom dette skyldes en særlig psykisk skrøbelighed”
(jf. side 101).
Allerede på den baggrund må det lægges til grund, at det er forkert, når byretten i sine præmisser anfører, at appellanternes ”subjektive følel-ser” ikke ”i sig selv anses for tilstrækkelige til, at [appellanterne] har ret til erstatning/godtgørelse for ikke-økonomisk skade i medfør af databe-skyttelsesforordningens artikel 82, stk. 1” .
Appellanterne er særligt sårbare, hvilket i øvrigt gør sig gældende for mange af de på listen opregnede personer, da listen netop vedrører borgere i kommunen, som modtager offentlige ydelser af den ene eller den anden art.
Således har det givet vis været (endnu) værre for appellanterne end det ville have været for borgere i almindelighed, at blive udsat for person-datatabet, og det har utvivlsomt ændret deres liv – flere af dem ganske betragteligt.
Flere af appellanterne er i konstant ”alarmberedskab” og lever med angst, som muligvis er værre at kapere for dem pga. deres særlige skrøbelighed og det faktum, at ”korthuset” lettere vælter.
Appellanternes partsforklaring for retten var da også både autentiske, troværdig og hjerteskærende.
Ikke desto mindre synes byretten ikke at tage (tilstrækkelig) højde for det såkaldte ”sårbarhedsprincip” i erstatningsretten, som indebærer, at
29
skadevolderen i udgangspunktet gøres ansvarlig for den indtrådte ska-de og hele det heraf følgende tab, også selvom skaden og tabet (delvist) måtte indtræde som følge af den skadelidtes sårbarhed.
Gladsaxe Kommune har kausalt bidraget til (og altså udløst) skaden, som ikke allerede havde manifesteret sig, jf. ”latenthedsbetingelsen” . Videre må det lægges til grund, at det er Gladsaxe Kommunes adfærd (ansvarshændelsen), som har udløst sårbarhedens skadespotentiale, jf. ”realisationsbetingelsen” .
Af appellanterne gøres det for så vidt angår appellanterne Appellant 2, tidligere Sagsøger 3 og Appellant 4, tidligere Sagsøger 5 gældende, at skaden da også har materialiseret sig i mere håndgribelige og særdeles uhyggelige hændel-ser, da de begge – kort efter bortkomsten af computeren – var udsat for identitetstyveri. Appellant 2, tidligere Sagsøger 3 fik i den forbindelse tømt sin bankkonto.
Tabet af netop adresseoplysningerne var i øvrigt særlig katastrofalt for Appellant 4, tidligere Sagsøger 5, som havde(har) adressebeskyttelse af personli-ge – og potentielt livstruende – årsager.
For så vidt angår appellanten Appellant 3, tidligere Sagsøger 4, som stillede op til Kommu-nalvalget, er det selvsagt meget ubehageligt og krænkende, at der i kriminelle miljøer deles oplysninger om ham (tilmed ”følsomme perso-noplysninger” (helbredsoplysninger)), som indikerer, at han lider af en sygdom inden for skizofreni-spektret.
For så vidt angår appellanterne Appellant 2, tidligere Sagsøger 3, Appellant 4, tidligere Sagsøger 5 og Appellant 3, tidligere Sagsøger 4 er der med andre ord tale om andet og langt mere end det, der må betegnes som ”subjektive følelser” , og det må væ-re helt åbenbart, at deres lidelser klart falder under skadesbegrebet i Databeskyttelsesforordningen, herunder art. 82, stk. 1.
Samlet for alle de seks appellanter gøres det dog gældende, at deres ”subjektive følelser” burde have vejet langt tungere i subsumptionen.
Der er tale om sårbare borgere, som har en reel og velbegrundet angst for (yderligere) misbrug af deres personoplysninger, og følgelig burde det forhold, at de lever i konstant frygt, have medført, at de alle fik medhold i deres krav om tortgodtgørelse, da deres skader klart ”adskil-ler sig fra den blotte tilsidesættelse af bestemmelserne i” Databeskyttel-sesforordningen, smh.m. EU-Domstolens sag C-456/22 (Gemeinde Um-mendorf).
3. Betingelser for tilkendelse af tortgodtgørelse og tortgodtgørelsens størrelse
3.1 Indledning
Ifølge professor Henrik Udsen (i UfR 2024B.95) er et erstatningskrav ef-ter art. 82 i Databeskyttelsesforordningen betinget af tre kumulative be-tingelser:
30
1) Der skal foreligge en overtrædelse af Databeskyttelsesforord-ningen;
2) Der skal være lidt en skade, og
3) Der skal være årsagssammenhæng mellem overtrædelsen og skaden
Der er ovenfor redegjort for, at der er sket flere og alvorlige overtrædel-ser af Databeskyttelsesforordningen, jf. navnlig pkt. 1.2 og 1.3. Ligeledes er der under pkt. 2.2b redegjort for skadesbegrebet og under sagsfremstillingen og pkt. 2.2b redegjort for, at appellanterne har lidt skader, der klart ”adskiller sig fra den blotte tilsidesættelse af bestem-melserne i” Databeskyttelsesforordningen (smh.m. EU-Domstolens sag C-456/22 (Gemeinde Ummendorf)).
Af appellanterne er der redegjort for, at skaderne er indtrådt som en di-rekte følge af Gladsaxe Kommunes tab af deres persondata, og at der altså er årsagssammenhæng mellem overtrædelsen og skaderne.
3.2 Forholdet til Erstatningsansvarslovens § 26 og udvidelsen af regi-streredes rettigheder
Det er en grundlæggende forudsætning for at tildele tortgodtgørelse ef-ter Erstatningsansvarslovens § 26, at der foreligger en krænkelse af en vis grovhed.
” Udgangspunktet efter art. 82 er et andet. Efter denne bestemmelse skal vurde-ringen tage udgangspunkt i, om der er sket en overtrædelse af forordningen, dvs. om der er sket en ulovlig behandling af personoplysninger” ,
jf. professor Henrik Udsen i UfR 2020B.226.
I nærværende sager kan det lægges til grund, at der er sket klare over-trædelser af Databeskyttelsesforordningen og Persondataloven, herun-der at der har fundet ulovlige behandlinger af personoplysninger sted.
På baggrund af de seneste domme fra EU-Domstolen (som behandles hver for sig under pkt. 4 nedenfor) har professor Henrik Udsen i en ny-ere artikel fra 2024 da også skærpet sin vurdering, og konstateret, at ”der efter EU-Domstolens praksis ikke gælder en bagatelgrænse for skadesbegrebet efter art. 82” og at ”art. 82 og EU-Domstolens praksis indebærer, at danske domstole skal tilkende godtgørelse for personda-takrænkelser i videre omfang end hidtil” , jf. UfR 2024B.95.
En sådan udvidelse af de registreredes rettigheder harmonerer med Da-tabeskyttelsesforordningens formål, som er at ”sikre et ensartet og højt niveau for beskyttelse af fysiske personer” (jf. præamblens nr. 10) samt” styrke og præcisere de registreredes rettigheder og de forpligtelser, der påhviler dem, der behandler og træffer afgørelse om behandling af per-sonoplysninger” . I den forbindelse nævnes i øvrigt, at formålet med Da-tabeskyttelsesforordningen er at give ”beføjelser til at føre tilsyn med og sikre overholdelse af reglerne om beskyttelse af personoplysninger og indføre tilsvarende sanktioner ved overtrædelser (jf. præamblens nr. 11).
31
Med Databeskyttelsesforordningen er der tiltænkt en betydelig udvi-delse af beskyttelsen af registrerede, hvilket i øvrigt også afspejler sig i de eksorbitante administrative bøder, som tilsynsmyndighederne har hjemmel til at pålægge (op til Euro 20 mio. eller 4 % af virksomhedens samlede, årlige globale omsætning), jf. Databeskyttelsesforordningens art. 83, stk. 5.
Af appellanterne gøres det med henvisning til ovenstående gældende, at art. 82, stk. 1, tillige dækker tab af kontrol med personoplysninger – navnlig sådanne, som er ”følsomme” (jf. art. 9) og fortrolige (jf. betragt-ning 75 og 85).
Det er en skærpende omstændighed, at der er behandlet personoplys-ninger om sårbare fysiske personer, og behandlingen har omfattet ”en stor mængde personoplysninger og berører et stort antal registrerede” , næsten 30 % af borgerne i kommunen (jf. betragtning 75).
Også Datatilsynet har i sin politianmeldelse af Gladsaxe Kommune (jf. bilag H (i sag BS-19616/2021-OLR), side 8) tillagt det betydning, at ”kommunen behandler meget store mængder af personoplysninger om kommunens borgere, herunder oplysninger af følsom karakter. En bor-ger har ikke mulighed for at fravælge kommunens behandling af op-lysninger om vedkommende, og kommunen har derfor et stort ansvar for at beskytter borgerne mod, at disse oplysninger kommer til uved-kommendes kendskab” .
Det synes med andre ord at være en skærpende omstændighed, at da-tabruddet er begået af en offentlig institution, til hvem man bør kunne have tillid.
Af appellanterne gøres det videre gældende, at Danmark er forpligtet til at fortolke unionsretlige begreber og legaldefinitioner (herunder skadesbegrebet) i EU-retten EU-konformt.
Denne forpligtelse blev udtrykkeligt bekræftet af Domstolen i ”Google Spain-sagen” (sag C-131/12), og forpligtelsen må anses for at være ble-vet skærpet med Databeskyttelsesforordningens vedtagelse. Ét af ho-vedformålene med forordningen var netop at imødegå den fragmente-ring, der var opstået under det tidligere Databeskyttelsesdirektiv, her-under at opnå en mere konsekvent og ensartet retsstilling, jf. præam-belbetragtning nr. 9 og 10 i Databeskyttelsesforordningen.
Af Databeskyttelsesforordningen fremgår det helt eksplicit, at formålet er at ”sikre et ensartet og højt niveau for beskyttelse af fysiske perso-
ner” (min understregning).
Når domstole i Storbritannien, Tyskland, Østrig og Holland således al-lerede har fastslået, at der er hjemmel i Databeskyttelsesforordningens artikel 82, stk. 1, til tortgodtgørelse, og samtidig har sat ”barren” for, hvornår krænkelsen er så stor, at man er berettiget til tortgodtgørelse, relativt lavt, giver det ikke mening, at appellanternes krav om tortgodt-gørelse er afvist af Retten i Glostrup.
32
Det gøres gældende, at byretten har forsømt at foretage en EU-konform fortolkning af artikel 82, stk. 1, når ”barren” for godtgørelse – forment-lig fordi, det er svært at abstrahere fra danske retstraditioner og den praksis, der allerede foreligger i henhold til Erstatningsansvarslovens § 26 - sættes så højt, at retten til tort-godtgørelse de facto bliver illusorisk.
I nærværende sager har Gladsaxe Kommune – pga. sløseri og en lang række fejl - udløst en tidsubegrænset, potentiel og reel risiko for mis-brug, ikke mindst henset til, at det med sikkerhed kan lægges til grund, at oplysningerne er kommet i hænderne på kriminelle, og at personop-lysninger er en reel salgsvare.
Ovenstående bør klart tale for, at appellanterne af Østre Landsret til-kendes tortgodtgørelse.
3.3 Størrelsen på tortgodtgørelsen
I Databeskyttelsesforordningen, herunder art. 82, er der ingen nærmere regulering af, hvordan godtgørelse for ikke-økonomisk skade skal fast-sættes.
På den baggrund er EU-Domstolen bl.a. i sag C-300/21 blevet spurgt, om EU-retten opstiller andre krav end effektivitetsprincippet og ækvi-valensprincippet ved fastsættelsen af erstatningen (godtgørelsen) efter art. 82.
EU-Domstolen har i den forbindelse fastslået følgende:
” Når der ikke findes EU-retlige regler på området, tilkommer det følgelig hver enkelt medlemsstat i sin retsorden at fastsætte reglerne for sager til sikring af beskyttelsen af borgernes rettigheder i henhold til artikel 82 og navnlig at fast-sætte de kriterier, der giver mulighed for at bestemme omfanget af den erstat-ning, der skal betales i denne forbindelse”
(præmis 54).
Spørgsmålet om, hvorvidt de nationale domstole – inden for rammerne af de to overordnede principper(effektivitetsprincippet og ækviva-lensprincippet) – har frihed til at fastsætte godtgørelsens størrelse, er altså besvaret bekræftende.
Art. 82 har ikke pønal karakter, og godtgørelsen skal derfor alene have kompenserende (men ikke pønal effekt), jf. sag C-300/21, præmis 58. På den baggrund fastslog EU-Domstolen da også i sag I C-667/21, at der ved fastsættelsen af godtgørelsen ikke skal tages hensyn til grovheden af det regelbrud, der har ført til skaden (præmis 102).
I sag C-741/21 fastslog EU-Domstolen videre, at de kriterier, der er op-stillet for fastsættelsen af bødestørrelse efter art. 83, ikke kan anvendes analogt ved fastsættelsen af godtgørelsesbeløb efter art. 82, fordi denne bestemmelse ikke har pønal karakter (præmis 62).
33
På baggrund af ovenstående gøres det af appellanterne gældende, at det altså er overladt til medlemsstaterne og de nationale domstole at fastlægge godtgørelsesniveauet, om end effektivitetsprincippet og ækvivalensprincippet skal iagttages. Dette indebærer bl.a., ”at national ret ikke må føre til så lave godtgørelsesbeløb, at den ret til godtgørelse, der følger af art. 82, bliver illusorisk.” , jf. professor Henrik Udsen i UfR 2024B.95, side 103.
Appellanterne har alle oplevet en livsændrende skade som følge af Gladsaxe Kommunes behandling af deres persondata, hvilket vil blive yderligere dokumenteret under sagen for Østre Landsret. På den bag-grund bør de tilkendes tortgodtgørelse i hht. Databeskyttelsesforord-ningens art. 82 med de i påstandene nævnte beløb, som både tager høj-de for effektivitetsprincippet og ækvivalensprincippet.
Fastsættes beløbene lavere, vil beskyttelsen i hht. art. 82 nemt kunne opfattes illusorisk.
4. Praksis fra EU-Domstolen vedr. Databeskyttelsesforordningens art. 82, stk. 1
Efter, at der i maj 2021 af Retten i Glostrup blev afsagt dom i de seks sa-ger, har EU-Domstolen afsagt min. seks domme vedr. Databeskyttelses-forordningens art. 82, stk. 1, og det er i dem alle forudsat, at der i Data-beskyttelsesforordningens art. 82, stk. 1, er hjemmel til tortgodtgørelse, jf. nedenstående.
4.1 Dom af 4. maj 2023 i EU-Domstolens sag C-300/21 (Österreichische Post AG)
Österreichische Post, som er et østrigsk selskab, der sælger adresseop-lysninger, har indsamlet oplysninger, bl.a. om den østrigske befolk-nings formentlige politiske tilhørsforhold. Sådanne data er blevet solgt til forskellige virksomheder for at give mulighed for målrettet reklame.
På den baggrund har Österreichische Post bl.a. solgt oplysninger om, at sagsøgeren i hovedsagen nærede sympati for et bestemt østrigsk poli-tisk parti. Oplysningerne blev ikke videregivet til tredjemand, men sagsøgeren i hovedsagen, som ikke havde givet sit samtykke til behand-lingen af sine personoplysninger, følte sig krænket over, at han var ble-vet tilskrevet sympati for det pågældende parti.
Den omstændighed, at oplysninger om hans formodede politiske an-skuelser var blevet opbevaret i dette selskab, fik ham til at føle ærgrelse, tab af tillid og ydmygelse (altså alene krænkelser af midlertidig og følel-sesmæssig karakter). Sagsøgeren krævede derfor et beløb, stort Euro 1.000, i erstatning for denne immaterielle skade.
I dommen forudsættes det simpelthen af EU-Domstolen, at der i art. 82, stk. 1, er hjemmel til tortgodtgørelse (erstatning for ikke økonomisk skade).
34
EU-Domstolen fastslår desuden, at Databeskyttelsesforordningens art. 82, stk. 1 skal fortolkes således, at den blotte overtrædelse af forordnin-gens bestemmelser ikke er tilstrækkelig til at give ret til erstatning (præmis 42).
Det fastslås dog samtidigt, at art. 82, stk. 1 er til hinder for en national regel eller praksis, hvorefter erstatning for en immateriel skade som omhandlet i den nævnte bestemmelse er betinget af, at den skade, som den registrerede har lidt, har en vis alvorsgrad (præmis 51).
Såfremt erstatning for immateriel skade var betinget af, at en vis alvor-stærskel var nået, ville det risikere at skade sammenhængen i den ord-ning, der er indført ved databeskyttelsesforordningen, eftersom gradu-eringen af en sådan tærskel, som muligheden for at opnå en sådan er-statning ville afhænge af, ville kunne variere afhængigt af de påken-dende retters bedømmelse (præmis 49).
Navnlig med henvisning hertil gøres det af appellanterne gældende, at den af byetten fastsatte (subjektive)” bagatelgrænse” er forkert, ligesom det er forkert, når byretten indfortolker et krav om, at et brud på data-sikkerheden – for at berettige til tortgodtgørelse – skal have ”medført skade eller nærliggende risiko for skade på fx omdømme, tab af fortro-lighed, identitetstyveri eller andre økonomiske eller sociale konsekven-ser [] af en vis kvalificeret karakter” (min understregning).
4.2 Dom af 14. december 2023 i EU-Domstolens sag C-456/22 (Gemeinde Ummendorf)
Dommen fastslår (ligesom dommen i sag C-300/21), jf. præmis 23, at Databeskyttelsesforordningens art. 82, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning eller natio-nal praksis, der fastsætter en ”bagatelgrænse” med henblik på at kvali-ficere en immateriel skade, der er forårsaget af en tilsidesættelse af den-ne forordning.
Den registrerede skal dog godtgøre, at konsekvenserne af denne tilside-sættelse, som vedkommende hævder at have lidt, udgør en skade, der adskiller sig fra den blotte tilsidesættelse af bestemmelserne i den nævnte forordning.
4.3 Dom af 14. december 2023 i EU-Domstolens sag C-340/21 (Natsio-nalna agentsia za prihodite)
NAP er en offentlig myndighed i Bulgarien, som har til opgave, bl.a., at identificere, sikre og inddrive offentlige fordringer.
I 2019 skete der en uautoriseret adgang til NAP’s IT-system via en cybe-rangreb, og en række personoplysninger var blevet offentliggjort på in-ternettet, og nogle hundrede af de berørte personer anlagde sag mod NAP med påstand om erstatning for immaterielle skader som følge af videregivelsen af deres personoplysninger.
35
Erstatningskravet, der blev fremsat på grundlag af Databeskyttelsesfor-ordningens art. 82 og bestemmelser i bulgarsk ret, udgjorde takstmæs-sigt BGN 1.00 (svarende til ca. Euro 510) pr. person, idet sagsøgerne gjorde gældende, at sagsøgerne havde lidt en immateriel skade.
Den immaterielle skade bestod i frygten for, at sagsøgernes personop-lysninger, der var blevet offentliggjort uden deres samtykke, skulle bli-ve misbrugt i fremtiden.
NAP gjorde bl.a. (ligesom Gladsaxe Kommune i nærværende sag) gæl-dende, at der ikke var årsagsforbindelse mellem den hævdede immate-rielle skade og det nævnte brud.
I EU-Domstolens præmisser hedder det bl.a., at art. 82, stk. 1, ikke son-drer mellem tilfælde, hvor den ”immaterielle skade” , som den registre-rede hævder at have lidt, a) er forbundet med tredjemands allerede stedfundne misbrug, og b) frygten for, at et sådant misbrug kan finde sted i fremtiden (jf. præmis 79).
Ordlyden af Databeskyttelsesforordningens art. 82, stk. 1, udelukker derfor ikke, at begrebet ”immateriel skade” kan omfatte en situation, hvor den registrerede med henblik på at opnå erstatning påberåber sig sin frygt for, at den pågældendes personoplysninger i fremtiden vil bli-ve misbrugt af tredjemand (jf. præmis 80).
Samtidigt hedder det i dommen, at den nationale ret, hvor sagen an-lægges, skal efterprøve, om den registreredes frygt kan anses for at væ-re velbegrundet under de pågældende specifikke omstændigheder og i forhold til den registrerede.
4.4 Dom af 21. december 2023 i EU-Domstolens sag C-667/21 (Medizini-scher Dienst der Krankenversicher-ung Nordrhein)
Ovennævnte sag vedrører en medarbejders erstatningskrav, stort Euro 20.000, for den psykiske skade, han havde lidt som følge af arbejdsgive-rens behandling af helbredsoplysninger om ham.
Medarbejderen var blevet uarbejdsdygtig af helbredsmæssige årsager, og efter at den sygekasse, han var tilknyttet, var begyndt at udbetale sygedagpenge til ham, anmodede sygekassen hans arbejdsgiver om at udfærdige en erklæring om uarbejdsdygtigheden. Denne erklæring blev udarbejdet af en hos arbejdsgiveren ansat læge, bl.a. ved at indhen-te oplysninger fra medarbejderens behandlende læge.
I EU-Domstolens afgørelse hedder det på den baggrund bl.a., at Data-beskyttelsesforordningens art. 82, stk. 1, skal fortolkes således,
1) at den ret til erstatning, der er fastsat i bestemmelsen, opfylder en
kompenserende funktion, og ikke en afskrækkende eller straffende
funktion, og
36
2) at en økonomisk erstatning på grundlag af den nævnte bestemmelse
skal gøre det muligt fuldstændigt at kompensere den skade, der
konkret er lidt på grund af overtrædelsen af forordningen
jf. præmis 87.
Videre hedder det i dommen, at Databeskyttelsesforordningens art. 82 ” skal fortolkes således dels, at det er en betingelse for, at den dataansvarlige kan ifalde ansvar, at denne har pådraget sig skyld, hvilket formodes at være tilfæl-det, medmindre den dataansvarlige beviser, at den pågældende ikke er skyld i den begivenhed, der medførte skaden, dels at artikel 82 ikke kræver, at der tages hensyn til graden af denne skyld ved fastsættelsen af størrelsen af den erstat-ning, der tildeles for en immateriel skade på grundlag af denne bestemmelse” , jf. præmis 103.
4.5 Dom af 25. januar 2024 i EU-Domstolens sag C-687/21 (Media-MarktSaturn)
Sagsøgeren i hovedsagen havde i Saturns forretning købt et elektrisk husholdningsapparat, i hvilken forbindelse der i Saturns IT-system var indgået en købs- og kreditaftale indeholdende sagsøgerens fornavn og efternavn, hans adresse, hans opholdssted, hans arbejdsgivers navn, hans indkomst og hans bankoplysninger.
Aftalen blev printet ud og underskrevet af begge parter, og sagsøgeren medbragte derefter dokumenterne til de medarbejdere hos Saturn, der arbejdede på vareudleveringsstedet. En anden kunde, som ubemærket havde mast sig frem foran sagsøgeren i hovedsagen, modtog derefter ved en fejl såvel det apparat, som sagsøgeren i hovedsagen havde be-stilt, som de omhandlede dokumenter, og tog det hele med.
Fejlen blev imidlertid hurtigt opdaget, og inden for en halv time efter udleveringen til den anden kunde, fik sagsøgeren udleveret apparatet og den skriftlige, underskrevne aftale.
Sagsøgeren i hovedsagen anlagde herefter sag ved Amtsgericht Hagen (byretten i Hagen, Tyskland), med påstand – bl.a. på grundlag af Data-beskyttelsesforordningens art. 82, stk. 1 – om erstatning for den imma-terielle skade, han havde lidt som følge af den fejl, som Saturns medar-bejdere begik, og den deraf følgende risiko for tab af kontrol over hans personoplysninger.
Saturn gjorde heroverfor for det første gældende, at der ikke var sket en tilsidesættelse af Databeskyttelsesforordningen, og at en sådan over-trædelse kun kan foreligge, hvis den overskrider en vis alvorstærskel, som ikke var nået i det foreliggende tilfælde.
I afgørelsen fra EU-Domstolen hedder det bl.a. – ligesom i ovennævnte sag C-687/21 – at Databeskyttelses-forordningens art. 82, stk. 1, skal for-tolkes således, at den ret til erstatning, der er fastsat i denne bestemelse, navnlig i tilfælde af immateriel skade, opfylder en kompenserende funktion, og ikke en straffende funktion, da en økonomisk erstatning på grundlag af den nævnte bestemmelse skal gøre det muligt fuldstændigt
37
at kompensere den skade, der konkret er lidt på grund af overtrædelsen af denne forordning, jf. præmis 50.
Desuden hedder det i dommen, at Databeskyttelsesforordningens art. 82 skal fortolkes således, at denne artikel ikke kræver, at der med hen-blik på erstatning for en skade på grundlag af denne bestemmelse tages hensyn til graden af grovhed af den dataansvarliges overtrædelse, jf. præmis 55, og at den person, der fremsætter et erstatningskrav i hen-hold til art. 82, stk. 1, er forpligtet til ikke alene at godtgøre en overtræ-delse af denne forordnings bestemmelser, men ligeledes, at denne over-trædelse har forvoldt vedkommende materiel eller immateriel skade, jf. præmis 61.
Endelig konkluderer EU-Domstolen følgende i dommen, jf. præmis 65-69:
” Domstolen har fastslået, at det ikke alene fremgår af ordlyden af databeskyt-telsesforordningens artikel 82, stk. 1, sammenholdt med 85. og 146. betragt-ning til denne forordning, som opfordrer til at anlægge en bred fortolkning af begrebet ”immateriel skade” som omhandlet i denne førstnævnte bestemmelse, men ligeledes af formålet, der består i at sikre et højt beskyttelsesniveau for fy-siske personer i forbindelse med behandling af personoplysninger, som er om-handlet i den nævnte forordning, at den frygt, som en registreret nærer for, at
Det forholder sig imidlertid ikke desto mindre således, at det tilkommer sagsø-geren i et erstatningssøgsmål på grundlag af databeskyttelsesforordningens ar-tikel 82 at godtgøre, at der foreligger en sådan skade. Navnlig kan en rent hy-potetisk risiko for misbrug fra en uautoriseret tredjemands side ikke give an-
38
ledning til erstatning. Dette er tilfældet, når ingen tredjemand har fået kend-skab til de omhandlede personoplysninger.
Det forholder sig imidlertid ikke desto mindre således, at det tilkommer sagsø-geren i et erstatningssøgsmål på grundlag af databeskyttelsesforordningens ar-tikel 82 at godtgøre, at der foreligger en sådan skade. Navnlig kan en rent hy-potetisk risiko for misbrug fra en uautoriseret tredjemands side ikke give an-ledning til erstatning. Dette er tilfældet, når ingen tredjemand har fået kend-skab til de omhandlede personoplysninger.
Det femte spørgsmål skal derfor besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at i det tilfælde, hvor et dokument, der indeholder personoplysninger, er blevet udleveret til en uautoriseret tredje-mand, som bevisligt ikke har fået kendskab til disse oplysninger, kan en ”imma-
teriel skade” som omhandlet i denne bestemmelse ikke udgøres af den blotte omstændighed, at den registrerede frygter, at der efter denne videregivelse, som har gjort det muligt at lave en kopi af det nævnte dokument, inden det er blevet returneret, vil ske en udbredelse eller endog misbrug af den pågældendes op-lysninger i fremtiden”
(mine understregninger).
4.6 Dom af 11. april 2024 i EU-Domstolens sag C-741/21
Sagsøgeren, som er selvstændig advokat og kunde hos Juris, som er et selskab, der driver en juridisk database, konstaterede, at hans perso-noplysninger også blev anvendt af Juris med henblik på direkte mar-kedsføring. På den baggrund tilbagekaldte han skriftligt alle sine samtykker til at modtage oplysninger fra Juris pr. e-mail eller telefo-nisk, og han modsatte sig enhver behandling af disse oplysninger, bort-set fra behandling til brug for fremsendelse af nyhedsbreve, som han fortsat ønskede at modtage.
På trods heraf fortsatte Juris med at fremsende reklameskrivelser til for-retningsadressen, hvori advokatens navn var nævnt som modtager, og på den baggrund gjorde advokaten gældende, at han havde lidt et tab af kontrol over sine personoplysninger, at der var tale om ulovlig be-handling af personoplysningerne og at han var berettiget til tortgodtgø-relse i hht. Databeskyttelsesforordningens art. 82.
Advokaten påstod – tilsyneladende – ikke under sagen, at han frygtede, at hans personoplysninger i fremtiden ville blive udbredt eller misbrugt af tredjemand (som det f.eks. var tilfældet i EU-Domstolens sag C-687/21) eller at kontroltabet havde medført ærgrelse, tab af tillid og ydmygelse (som det f.eks. var tilfældet i EU-Domstolens sag C-300/21).
Tværtimod var sagens omdrejningspunkt, om advokaten var berettiget til tortgodtgørelse i hht. Databeskyttelsesforordningens art. 82 på fuld-stændig objektivt grundlag og helt uden, at skulle godtgøre virkninger-ne eller alvoren af tabet, og til dette svarede EU-Domstolen nej.
39
Med dommen er det således fastslået, at art. 82, stk. 1, skal fortolkes så-ledes, at en overtrædelse af bestemmelserne i Forordningen ikke i sig selv er tilstrækkelig til at udgøre en ”immateriel skade” , jf. præmis 43.
Idet der henvises til sag C-687/21 (præmis 58) præciseres det således også i denne dom, at der er følgende tre betingelser for ret til tortgodt-gørelse efter art. 82, stk. 1:
1) At der foreligger en materiel eller immateriel ”skade” eller at der er ”forvold[t] skade” ,
2) At Databeskyttelsesforordningen er blevet overtrådt, og
3) At der er årsagsforbindelse mellem skaden og overtrædelsen
På den anden side henvises der, for så vidt angår ovenstående pkt. 1, til, at der i Databeskyttelsesforordningens art. 82, stk. 1, er hjemmel til tort-godtgørelse, hvis blot den registrerede godtgør, at vedkommende fak-tisk har lidt en skade – uanset hvor lille, den måtte være (jf. C-687/21 (præmis 66) – og at den registrerede ikke er forpligtet til at bevise, at skaden har overskredet en vis alvorstærskel (jf. C-741/21, præmis 42).
5. Sammenfatning og konklusion
Retten i Glostrup har i nærværende sager fastslået, at Gladsaxe Kom-mune som dataansvarlig ikke har overholdt Databeskyttelsesforord-ningens krav til behandlingssikkerhed som omhandlet i databeskyttel-sesfor-ordningens artikel 32, stk. 1, og stk. 2, jf. artikel 5, stk. 1, litra f (byretsdommens side 99).
Ifølge Datatilsynet er der tale om en ”meget alvorlig overtrædelse” af Databeskyttelsesforordningen, jf. [Datatilsynets politianmeldelse af Gladsaxe Kommune].
Ifølge Datatilsynet (…), er det ” almen viden blandt de, der beskæftiger sig professionelt med IT, at det er simpelt at tilgå de filer, der er gemt på compute-ren, når en computers harddisk ikke er krypteret” .
Tyveriet af de i sagen omhandlede computere er ikke blevet opklaret, og det er således uvist, hvem som har begået tyveriet og hvad formålet var med tyveriet. Ifølge Datatilsynet er det dog sandsynligt, at formålet med tyveriet (også) var at skaffe sig adgang til personoplysninger.
Ifølge Datatilsynets ovennævnte politianmeldelse (…) bliver
” stjålne mobile enheder i almindelighed i højere grad end tidligere [] gennem-gået for personoplysninger, [] f.eks. [] personnumre, inden disse bortskaffes f.eks. ved videresalg. Dette skyldes til dels det voksende undergrundsmarked, hvor disse typer oplysninger kan videresælges, og dels den øgede digitalisering af samfundet i almindelighed, hvormed mulighederne for udnyttelse af perso-noplysninger vokser.”
Gladsaxe Kommune har da også oplyst, at computerens anskaffel-ses/ny-pris kun var ca. kr. 5.00 [rettelig kr. 5.000]. Der var altså tale om en relativ ”billig” computer, hvilket også indikerer, at det formentlig
40
ikke var computeren som sådan, der havde tyvenes interesse, men der-imod indholdet.
Den frygt for misbrug, som appellanterne giver udtryk for, forfølger dem, er altså helt reel, hvilket da også dokumenteres derved, at to ud af de seks appellanter efterfølgende har været udsat for identitetstyveri på baggrund af Gladsaxe Kommunes databrud.
De seks appellanter har under sagen for retten i Glostrup dokumente-ret, at det stedfundne datatab har haft meget store konsekvenser for dem; visse af appellanterne – som i forvejen er sårbare borgere – har udviklet PTSD-lignende symptomer, og i deres hverdag er de fortsat i dag, næsten seks år senere, mærket af datatabet – To af appellanterne har altså tilmed været udsat for identitetstyveri.
Med de seks ovennævnte domme fra EU-Domstolen (jf. pkt. 4.1-4.6) kan det lægges til grund, at der utvivlsomt er hjemmel i Databeskyttelses-forordningens art. 82, stk. 1, til godtgørelse for ikke-økonomisk skade (tortgodtgørelse).
Med EU-Domstolens sag C-300/21 kan det endvidere lægges til grund, at det er i strid med EU-retten, når Retten i Glostrup i sine præmisser har anført, at appellantens ”subjektive følelser” ikke ”i sig selv anses for tilstrækkelige til, at [appellanterne] har ret til erstatning/godtgørelse for ikke-økonomisk skade i medfør af databeskyttelsesforordningens arti-kel 82, stk. 1” .
Ligeledes kan det med EU-Domstolens sag C-340/21 lægges til grund, at begrebet ”immateriel skade” kan omfatte en situation, hvor den regi-
strerede med henblik på at opnå erstatning påberåber sig sinfrygt for,
at den pågældendes personoplysninger i fremtiden vil blive misbrugt af tredjemand (jf. præmis 80).
Under sagernes behandling i byretten redegjorde appellanterne netop for den (velbegrundede) invaliderende frygt for misbrug, de har været plaget af siden datatabet i 2018.
Støttet på både ordlyds-, system- og formålsbetragtninger har EU-Domstolen i f.eks. sag C-687/21 (MediaMarktSaturn), præmis 66 (smh.m. C-456/22, præmis 18-23), fastslået, at tabet af kontrol med per-sonoplysninger i (selv) et kort tidsrum kan påføre den registrerede en ”immateriel skade” som omhandlet i Databeskyttelsesforordningens art. 82, stk. 1, der giver ret til erstatning, forudsat at den nævnte regi-strerede godtgør, at vedkommende faktisk har lidt en sådan skade, uanset hvor lille den måtte være.
Så meget desto mere må det lægges til grund, at byrettens afgørelse vedr. kravene som sådanne, herunder indfortolkningen af en ”bagatel-grænse” , var forkert, og at de seks appellanter skal tilkendes tortgodt-gørelse som anført i de nedlagte påstande.
…”
41
Gladsaxe Kommune har i det væsentlige procederet i overensstemmelse med
det sammenfattende processkrift af 17. september 2024, hvoraf fremgår bl.a.:
”…
3 ANBRINGENDER
Gladsaxe Kommune ser med stor alvor på, at man på den anførte måde har mistet fortrolige oplysninger om sagsøgerne og andre borgere, og kommunen har beklaget hændelsen over for de pågældende. Ud fra en juridisk vurdering er det imidlertid vores opfattelse, at kommunen ikke har pådraget sig et ansvar, der berettiger sagsøgerne til erstatning eller godtgørelse.
Det må konstateres, at retsgrundlaget i denne sag primært skal udledes af nyere praksis fra EU-domstolen. Østre Landsret vil således i de 6 konkrete sager, efter hvad der efterhånden er fast praksis fra EU-Domstolen, skulle tage stilling til, om tre kumulative betingelser er op-fyldt, hvor den første er, om reglerne i databeskyttelsesforordningen er overtrådt. Hvis dette er tilfældet, skal landsretten for det andet vurdere, om appellanterne har godtgjort, at der herudover er lidt en skade, og landsretten skal herefter for det tredje vurdere, om appellanterne har godtgjort, at der er en årsagssammenhæng mellem den konstaterede overtrædelse af databeskyttelsesforordningen og den godtgjorte skade. Det er kun, hvis alle tre betingelser er opfyldt, at der skal tages stilling til, om der skal tilkendes en kompensation og størrelsen heraf.
Der er altså tre kumulative betingelser, og den første er, om reglerne i databeskyttelsesforordningen er overtrådt. EU-domstolen har den 20. juni 2024 i præmis 25 i sag C-590/22 gjort det klart, at det er den, der fremsætter et erstatningskrav, som er forpligtet til ”at godtgøre en over-trædelse af denne forordnings bestemmelser” .
Gladsaxe Kommune gør gældende, at appellanterne i de 6 sager ikke har godtgjort, at Gladsaxe Kommune har overtrådt forordningens be-stemmelser.
Særligt i forhold til, om de grundlæggende betingelser har været op-fyldt, og om kommunen har haft den fornødne hjemmel til at behandle de pågældende oplysninger:
Gladsaxe Kommune er enig i byrettens resultat og byrettens vurdering af, hvorvidt kommunen har handlet i overensstemmelse med bl.a. da-taminimeringsprincippet og de øvrige principper i artikel 5, og at kommunen har haft det fornødne hjemmelsgrundlag til at foretage be-handlingen som sket i netop de sager, som retssagerne vedrører. Byret-ten anfører på side 98 i dommen (…) følgende om det sidste spørgsmål:
”Der er herefter ikke grundlag for at fastslå, at Gladsaxe Kommune har handlet i strid med principperne for behandling af personop-lysninger i databeskyttelsesforordningens artikel 5, stk. 1, litra a, b eller c, ligesom der er behandlet i overensstemmelse med forord-
42
ningens artikel 6, stk. 1, litra e og artikel 9, stk. 2, litra f og databe-skyttelseslovens § 5, stk. 1.”
De oplysninger om sagsøgerne, som indgår i det regneark, der fandtes på en af de stjålne computere, er personoplysninger og dermed omfat-tet af databeskyttelsesforordningens og databeskyttelseslovens anven-delsesområde.
Regnearket var blevet udarbejdet med henblik på at sikre korrekt mel-lemkommunal refusion, og den behandling af oplysninger om sagsø-gerne, som kommunens udarbejdelse og anvendelse af regnearket ud-gør, har efter vores opfattelse været lovlig.
Der henvises herved blandt andet til artikel 6, stk. 1, litra e, i databe-skyttelsesforordningen om behandling, som er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Bestemmelsen har et bredt anvendelsesområde, der giver offentlige myndigheder vid adgang til at behandle personoplysninger som led i varetagelsen af deres opgaver. I den forbindelse kan der henvises til be-tænkning nr. 1565/2017 ”Databeskyttelsesforordningen (2016/679) – og de retlige rammer for dansk lovgivning” , hvor der blandt andet er an-ført følgende (betænkningen, side 139-140):
”Det kan […] ikke antages at være hensigten med forordningen at begrænse offentlige myndigheders mulighed for at behandle per-sonoplysninger.
[…]
Forordningen må i det hele taget også kunne udgøre hjemmel, når offentlige myndigheder indhenter oplysninger i overensstemmelse med officialmaksimen, jf. artikel 6, stk. 1, litra e.”
Særligt når det gælder behandling af oplysning om cpr-nummer, kan der henvises til databeskyttelseslovens § 11, stk. 1, hvorefter offentlige myndigheder kan behandle oplysninger om personnummer med hen-blik på entydig identifikation eller som journalnummer. Her skal lands-retten under alle omstændigheder være opmærksom på, at der ikke vil være tale om overtrædelse af forordningen, men om overtrædelse af en dansk særregel, hvor landsretten ikke vil være forpligtet til at se bort fra de danske regler på området, hvor det konkret vil skulle vurderes efter erstatningsansvarslovens § 26, om der skal gives kompensation for ikke økonomisk skade. EU-Domstolen har f.eks. i dom af 20. juni 2024 i sag C-590/22 fastslået dette i præmis 48-50, allerede fordi overtrædelsen af sådanne nationale regler ikke er omfattet af artikel 82 i databeskyttel-sesforordningen sammen med 146. betragtning hertil.
Det skal desuden nævnes, at det fremgår af Gladsaxe Kommunes svar af 21. januar 2019 til Datatilsynet (…), at kontrol af, om der er sket kor-rekt registrering af den enkelte borger, ikke kan ske uden brug af cpr-nummeret i regnearket, idet opgaven netop består i blandt andet at sik-re, at betalingskommuneforhold bliver korrekt registreret i cpr-
43
registeret. Allerede derfor bestrides det, at formålet med behandlingen af de pågældende oplysninger kunne været opnået ved brug af anony-miserede eller pseudonymiserede oplysninger. I øvrigt bestrides det mere generelt, at databeskyttelsesforordningen i et tilfælde som det fo-religgende, hvor der er tale om en forvaltningsmæssig opgave, der kræver konkret og sikker identifikation af involverede borgere (kontrol af refusion i de pågældende sager) – og ikke f.eks. en opgave af viden-skabelig eller statistisk karakter – skulle indebære krav om anonymise-ring eller pseudonymisering af den karakter, som der tilsyneladende bliver lagt op til af appellanterne. Dette underbygges også af databe-skyttelseslovens § 11, stk. 1, der fastsætter, at offentlige myndigheder kan behandle oplysninger om personnummer med henblik på entydig identifikation eller som journalnummer.
Endvidere kan der særligt i forhold til oplysninger, der må anses for helbredsoplysninger i forordningens forstand, henvises til forordnin-gens artikel 9, stk. 2, litra f, og databeskyttelseslovens § 7, stk. 1, hvoref-ter der er hjemmel til at behandle blandt andet helbredsoplysninger, hvis det er nødvendigt for, at et retskrav kan fastlægges. Det bemærkes herved, at kommunen er enig i, at visse af oplysningerne om Appellant 1, tidligere Sagsøger 1, Appellant 2, tidligere Sagsøger 3 og Appellant 5, tidligere Sagsøger 6 må anses for helbredsoplysninger, således som dette udtryk i forord-ningens artikel 9 må forstås. Det gælder, uanset at oplysningerne ikke indeholder nogen konkret information om, hvilken sygdom eller hvil-ket handicap f.eks. Appellant 1, tidligere Sagsøger 1 måtte have. Også behand-lingen af helbredsoplysninger har været lovlig, idet oplysningerne for det første er indgået i en sagsbehandling, hvor der blandt andet har skullet tages stilling til, hvilke krav de pågældende sagsøgere ville have på ydelser mv. efter lovgivningen, og for det andet er indgået i den ef-terfølgende behandling, hvor man har skullet fastlægge kommunens krav på mellemkommunal refusion.
Der kan i den forbindelse henvises til betænkning nr. 1565/2017 om ”Databeskyttelsesforordningen (2016/679) – og de retlige rammer for dansk lovgivning” , hvor det er omtalt, at den nævnte bestemmelse i forordningen – ligesom det daværende databeskyttelsesdirektiv og den daværende persondatalov – blandt andet giver offentlige myndigheder hjemmel til som led i varetagelsen af deres myndighedsopgaver at be-handle helbredsoplysninger og andre følsomme personoplysninger, hvis det sker for, at et retskrav kan fastslås mv. I betænkningen er såle-des blandt andet anført følgende (betænkningen, side 213):
”Det fremgår af forordningens artikel 9, stk. 2, litra f, at behandling af følsomme oplysninger er lovlig, hvis behandling er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares, eller når domstole handler i deres egenskab af domstol.
Bestemmelsen i forordningens artikel 9, stk. 2, litra f, svarer efter ordlyden til bestemmelsen i databeskyttelsesdirektivets artikel 8, stk. 2, litra e, 2. led, og persondatalovens § 7, stk. 2, nr. 4.
Det fremgår af præambelbetragtning nr. 52, at en fravigelse desu-den bør gøre det muligt at behandle sådanne personoplysninger,
44
hvis det er nødvendigt, for at retskrav kan fastslås, gøres gældende eller forsvares, uanset om det er i forbindelse med en retssag eller en administrativ eller udenretslig procedure.
Som tidligere anført følger det af gældende ret, at den situation, at behandling af oplysninger om den registrerede er nødvendig for, at den dataansvarlige kan afgøre, om den registrerede har et retskrav, er omfattet af bestemmelsen bl.a. vil være tilfældet med hensyn til offentlige myndigheders behandling af oplysninger som led i myn-dighedsudøvelse.
På baggrund af en ordlydsfortolkning af bestemmelsen ses der ikke at være holdepunkter for, at bestemmelsen ikke længere skulle fin-de anvendelse i forbindelse med offentlige myndigheders myndig-hedsudøvelse. Det fremhæves endda i præambelbetragtning nr. 52, at bestemmelsen vil finde anvendelse i disse situationer, idet det fremgår, at bestemmelsen kan anvendes, hvis det er nødvendigt, for at et retskrav kan fastslås i forbindelse med administrativ proce-dure. Bestemmelsens anvendelse i forbindelse med offentlig myn-dighedsudøvelse ses derfor at være i overensstemmelse med gæl-dende ret. Forordningens artikel 9, stk. 2, litra f, kan således anven-des på offentlig afgørelsesvirksomhed. Det vil endvidere ikke være udelukket, at bestemmelsen kan anvendes inden for faktisk for-valtningsvirksomhed, hvis dette sker for, at et retskrav kan fast-lægges, gøres gældende eller forsvares…” ]
Som eksempel på, at der vil være databeskyttelsesretlig hjemmel til at behandle personoplysninger i tilfælde, hvor det er nødvendigt for en tilstrækkelig sagsoplysning (officialmaksimen), kan også nævnes U 2017.1294 H, hvor Højesteret fandt, at en kommune i forbindelse med en påtænkt afgørelse om at standse udbetalinger af refusion af syge-dagpenge til en arbejdsgiver var berettiget til som led i partshøring af arbejdsgiveren at videregive nogle helbredsoplysninger om den syge-meldte medarbejder. Kommunen havde som udgangspunkt pligt til at partshøre over oplysningerne i medfør af forvaltningslovens § 19, stk. 1, og videregivelsen af helbredsoplysningerne var derfor berettiget og ik-ke i strid med reglerne i forvaltningsloven og den daværende personda-talov.
Højesteret har i U 2021.1058/2 H også haft anledning til at tage stilling til en sag, hvor en myndighed (Patienterstatningen) havde indrettet sin praksis (om erstatning for patientskader) på en sådan måde, at de først tog stilling til, om der var et ansvarsgrundlag, og kun hvis det var til-fældet, tog de også stilling til opgørelsen af et eventuelt tab. Kamme-radvokaten gjorde på den baggrund gældende, at myndigheden i den indledende sagsbehandling ikke var berettiget til at behandle de oplys-ninger, der belyste tabet, hvilket i givet fald også i den konkrete sag vil-le have den positive sidegevinst, at myndighedernes pligt til at betale renter blev udskudt. Højesteret skar imidlertid igennem og fastslog, at myndigheden havde ret til at behandle oplysningerne også på et tidli-gere tidspunkt og uanset den med rette valgte praksis, og at dette bl.a. ikke var i strid med det databeskyttelsesretlige dataminimeringsprin-cip.
45
Det er vores vurdering også på baggrund af Højesterets dom, at myn-dighederne har en vid adgang til at behandle personoplysninger, når blot dette må anses for sagligt og nødvendigt.
Der kan som eksempel også henvises til Datatilsynets afgørelse af 25. oktober 2019, hvor en borger klagede over, at en kommune behandlede oplysninger om borgeren med en såkaldt ”type-ahead” -funktion på kommunens hjemmeside (det vil sige en funktion, der automatisk kommer med bestemte søgeforslag). Datatilsynet fandt ikke grundlag for at tilsidesætte kommunens vurdering af, at behandlingen kunne ske inden for rammerne af forordningens artikel 6, stk. 1, litra e. Der blev herved lagt vægt på, at søgefunktionen skulle understøtte overholdel-sen af den almindelige vejledningspligt over for borgerne, sådan at be-handlingen var nødvendig af hensyn til kommunens myndighedsudø-velse.
På den anførte baggrund er det vores opfattelse, at udarbejdelsen og anvendelsen af de pågældende oplysninger om de 6 appellanter i reg-nearket har været fuldt ud lovlig, og at der således ikke har været fore-taget en ulovlig og uhjemlet behandling fra kommunens side. Det har derimod været nødvendigt og sagligt for kommunen at udarbejde reg-nearket til brug for udførelsen af en vigtig myndighedsopgave.
Der har således ikke været tale om ulovlig behandlingsaktivitet, og kommunen bestrider derfor også, at filen skulle være bortkommet som følge af ulovlig behandlingsaktivitet til eventuel skade for sagsøgerne.
3.1 Nærmere om den lovlige behandling af personoplysninger til brug for mellemkommunal refusion
Som nævnt er behandlingen af personoplysninger i regnearket sket for at kunne kontrollere mellemkommunal refusion, og kommunen har i den forbindelse foretaget konkrete og nærmere overvejelser af, hvilke oplysninger der kan anses for nødvendige at behandle for at varetage den pågældende opgave (…).
Der har således som anført i Gladsaxe Kommunes notat af 14. januar 2019 (…) generelt været bevågenhed om ikke at indhente flere perso-noplysninger end nødvendigt til regnearket.
Dog fremgår det også af notatet, at kommunen ved en gennemgang har konstateret enkelte afvigelser fra dette princip om ikke at indhente flere personoplysninger end nødvendigt til regnearket, idet oplysninger om medlemskab af folkekirken og fødselsregistreringssted i forhold til visse borgere indgår i arket, selv om sådanne oplysninger ikke kan bidrage til at løse kontrolopgaven vedrørende mellemkommunale betalinger. Det-te har imidlertid ingen betydning i forhold til de 6 sager, som retten i nærværende sag skal tage stilling til, hvor der ikke har været tale om, at kommunen har behandlet sådanne oplysninger.
Endvidere skal det for god ordens skyld bemærkes, at spørgsmålet i sa-gen er, om kommunen er ansvarlig for, at oplysningerne om sagsøgerne
46
i regnearket er bortkommet, og om kommunen som følge heraf skal be-tale erstatning eller godtgørelse til sagsøgerne. Et herfra forskelligt spørgsmål om, hvorvidt kommunens behandling af oplysninger i reg-nearket har været nødvendig i enhver henseende, er derfor efter Gladsaxe Kommunes opfattelse ikke afgørende for sagen.
Det kan konstateres, at appellanterne alligevel gør en del ud af denne problemstilling, herunder i forhold til at problematisere, at fødselsregi-streringssted efter omstændighederne kan være en følsom oplysning i visse tilfælde. Dette er imidlertid en hypotetisk diskussion i forhold til de konkrete sager, som landsretten i nærværende sag skal tage stilling til.
Sammenfattende er det Gladsaxe Kommunes opfattelse, at udarbejdel-sen af regnearket og anvendelsen af de pågældende oplysninger om sagsøgerne i regnearket har været lovlig og ikke har været i strid med forordningen, herunder dataminimeringsprincippet i forordningens ar-tikel 5.
3.2 Bortkomsten skyldes udefrakommendes uretmæssige – og for-modentlig kriminelle – handlinger
Som anført ovenfor er der ikke tale om en ulovlig behandlingsaktivitet. Spørgsmålet i sagen er derfor alene, hvilken betydning det skal have, at der i kommunen er sket et sikkerhedsbrud, derved at oplysningerne i regnearket - i strid med kommunens egne retningslinjer - var blevet gemt lokalt på en bærbar computer af den pågældende medarbejder.
Uanset at der var tale om en midlertidig lagring og om et enkeltstående tilfælde, der beroede på en menneskelig fejl, er der således i den pågæl-dende situation ikke levet op til de krav, der efter kommunens egne retningslinjer stilles til behandlingssikkerhed. Det gælder også, selv om der var opsat en personlig adgangskode på den pågældende computer, sådan at der ikke var nogen umiddelbar tilgængelighed til computerens indhold uden indtastning af brugernavn og adgangskode.
Det må således lægges til grund, at de fire computere er bortkommet ved udefrakommendes uretmæssige – og formodentlig kriminelle – handlinger, og det er i den forbindelse efter kommunens opfattelse mest sandsynligt, at de fire bærbare computere og dermed den nævnte fil er bortkommet ved et tyveri om aftenen den 3. december 2018, hvor der som nævnt var udvidet adgang til rådhuset i forbindelse med jule-træstænding. Det har i den forbindelse efterfølgende vist sig, at der på tidspunktet for de pågældende computeres bortkomst var en defekt lås på en dør ved rådhushallens trappeopgang, og at den eller de ansvarli-ge for det formodede tyveri kan have skaffet sig adgang gennem denne dør. Det forhold, at de pågældende oplysninger eventuelt kan være kommet uvedkommende i hænde, må dermed antages at bero på, at personer, hvis handlinger kommunen ikke er ansvarlig for, uretmæssigt og ved en kriminel handling har sat sig i besiddelse af de pågældende computere.
47
3.3 Særligt om datasikkerhed og en eventuel overtrædelse af databe-skyttelsesforordningens artikel 32
Efter byrettens dom er der kommet ny praksis fra EU-domstolen om ar-tikel 32 i forordningen, der har skabt en klarhed over, hvor meget der skal til for at overtræde bestemmelsen.
EU-Domstolen har i dom af 14. december 2023 i sag C-340/21 anført føl-gende i præmis 29-31 og 39:
”29 Henvisningen i databeskyttelsesforordningens artikel 32, stk. 1 og 2, til »et sikkerhedsniveau, der passer til disse risici« og et »sik-kerhedsniveau, der er passende« vidner om, at der med denne for-ordning indføres en risikostyringsordning, og at det på ingen måde hævdes, at risiciene for brud på persondatasikkerheden fjernes. 30 Det fremgår således af affattelsen af databeskyttelsesforordnin-gens artikel 24 og 32, at disse bestemmelser begrænser sig til at på-lægge den dataansvarlige at vedtage tekniske og organisatoriske foranstaltninger med henblik på i videst muligt omfang at undgå ethvert brud på persondatasikkerheden. Spørgsmålet om, hvorvidt sådanne foranstaltninger er passende, skal vurderes konkret, idet det skal undersøges, om den dataansvarlige har gennemført disse foranstaltninger under hensyntagen til de forskellige kriterier, der er omhandlet i de nævnte artikler, og til de behov for databeskyt-telse, der specifikt er forbundet med den pågældende behandling, samt til de risici, som denne behandling indebærer. 31 Databeskyttelsesforordningens artikel 24 og 32 kan derfor ikke forstås således, at en uautoriseret videregivelse af, eller en uautori-seret adgang til, personoplysninger foretaget af tredjemand er til-strækkelig til at konkludere, at de foranstaltninger, som den på-gældende dataansvarlige har truffet, ikke var passende som om-handlet i disse bestemmelser, uden at det overhovedet gøres muligt for sidstnævnte at føre bevis for det modsatte.
[…]
39 Henset til ovenstående begrundelser skal det første spørgsmål besvares med, at databeskyttelsesforordningens artikel 24 og 32 skal fortolkes således, at en uautoriseret videregivelse af, eller en uautoriseret adgang til, personoplysninger foretaget af »tredje-mand« som omhandlet i denne forordnings artikel 4, nr. 10), ikke i sig selv er tilstrækkelig til at fastslå, at de tekniske og organisatori-ske foranstaltninger, som den omhandlede dataansvarlige har truf-fet, ikke var »passende« som omhandlet i denne artikel 24 og 32.”
EU-Domstolen har altså slået fast, at f.eks. det forhold, at computeren med regnearket er blevet stjålet, ikke i sig selv er tilstrækkeligt til at fastslå, at Gladsaxe Kommune i den forbindelse har overtrådt artikel 32 i forordningen. Østre Landsret skal foretage en konkret vurdering af dette spørgsmål.
EU-Domstolen har om disse spørgsmål i dom af 14. december 2023 i sag C-340/21 bl.a. anført følgende i præmis 42-43:
48
”42 Det fremgår af den nævnte artikel 32, stk. 1 og 2, at det skal vurderes i to faser, om sådanne tekniske og organisatoriske foran-staltninger er passende. For det første skal der ske en identificering af de risici for brud på persondatasikkerheden, der følger af den pågældende behandling, og deres eventuelle konsekvenser for fysi-ske personers rettigheder og frihedsrettigheder. Denne vurdering skal foretages konkret under hensyntagen til, hvor sandsynlige og alvorlige de identificerede risici er. For det andet skal det efterprø-ves, om de foranstaltninger, som den dataansvarlige har gennem-ført, er tilpasset disse risici under hensyntagen til det aktuelle tek-niske niveau, implementeringsomkostningerne og denne behand-lings karakter, omfang, sammenhæng og formål.
43 Den dataansvarlige har ganske vist en vis skønsmargen til at fastlægge de passende tekniske og organisatoriske foranstaltninger med henblik på at sikre et sikkerhedsniveau, der passer til disse ri-sici, således som det kræves i henhold til databeskyttelsesforord-ningens artikel 32, stk. 1. Det forholder sig ikke desto mindre såle-des, at en national ret skal kunne evaluere den komplekse vurde-ring, som den dataansvarlige har foretaget, og herved sikre sig, at de foranstaltninger, som sidstnævnte har truffet, er egnede til at sikre et sådant sikkerhedsniveau.”
Det gøres gældende, at Østre Landsret kan lægge til grund, at Gladsaxe Kommune i 2018 havde foretaget den fornødne risikovurdering, og at Gladsaxe Kommune på den baggrund havde iværksat de fornødne sik-kerhedsregler og foranstaltninger, der var tilpasset disse risici under hensyntagen til det aktuelle tekniske niveau, implementeringsomkost-ningerne og denne behandlings karakter, sammenhæng og formål.
Det er ikke et krav efter reglerne, at risiciene for brud på persondata-sikkerheden helt fjernes, jf. det anførte i dommens præmis 29.
Artikel 32 begrænser sig til at pålægge den dataansvarlige at vedtage tekniske og organisatoriske foranstaltninger med henblik på at sikre et sikkerhedsniveau, der passer til de konstaterede risici, jf. det anførte i dommens præmis 30 og 43.
EU-Domstolen fastslår derfor også, at artikel 32 ikke skal forstås på den måde, at f.eks. Gladsaxe Kommune har overtrådt bestemmelsen, allere-de fordi computeren med regnearket blev stjålet, jf. det anførte i dom-mens præmis 31 og 39. Det følger således klart af præmis 39, at det for-hold, at computeren med regnearket blev stjålet, ikke er tilstrækkeligt til at fastslå, at Gladsaxe Kommune har overtrådt forordningen.
I præmis 43 fastslår EU-Domstolen, at det ved prøvelsen af, om artikel 32 er overtrådt, skal lægges til grund, at Gladsaxe Kommune har en vis skønsmargen til at fastlægge de tekniske og organisatoriske foranstalt-ninger med henblik på at sikre et sikkerhedsniveau, der passer til de konstaterede risici.
Af præmis 43 følger også, at Østre Landsret i den konkrete sag, skal evaluere de komplekse vurderinger, som Gladsaxe Kommune har fore-
49
taget, således at landsretten kan sikre sig, at der er tale om foranstalt-ninger, som er egnede til at sikre det påkrævede sikkerhedsniveau.
EU-Domstolen har i dom af 25. januar 2024 i sag C-687/21 bl.a. anført følgende om fortolkningen af artikel 32 i præmis 40, 44 og 45:
”40 Domstolen har følgelig fortolket databeskyttelsesforordningens artikel 24 og 32 således, at en uautoriseret videregivelse af, eller en uautoriseret adgang til, personoplysninger foretaget af »tredje-mand« som omhandlet i denne forordnings artikel 4, nr. 10), ikke i sig selv er tilstrækkelig til at fastslå, at de tekniske og organisatori-ske foranstaltninger, som den omhandlede dataansvarlige har gen-nemført, ikke var »passende« som omhandlet i denne artikel 24 og 32 (dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 39).”
[…]
”44 En ret, ved hvilken der er anlagt et sådant søgsmål om erstat-ning for skade på grundlag af databeskyttelsesforordningens arti-kel 82, kan således ikke udelukkende tage hensyn til den omstæn-dighed, at den dataansvarliges medarbejdere fejlagtigt har udleve-ret et dokument, der indeholder personoplysninger, til en uautori-seret tredjemand, med henblik på at afgøre, om der foreligger en tilsidesættelse af en forpligtelse, der er fastsat i denne forordning. Denne ret skal nemlig ligeledes tage hensyn til alle de beviser, som den dataansvarlige har fremlagt for at godtgøre, at de tekniske og organisatoriske foranstaltninger, som denne har truffet for at op-fylde sine forpligtelser i henhold til den nævnte forordnings artikel 24 og 32, er passende.
45 Henset til ovenstående betragtninger skal det tredje og det fjerde spørgsmål besvares med, at databeskyttelsesforordningens artikel 5, 24, 32 og 82, sammenholdt med hinanden, skal fortolkes således, at den omstændighed, at den dataansvarliges medarbejdere fejlag-tigt har udleveret et dokument, der indeholder personoplysninger, til en uautoriseret tredjemand – i forbindelse med et erstatnings-søgsmål på grundlag af denne artikel 82 – ikke i sig selv er tilstræk-kelig til at fastslå, at de tekniske og organisatoriske foranstaltnin-ger, som den pågældende dataansvarlige har gennemført, ikke var »passende« som omhandlet i denne artikel 24 og 32.”
I den konkrete sag var der tale om en medarbejder, der fejlagtigt havde udleveret en pakke, der også indeholdt personoplysninger om en kun-de til en anden kunde, hvilket der dog blev rådet bod på efter en halv time. Denne fejl fra medarbejderen var ikke i sig selv tilstrækkelig til, at den dataansvarlige arbejdsgiver havde overtrådt artikel 32.
På tilsvarende vis kan det heller ikke lægges Gladsaxe Kommune til last, at en medarbejder bevidst i strid med de fastsatte retningslinjer havde gemt et regneark på et lokaldrev på sin computer og ikke på et centralt serverdrev, som foreskrevet i kommunens retningslinjer. Med-arbejderen efterlod herefter computeren på sit kontor inden for skalsik-ringen. Da computeren var indenfor skalsikringen, var de krav, som Gladsaxe Kommune stillede i 2018 i øvrigt i overensstemmelse med de
50
konstaterede risici i 2018, hvorfor artikel 32 i forordningen ikke er over-trådt.
Da der således er tale om en medarbejder, som handlede i strid med de tilstrækkelige retningslinjer, er der efter Datatilsynets normale praksis tale om et brud på de interne regler, men derimod ikke et brud på arti-kel 32. Dette har Datatilsynet f.eks. fastslået i en afgørelse fra 18. juni 2020 om uautoriseret adgang til videooptagelser i Salling, hvor tilsynet bl.a. anfører følgende:
”Datatilsynet har truffet afgørelse i en sag, hvor en medarbejder hos Salling lukkede en tidligere ansat ind ad personaleindgangen og ind i et aflukket portnerlokale og viste den tidligere ansatte vi-deoovervågningsmateriale fra forretningens område, hvor der fremgik billeder af den tidligere ansattes ekskæreste, som var ude at shoppe med en veninde.
Trods episoden fandt Datatilsynet, at Salling havde truffet passen-de organisatoriske og tekniske foranstaltninger for at sikre et sik-kerhedsniveau, der passede til de risici, der foreligger ved den på-gældende behandling af personoplysninger, og at virksomheden ikke kunne anses for ansvarlig for den pågældende hændelse.
Ud over mange af de foranstaltninger, Salling har truffet, lagde Da-tatilsynet vægt på, at en medarbejder bevidst og mod bedre viden-de på flere måder, f.eks. ved at give en tidligere ansat adgang til bygningen, brød virksomhedens retningslinjer. Datatilsynet fandt videre, at medarbejderen foretog indtil flere handlinger, som lå ud-over, hvad der med rimelighed kunne forventes, at Salling skulle have været forberedt på eller truffet foranstaltninger med henblik på at undgå.
Datatilsynet har derfor alene udtalt kritik af den for sene anmeldel-se af hændelsen til tilsynet.”
Det kan altså konstateres, at Datatilsynet for så vidt angår dette spørgsmål i 2020 har været på forkant med, hvad EU-Domstolen slog fast som gældende ret den 25. januar 2024. Landsretten kan derfor læg-ge til grund, at der heller ikke i denne sag er tale om en overtrædelse af artikel 32 i databeskyttelsesforordningen, men at der er tale om en en-kelt medarbejder, der har handlet i strid med kommunens velkendte og tilstrækkelige retningslinjer.
Der er således tale om en risikostyringsordning, hvor bestemmelsen i artikel 32 i forordningen begrænser sig til at pålægge Gladsaxe Kom-mune og andre dataansvarlige at vedtage tekniske og organisatoriske foranstaltninger. Det forhold, at der er stjålet en computer med et reg-neark er ikke tilstrækkeligt til at konkludere, at kommunen ikke har le-vet op til bestemmelsen. Her skal der tværtimod foretages en konkrete vurdering af, om Gladsaxe Kommune kan redegøre nærmere for de til-tag, der er iværksat, og så skal landsretten ved vurderingen af, om dette er tilstrækkeligt, give kommunen en vis skønsmargen. EU-Domstolen har således understreget, at der er tale om en evaluering af en kompleks
51
vurdering, hvilket der skal tages højde for ved landsrettens prøvelse af dette spørgsmål.
Gladsaxe Kommune har i et notat af 2. januar 2019 (…) selv beskrevet kommunens arbejde med risikovurderingen og med datasikkerhed på følgende måde:
” Behandlingssikkerhed i henhold til databeskyttelsesforordnin-gens artikel 32
Datatilsynet har 11. december 2018 fremsendt brev til Gladsaxe Kommune, hvori kommunen bl.a. anmodes om "At fremsende en redegørelse for, hvilke hensyn og kriterier Gladsaxe Kommune har ladet indgå i den risikobaserede tilgang til behandlingssikkerhed, som databeskyttelsesforordningens artikel 32, stk. 1, er udtryk for."Redegørelsen følger nedenfor.
Gladsaxe Kommunes informationssikkerhedspolitik og informa-tionssikkerhedshåndbog (…) er baseret på de internationale stan-darder ISO 27001 og 27002. l politikken fastlægges de overordnede principper for kommunens informationssikkerhed, mens håndbo-gen beskriver roller og organisering i forhold til informationssik-kerhed samt de fælles regler for informationssikkerhed herunder styring af risici og sikkerhedstiltagene. Målet er at sikre, at data, in-formationer og informationssystemer beskyttes bedst muligt under hensyntagen til den aktuelle vurdering af risikoen.
Den konkrete hændelse, Datatilsynet spørger ind til, finder således sted inden for klart beskrevne rammer og principper for, hvordan data, herunder personoplysninger, behandles. Der er tale om en klar overtrædelse af kommunens retningslinjer og principper for behandling af personoplysninger.
l den risikobaserede tilgang til behandlingssikkerhed har Gladsaxe Kommune det klare udgangspunkt, at personoplysninger sikres bedst både i forhold til fortrolighed, integritet og tilgængelighed, hvis de gemmes i et journal- eller fagsystem, hvilket naturligvis og-så i flere tilfælde er et lovkrav, da store dele af materialet er journa-liseringspligtigt.
Gladsaxe Kommune har 15 sikkerhedsbud (…), som alle medarbej-dere skal følge. Formålet med buddene er at levere letforståelige og tilgængelige informationer for medarbejderne som et supplement til informationssikkerhedshåndbogen. Bud nr. 6 lyder:
"Brug kun godkendte Journal- eller fagsystemer til at gemme per-sonoplysninger eller andre typer af oplysninger, der er fortrolige. Brug aldrig lokale drev, fællesdrev. usb-nøgler eller eksterne hard-diske til disse formål.”
l forhold til personoplysninger er rammen i sikkerhedsbudene, der kommunikeres bredt, at alle personoplysninger skal gemmes i et journal- eller fagsystem. Det er ikke muligt fuldstændigt at undgå,
52
at der håndteres fysiske arbejdskopier af dokumenter, samt at der foretages notater i notesblokke, gemmes midlertidigt på sikre net-værksdrev og lign. Det ændrer ikke på det klare udgangspunkt. Kravet om anvendelse af Journal- eller fagsystemer løfter sikker-hedsniveauet betydeligt i forhold til hændelig eller ulovlig tilintet-gørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
Kommunens informationssikkerhedshåndbog indeholder desuden følgende relevante formulering:
"Fortrolige oplysninger og følsomme personoplysninger må kun opbevares i ESDH-system eller fagsystem og må således ikke opbe-vares på mobile enheder.
Hvis det som led i løsningen af den faglige opgave midlertidigt er nødvendigt at opbevare fortrolige oplysninger eller følsomme per-sonoplysninger på mobilt udstyr, skal informationerne beskyttes med kryptering. Krypteringsløsningen skal godkendes af Digitali-seringsafdelingen."
Retningslinjerne på området, hvor hændelsen fandt sted, vurderes at være klare, og der er gjort en betydelig kommunikationsmæssig indsats for at formidle dem via kurser, en portal om informations-sikkerhed på kommunens intranet, en quiz, løbende informations-kampagner og lign. Medarbejderen, der gemte filen lokalt, var klar over, at det var i strid med kommunens retningslinjer og gjorde selv opmærksom på fejlen i forlængelse af tyveriet af computeren.
Det er åbenlyst, at den konkrete hændelse gør det naturligt at spør-ge, hvorfor computerens lokale drev ikke var krypteret. l den for-bindelse bemærkes det, at kryptering alene ikke er tilstrækkelig til at sikre data, herunder personoplysninger, men blot indgår som et del-element i de samlede sikkerhedstiltag, som kan implementeres. Uanset hvor stærk kryptering der måtte være på lokale drev, skal medarbejderne stadig ikke gemme personoplysninger der, da det eksempelvis stadig er en sårbar løsning i forhold til tilgængelighed og i nogle tilfælde vil indebære et brud på journaliseringspligten.
l den risikobaserede tilgang til informationssikkerhed har Gladsaxe Kommune af samme årsag vurderet, at det var mere væsentligt at beskytte lagring, hvor medarbejderne er blevet instrueret i at gem-me data snarere end de steder, hvor medarbejderne ikke bør gem-me data. Vi har betragtet risikoen for tyveri af en kommunal com-puter mhp. at få adgang til lokale data som lille og eks. prioriteret indsatsen omkring awarenes og kommunikation omkring sikker-hedsbudene højere. Særligt fordi, hvis medarbejderne ikke er til-strækkelig bevidst om risikoen forbundet hermed, vil de - selv hvis lokale drev krypteres - eksempelvis stadig kunne gemme data på flytbare ikke-krypterede drev (usb-drev eller lign.), sende dem via usikre email forsendelser til emailadresser uden for kommunen el-ler gemme udprint med kritiske data uforsvarligt. Det fremgår i øv-
53
rigt klart af Gladsaxe Kommunes politik, at brud på informations-sikkerheden i alvorlige tilfælde eller i gentagelsestilfælde kan have ansættelsesmæssige konsekvenser.
Sandsynligheden for, at medarbejderne ikke følger retningslinjerne, er bl.a. på baggrund af en stor kommunikationsmæssig indsats vurderet som forholdsvis lav. Ydermere er det vurderet som min-dre sandsynligt, at denne uhensigtsmæssige adfærd vil være fore-taget på de forholdsvis få computere, der bliver stjålet fra kommu-nen. Her har kommunen i øvrigt aldrig erfaret, at tyverierne sker med henblik på brug af personoplysningerne. Det er vores vurde-ring, at tyveri af computere er motiveret af økonomisk gevinst ved videresalg af computeren og ikke af formålet om datatyveri, l den konkret sag bar tyveriet også præg af tilfældighed og ikke målrettet bestemte computere/data. Såfremt formålet var datatyveri, findes der langt mere oplagte metoder til at forsøge at få adgang til kom-munens data end at stjæle et par computere, hvor der ikke normalt kan antages at skulle foreligge data lokalt på computeren."
Der er dermed tale om, at to mindre sandsynlige forhold indtræffer i en situation, hvor der ydermere er tale om en endda meget uhen-sigtsmæssig adfærd fra den medarbejdes side, der valgte at gemme filen med en endog meget stor mængde af personoplysninger lokalt midlertidigt. Gladsaxe Kommune ønsker på ingen måde at under-kende sagens alvor. Kommunen føler dog anledning til at påpege, at det forhold, at et usandsynligt scenarie rent faktisk indtræffer i en af de værst tænkelige situationer ikke tilbageviser eller under-kender samtlige refleksioner, der lå til grund for de faktiske for-hold. Det er kommunens klare opfattelse, at der er tale om et meget alvorligt men også enkeltstående tilfælde set i henhold til den me-get store datamængde, der var lagret lokalt.
l relation til ovenstående skal det dog nævnes, at indkøb af softwa-re til kryptering af harddisken på de administrative computere har været drøftet løbende, men jf. ovenstående ikke tidligere priorite-ret. Efter hændelsen er det besluttet at kryptere alle nyere admini-strative computere (computere med Windows 10), hvilket blev igangsat og udført umiddelbart efter hændelsen. Det er endvidere besluttet at indkøbe software til kryptering af indholdet på resten af kommunens administrative computere (med Windows 7) med henblik på, at de er krypteret januar 2019.
Gladsaxe Kommune overvejer løbende de generelle sikkerhedstil-tag og deres tilstrækkelighed, og der arbejdes på at foretage tilpas-ninger, hvor det er relevant. Hændelsen har naturligvis givet an-ledning til, at man endnu engang har haft fokus på awareness. Bl.a. har den ansvarlige direktør sendt en mail til alle medarbejdere, der har været relevant information på intranet og lign. Det forventes, at hændelsen vil føre til flere tiltag, der yderligere vil skærpe sikker-heden i kommunen.
Gladsaxe Kommune har valgt at vedlægge kommunens informa-tionssikkerhedspolitik og informationssikkerhedshåndbog samt de
54
15 sikkerhedsbud med denne besvarelse for at dokumentere, at der er et betydeligt fundament for arbejdet med informationssikkerhed i kommunen. Produkterne betragtes ikke som endelige og er også underlagt løbende revurderinger af såvel indhold som formulerin-ger. Gladsaxe arbejder målrettet og kontinuerligt med forbedring af informationssikkerheden i kommunen.” (Vores fremhævelser).
Vi har endvidere beskrevet Gladsaxe Kommunes arbejde med at risiko-vurdere og med at evaluere datasikkerheden samt PWC’s efterfølgende vurdering heraf på følgende måde i vores brev af 24. maj 2019 (…):
”I nærværende sammenhæng er det imidlertid afgørende at slå fast, at der ikke er grundlag for at antage, at det pågældende sik-kerhedsbrud skulle være udtryk for, at Gladsaxe Kommune mere generelt har forsømt sine forpligtelser som dataansvarlig myndig-hed, Kommunen har således i sine svar til Datatilsynet nærmere omtalt en række forhold, der vedrører kommunens indsats inden for blandt andet behandlingssikkerhed. Dette viser, at kommunen både er generelt meget opmærksom på at træffe de fornødne foran-staltninger og er i stand til at leve op til sin Forpligtelse til at påvise, hvad der bliver gjort på databeskyttelsesområdet.
Der kan i den forbindelse også henvises til bilag 3, der var vedhæf-tet kommunens brev af 15. januar 2019 til Datatilsynet. Her har kommunen nærmere redegjort for behandlingssikkerhed i henhold til databeskyttelsesforordningens artikel 32. Det fremgår heraf blandt andet, at Gladsaxe Kommunes informationssikkerhedspoli-tik og informationssikkerhedshåndbog er baseret på standarderne IS027001 og 27002. Desuden fremgår det, at kommunens fastlæg-gelse af politikker på området sker på grundlag af en nøje overvejet og risikobaseret tilgang til behandlingssikkerhed. Alt i alt må det derfor lægges til grund, at Gladsaxe Kommune har et højt sikker-hedsniveau.
Endvidere kan det oplyses, at byrådet og direktørkredsen i kom-munen siden 1. februar 2019 er blevet orienteret om eventuelle ind-trufne sikkerhedsbrud én gang om ugen, og at de pågældende fremover vil blive orienteret én gang om måneden om, i hvilket omfang der har været sikkerhedsbrud. I øvrigt bliver lister over hændelser, der vedrører datasikkerhed, løbende offentliggjort på kommunens hjemmeside.
Hertil kommer, at kommunens databeskyttelsesrådgiver i april 2019 har udarbejdet en rapport om "Afdækning af brud på datasik-kerheden i perioden 25. maj 2018 - 5. februar 2019". Rapporten, der er vedhæftet til orientering, har til formål at give et grundlag for yderligere at optimere kommunens forretningsgange i forbindelse med eventuelle sikkerhedshændelser.
Desuden kan vi oplyse, at revisionsfirmaet PwC efter anmodning fra Gladsaxe Kommune i april 2019 har foretaget en data-compliance analyse, hvori det vurderes, at Gladsaxe Kommunes modenhedsniveau i forhold til sikkerhed og databeskyttelse ikke
55
afviger fra det niveau, som der er erfaring med fra andre offentlige institutioner, og at kommunen på flere områder har et højere mo-denhedsniveau.
Analysen fra PwC omfatter også en række anbefalinger om, hvor-dan kommunen kan gøre endnu mere på området, og det kan oply-ses, at Økonomiudvalget i Gladsaxe Kommune i juni 2019 skal tage stilling til en række af de pågældende forslag til yderligere tiltag. Vi kan i den forbindelse - set i lyset af nærværende sag - nævne, at analysen blandt andet indeholder en anbefaling om, at kommunen bør øge den fysiske adgangssikring til de administrative og opera-tionelle områder på Gladsaxe Rådhus. Der kan herved også henvi-ses til pkt. 5 i kommunens brev af 21. januar 2019, hvor der blandt andet er gjort rede for, at der på tidspunktet for de pågældende computeres bortkomst var en defekt lås på en dør ved rådhushal-lens trappeopgang, og at den eller de ansvarlige for det formodede tyveri kan have skaffet sig adgang gennem denne dør.
Samlet viser det anførte, at Gladsaxe Kommune har meget betyde-lig bevågenhed omkring datasikkerhed og løbende anvender bety-delige ressourcer for at kunne leve op til sin målsætning om et me-get højt databeskyttelsesniveau.
Dette er for det første med til at understrege, at kommunen og dens ledelse har stort fokus på området.
For det andet viser kommunens indsats, at uanset at eksempelvis sikkerbruddet i nærværende sag beror på en menneskelig fejl hos en medarbejder muligt kombineret med en defekt dørlås - det vil sige et sammenfald af omstændigheder, som ingen organisation i sagens natur kan gardere sig fuldt ud imod - er det til enhver tid kommunens ambition at lære og drage erfaringer med henblik på så vidt muligt yderligere at modvirke hændelser af denne karakter i fremtiden. Det indebærer også, at kommunen har sat yderligere skærpet fokus på at sikre, at alle medarbejdere er opmærksomme på kommunens retningslinjer om, at det ikke er tilladt f.eks. at gemme personoplysninger lokalt på en computers skrivebord.”
I vores brev af 27. februar 2020 har vi yderligere uddybet Gladsaxe Kommunes arbejde med at risikovurdere og med at sikre datasikkerhe-den (…):
”I vores brev af 24. maj 2019 anførte vi blandt andet, at der ikke er grundlag for at antage, at det pågældende sikkerhedsbrud skulle være udtryk for, at Gladsaxe Kommune mere generelt har forsømt sine forpligtelser som dataansvarlig myndighed. Vi henviste her-ved til, at kommunen i sine svar til Datatilsynet har nærmere om-talt en række forhold, der vedrører kommunens indsats inden for blandt andet behandlingssikkerhed. Dette viser, at kommunen bå-de er generelt meget opmærksom på at træffe de fornødne foran-staltninger og er i stand til at leve op til sin forpligtelse til at påvise, hvad der bliver gjort på databeskyttelsesområdet.
56
Vi omtalte i vores brev desuden en række specifikke initiativer, som kommunen løbende havde taget på området, idet vi blandt andet oplyste, at revisionsfirmaet PwC efter anmodning fra Gladsaxe Kommune i april 2019 har foretaget en datacompliance analyse, hvori det er vurderet, at Gladsaxe Kommunes moden-hedsniveau i forhold til sikkerhed og databeskyttelse ikke afviger fra det niveau, som der er erfaring med fra andre offentlige institu-tioner, og at kommunen på flere områder har et højere moden-hedsniveau.
Analysen fra PwC omfattede også en række anbefalinger om, hvordan kommunen kan gøre endnu mere på området, og vi oply-ste i vores brev af 24. maj 2019, at Økonomiudvalget i Gladsaxe Kommune skulle tage stilling til en række af de pågældende forslag til yderligere tiltag.
I fortsættelse af dette kan vi oplyse, at det på et økonomiudvalgs-møde den 18. juni 2019 blev besluttet at tilføre øgede midler til om-rådet for informationssikkerhed og databeskyttelse med henblik på at blive en af de førende kommunale myndigheder på dette områ-de. Beslutningen indebærer, at området er blevet tilført ca. 15,6 mio. kr. i perioden fra 2019 til 2022 til et 3-årigt projekt, der skal realisere denne målsætning, og herefter løbende 3,6 mio. kr. om året for at sikre kommunens fortsatte data-compliance.
Vi vedhæfter Økonomiudvalgets beslutning af 18. juni 2019, som indeholder en nærmere omtale af en række af de indsatser, der er fokus på.
De yderligere afsatte midler på området bliver navnlig anvendt til at finansiere seks blivende årsværk (tilegnet gennemførelse af det 3-årige projekt såvel som det fremadrettede arbejde med informa-tionssikkerhed) samt ansættelse af en projektleder under projektpe-rioden.
Samlet indebærer dette, at kommunen fremadrettet anvender ca. 10,5 årsværk til arbejdet med informationssikkerhed. På nuværende tidspunkt er der blandt andet – men ikke udeluk-kende – fokus på:
• Risikoanalyse, kortlægning og konsekvensanalyse Udvikling af et nyt koncept for risiko- og konsekvensanalyser samt kortlægning af behandlingsaktiviteter, der i endnu højere grad sikrer kommunens risikobaserede tilgang til informationssikkerhed.
• Foranalyse af kommunens beskyttelsesteknologi I PwCs analyse anbefales det, at kommunen investerer yderligere i relevant beskyt-telsesteknologi primært for at styrke og automatisere overvågning af cyberangreb samt holde overblik over og styring af systempro-cesser, f.eks. adgangsstyring. Gladsaxe Kommune har derfor kon-traheret med Atea A/S, som forestår en foranalyse af kommunens behov samt kvalificering af kommunens beslutningsgrundlag ved indkøb og implementering af nye systemer.
57
• Kommunikation og kompetenceudvikling Der bliver løbende ar-bejdet med blandt andet information og undervisning af medarbej-dere om informationssikkerhed og databeskyttelsesforordningen – i tæt sammenkobling med den generelle forvaltningsret”
3.4 Gælder der en generel regel om, at alle kommunens computere skal være krypteret?
I denne sag skal landsretten tage stilling til et principielt spørgsmål. Nemlig om det af artikel 32, stk. 1, i forordningen helt generelt kan ud-ledes, at enhver dataansvarlig inden for EU, som behandler væsentlige mængder af personoplysninger, havde pligt til senest i november 2018 at have sørget for at kryptere alle sine computere.
Hvis landsretten ikke finder, at der efter artikel 32, stk. 1, siden 2018 har gjaldt en pligt for alle dataansvarlige i EU, der behandler væsentlige mængder personoplysninger, til at kryptere alle deres computere, ja så har Datatilsynet ikke ret i den rejste kritik af sikkerheden i Gladsaxe Kommune.
Det gøres gældende, at der ikke er noget grundlag for at antage, at der i forordningens artikel 32 skulle kunne indlæses et fuldstændigt generelt krav til dataansvarlige af en vis størrelse – som f.eks. kommuner – om kryptering af alle deres computere.
Artikel 32, stk. 1 og 2, er sålydende:
”Artikel 32
Behandlingssikkerhed
1. Under hensyntagen til det aktuelle tekniske niveau, implemente-ringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formålsamt risiciene af varierende sand-synlighed og alvor for fysiske personers rettigheder og frihedsret-tigheder gennemfører den dataansvarlige og databehandleren pas-sende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:
a) pseudonymisering og kryptering af personoplysninger b) evne til at sikre vedvarende fortrolighed, integritet, tilgængelig-hed og robusthed af behandlingssystemer og -tjenester c) evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d) en procedure for regelmæssig afprøvning, vurdering og evalue-ring af effektiviteten af de tekniske og organisatoriske foranstalt-ninger til sikring af behandlingssikkerhed.
2. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navn-lig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautori-seret videregivelse af eller adgang til personoplysninger, der er
58
transmitteret, opbevaret eller på anden måde behandlet.” (Vores fremhævelser).
Det skal betones, at der også efter ordlyden er tale om ikke udtømmen-de eksempler.
Det kan efter vores opfattelse heller ikke føre til en overtrædelse af arti-kel 82, at kommunen ikke havde krypteret harddisken i kommunens computere, herunder i den omhandlede computer, sådan at det ikke ville være teknisk muligt for en medarbejder at lagre personoplysninger ukrypteret på en computer.
Vi skal i den forbindelse mere generelt bemærke, at der efter vores op-fattelse ikke er grundlag for at antage, at der efter databeskyttelsesfor-ordningen skulle gælde et absolut krav om at anvende kryptering i for-bindelse med enhver elektronisk behandling af personoplysninger. Al-lerede af ordlyden af databeskyttelsesforordningens artikel 32 følger det således, at der ikke kan opstilles et sådant absolut krav, ligesom der som også nævnt nedenfor i forarbejderne til databeskyttelsesloven er angivet en ”værktøjskasse” med eksempler på, hvilke sikkerhedsforan-staltninger der kan være relevante, og som anført i den juridiske littera-tur indebærer det, at ”det er en konkret vurdering, hvilket sikkerheds-niveau, der er det rette” , jf. Kristian Korfits Nielsen og Anders Lotterup i Databeskyttelsesforordningen og databeskyttelsesloven med kom-mentarer (1. udgave 2020, side 639).
Præambelbetragtning nr. 83 er sålydende:
”(83) For at opretholde sikkerheden og hindre behandling i strid med denne forordning bør den dataansvarlige eller databehandle-ren vurdere de risici, som en behandling indebærer, og gennemføre foranstaltninger, der kan begrænse disse risici, som f.eks. krypte-ring. Disse foranstaltninger bør under hensyntagen til det aktuelle tekniske niveau og implementeringsomkostningerne sikre et til-strækkeligt sikkerhedsniveau, herunder fortrolighed, i forhold til risiciene og karakteren af de personoplysninger, der skal beskyttes. Ved vurderingen af datasikkerhedsrisikoen bør der tages hensyn til de risici, som behandling af personoplysninger indebærer, såsom hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautorise-ret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, og som navnlig kan føre til fysisk, materiel eller immateriel skade.” (Vores fremhævelse).
I lovforslaget til databeskyttelsesloven er i forhold til spørgsmålet om tilstrækkelig datasikkerhed nævnt en værktøjskasse - herunder at de enkelte dataansvarlige fortsat kan hente ”inspiration” i den tidligere gældende sikkerhedsbekendtgørelse. Indledningsvis peges der på, at Justitsministeriet i betænkningen om databeskyttelsesforordning henvi-ste til, at man kan finde inspiration til, hvad der kan være passende og specifikke foranstaltninger i Registerudvalgets betænkning nr. 1345. Dette uddybes efterfølgende i lovforslaget med henvisning bl.a. til reg-
59
lerne i sikkerhedsbekendtgørelsen, som ikke kunne opretholdes ved den EU-retlige implementering af databeskyttelsesforordningen:
”I betænkningen, side 225-226, nævnes – som inspiration til, hvad der kan være passende og specifikke foranstaltninger – hvad Regi-sterudvalget i betænkning nr. 1345 fandt, var tilstrækkelige garan-tier. Registerudvalget anførte således i betænkning nr. 1345 om be-handling af personoplysninger, side 252, at der var tale om til-strækkelige garantier i forbindelse med indførelsen af persondata-lovens § 9, vedtaget indenfor rammerne af databeskyttelsesdirekti-vets artikel 8, stk. 4, om retsinformationssystemer, når det blev ind-ført, at tilsynsmyndigheden kunne fastsætte nærmere vilkår for be-handlinger, og når der blev stillet vilkår om, at personnavne, præ-cise adresseangivelser og eventuelt andre identifikationsoplysnin-ger fjernes, herunder vilkår om, at der ikke måtte kunne søges på navne mv., i det omfang der ikke skete anonymisering. Særligt i forbindelse med retsinformationssystemer fandt Registerudvalget, at der var tale om tilstrækkelige garantier, når det i loven blev fast-sat, at oplysninger, som behandledes ikke senere måtte behandles i andet øjemed.
Som en del af den dataansvarliges ”værktøjskasse” – med henblik på at sikre, at lovforslaget og databeskyttelsesforordningen over-holdes, herunder de grundlæggende principper i artikel 5 og krav til behandlingssikkerhed i artikel 32, ved behandling af følsomme personoplysninger omfattet af artikel 9 – kan eksempelvis også nævnes følgende foranstaltninger:
– Tekniske og organisatoriske foranstaltninger til sikring af, at be-handlingen er i overensstemmelse med forordningen.
- Foranstaltninger til sikring af, at det er muligt efterfølgende at undersøge og fastslå, om og af hvem der er behandlet personoplys-ninger (logning).
- Frivillig udpegning af databeskyttelsesrådgiver, jf. databeskyttel-sesforordningens artikel 37, stk. 4.
- Fastsættelse af interne regler om organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af ad-gangskontrolordninger og autorisationsordninger samt kontrol med autorisationer.
- Foranstaltninger til sikring af, at alene personer, som den data-ansvarlige autoriserer hertil, fordi det er nødvendigt, kan få adgang til personoplysninger.
- Fastsættelse af retningslinjer for den dataansvarliges tilsyn med overholdelsen af de sikkerhedsforanstaltninger, herunder løbende opfølgning og revision.
- Fornøden instruktion fra den dataansvarliges side til de medar-bejdere, som behandler personoplysningerne.
- Foranstaltninger – på steder, hvor der foretages behandling af personoplysninger – med henblik på at forhindre uvedkommendes adgang til oplysningerne.
- Pseudonymisering af personoplysninger.
- Kryptering af personoplysninger.
60
- Sikring af vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester i forbindelse med behandling af personoplysninger.
- Sikring af sikkerheden i behandlingen, etablering af mekanismer for regelmæssig revision, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger.
- Registrering af afviste adgangsforsøg og tekniske foranstaltninger, der kan sikre blokering for yderligere forsøg, hvis det er nødven-digt.
Der kan i den forbindelse søges inspiration i den hidtidige gælden-de sikkerhedsbekendtgørelse, jf. bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplys-ninger, som behandles for den offentlige forvaltning, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001.”
I betænkningen anføres der bl.a. på side 485 f., at forordningen ikke be-skriver, hvilke præcise foranstaltninger der skal træffes, da det er en samlet og konkret risikobaseret vurdering:
”Med databeskyttelsesforordningen lægges der imidlertid også op til at sætte en på mange måder – i hvert fald set med danske øjne – ny ramme for og tilgang til behandlingssikkerhed.”
”Forordningen foreskriver ikke, hvilket præcise foranstaltninger, der skal træffes. Valget ligger ifølge forordningens artikel 32 i første række hos den dataansvarlige […]”
Særligt om betydningen af, at den dataansvarlige kan lægge vægt på implementeringsomkostningerne, indeholder betænkningen på side 483 også en god beskrivelse:
”Det fremgår, som anført af forordningens artikel 32, stk. 1, at der skal tages hensyn til det aktuelle tekniske niveau, implemente-ringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sand-synlighed og alvor for fysiske personers rettigheder og frihedsret-tigheder, når der fastsættes passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Et eksempel på en situation, hvor denne afvejning af hensyn kommer i fokus, vil være, når et ældre systems sikkerhed skal gen-nemgås. Viser det sig i et sådant tilfælde, at systemet ikke på alle områder helt modsvarer det aktuelle tekniske niveau, men at im-plementeringsomkostningerne ved at bringe hele systemet på ni-veau er uforholdsmæssigt store, kan den dataansvarlige i stedet sø-ge at imødekomme behovet for større sikkerhed ved hjælp af også organisatoriske foranstaltninger. Der er således ingen forpligtelse til at efterkomme sikkerhedskravene alene rent teknisk, såfremt der efter en konkret vurdering fra den dataansvarlige findes tilstrække-lige organisatoriske løsninger, der også kan bidrage til at sikre det aktuelle tekniske niveau. Kan der etableres et passende sikkerheds-niveau for allerede ibrugtagne ældre systemer også gennem interne procedurer, undervisning af ansatte eller tilsvarende organisatori-
61
ske foranstaltninger, vil dette i princippet kunne være tilstrække-ligt.”
Datatilsynet har i januar 2020 svaret på KL´s ”GDPR-benspænd” . Her anfører Datatilsynet følgende som svar på, om fysiske dokumenter med personoplysninger skal låses inde i f.eks. et skab:
”Personoplysninger ikke bør lige frit fremme. Hvis der er alminde-lig adgang for borgere, skal dokumenterne gemmes væk.”
Og det svar er jo yderst fornuftigt, må man sige. Så f.eks. en medarbej-der hos en kommune må ifølge Datatilsynet gerne lade dokumenter ligge på reolen, når vedkommende går hjem, forudsat at der ikke er al-mindelig adgang til det pågældende kontor.
Det anførte i Datatilsynets svar forekommer at være i modstrid med Datatilsynets synspunkt i denne sag om, at der skulle gælde en straf-sanktioneret og ubetinget pligt for en kommune til at kryptere kommu-nens harddiske, også når der som i denne sag er tale om computere, der opbevares i et lokale, hvortil der ikke er almindelig adgang. Hertil kommer, at der i denne sag – som tidligere anført – derudover var en (normalt) effektiv skalsikring på rådhuset, og at det sandsynligvis var en defekt dørlås, der gjorde den ulovlige indtrængen i forbindelse med tyveriet mulig.
I juni 2015 udgav Center for Cybersikkerhed en sikkerhedsanbefaling om it-sikkerhed på rejsen. Denne sikkerhedsanbefaling vil blive medta-get i materialesamlingen. Sikkerhedsanbefalingen indeholder nogle go-de råd til sikker brug af it-udstyr under rejser i udlandet. Målgruppen for sikkerhedsanbefalingen er statslige myndigheder, virksomheder med kommercielt beskyttelsesværdige informationer samt deres med-arbejdere, som rejser i tjenstligt ærinde, men det anføres i indledningen, at andre også vil kunne drage nytte af sikkerhedsanbefalingen, der om-handler, hvad man skal være opmærksom på f.eks. i lufthavnen og på hotellet, når man er ude at rejse. I sikkerhedsanbefalingen anbefales det blandt andet, at den pågældende myndigheds eller virksomheds it-afdeling bør sikre, at alt medbragt it-udstyr anvender kryptering af de informationer og data, der lagres lokalt på udstyret. En rigtig fornuftig anbefaling – men netop kun en anbefaling og ikke noget egentligt krav i henhold til forordningen. Hertil kommer, at der vel at mærke er tale om en anbefaling, som specifikt retter sig mod rejser i udlandet, hvor der selvsagt kan være en særlig risiko.
Den 1. oktober 2019 – næsten et år efter sikkerhedsbruddet i Gladsaxe Kommune – fastsatte Digitaliseringsstyrelsen og Center for Cybersik-kerhed tekniske minimumskrav, der skal sikre et højt cyber- og infor-mationssikkerhedsniveau i staten. Disse minimumskrav indeholder blandt andet et krav om kryptering, der er formuleret på følgende må-de:
”For at undgå kompromittering af data i forbindelse med tab eller tyveri af pc, skal operativsystemet være sat op til at kryptere hard-disken på den enkelte PC.”
62
Det er endvidere fastsat, at dette tekniske minimumskrav skal være im-plementeret den 1. januar 2020. Desuden er det muligt at fravige dette krav, hvilket Digitaliseringsstyrelsen har beskrevet på følgende måde:
”Følg eller forklar
Det vil som udgangspunkt ikke være muligt at fravige kravene. Så-fremt et krav undtagelsesvist ikke bliver efterlevet, skal myndighe-den kunne redegøre for årsagen hertil samt den forventede tidsho-risont for implementering af kravet ud fra ’Følg eller forklar’-princippet.
Kravene er minimumskrav, som ikke fritager myndighederne fra at foretage egne risikovurderinger og implementere yderligere sik-kerhedstiltag i relevant omfang.”
Der er fortsat ikke i september 2024 noget sted fastsat tilsvarende tekni-ske minimumskrav på det kommunale område.
For statslige myndigheder gælder således som udgangspunkt et admi-nistrativt teknisk minimumskrav fra Digitaliseringsstyrelsen om kryp-tering af harddiske. Men dette krav gælder altså kun statslige myndig-heder, og kravet har kun været gældende siden den 1. januar 2020. Her-til kommer, at kravet efter omstændighederne vil kunne fraviges af de danske statslige myndigheder, hvilket ikke ville være muligt, hvis der er tale om et krav, der kan udledes direkte af artikel 32 i forordningen.
Der er altså tale om et såkaldt teknisk minimumskrav, der ikke er retligt forpligtende – og i hvert fald ikke bindende udenfor staten.
Der er ikke tradition i Danmark for at sanktionere overtrædelser af ikke bindende regler. Her kan vi for eksempel henvise til en kendelse fra Advokatnævnet fra 2017. I sagen blev vedkommende advokat ikke sanktioneret som følge af, at den pågældende havde sendt fortrolige og følsomme personoplysninger i en ukrypteret mail, hvilket var i strid med anbefalingerne fra Datatilsynet. Advokatnævnet med højesterets-dommer Person 5 i spidsen lagde herved vægt på, at der i for-hold til den pågældende periode ikke var noget lovkrav – men alene fo-relå en anbefaling – om at sende sådanne oplysninger med krypterede mails.
Ikke desto mindre bygger Datatilsynets kritik af Gladsaxe Kommune i denne sag på et synspunkt om, at der ud af artikel 32 i forordningen kan udledes et absolut krav om kryptering af harddiske, når det hand-ler om kommuner, og at dette absolutte krav ovenikøbet også var gæl-dende helt tilbage i 2018.
Datatilsynet har endvidere givet nogle gode råd om hjemmearbejde i en udgivelse fra marts 2020. En udgivelse, der altså kom midt under coro-na-krisen, hvor der naturligt var endnu mere fokus på hjemmearbejde. Her var et af de gode råd fra Datatilsynet at sørge for, at enheden eller filen med et dokument er krypteret, hvis der opstår behov for at lagre
63
dokument lokalt på den pågældende it-enhed. Der var også her alene tale om gode råd – og derimod ikke om et retligt krav, hvor manglende overholdelse heraf ville udgøre en strafbar overtrædelse af artikel 32. Desuden er der som nævnt tale om nogle gode råd, som knytter sig til hjemmearbejde, hvor der kan være særlige risici, blandt andet fordi private hjem naturligvis normalt ikke har de samme sikkerhedsforan-staltninger, herunder i form af en fysisk skalsikring, som myndigheder og virksomheder.
Bilag B fra februar 2018 til Datatilsynets vejledning om brud på data-sikkerheden viser i nedenstående eksempel nr. 12, at Datatilsynet ikke i 2018 vejledte om, at alle computere skal krypteres, men at de i stedet vejleder om, at sikkerhedsbruddet skal anmeldes, hvis en computer bli-ver stjålet:
”12. En virksomhed har alle oplysninger om deres medarbejdere, inkl. personnumre og helbredsoplysninger. Computeren stjæles under et indbrud. Oplysningerne er ikke krypterede, men der skal almindeligt kodeord til for at låse computeren op.”
Her vejleder Datatilsynet i stedet om, at sikkerhedsbruddet skal anmel-des til Datatilsynet, og at medarbejderne skal underrettes om sikker-hedsbruddet.
Datatilsynet synes også i nyere praksis at være kommet til den konklu-sion, at der ikke med rette kan stilles et ubetinget krav om kryptering, da Datatilsynet i den seneste bødesag med Kommune den 14. au-gust 2024 bl.a. anførte følgende:
”Datatilsynet har politianmeldt Kommune for utilstrækkelige sikkerhedsforanstaltninger. Tre stjålne computere med oplysninger om børn var ikke krypterede - og det samme viste sig at være til-fældet med op mod 300 andre computere i kommunen. Datatilsy-net indskærper, at kryptering meget ofte er påkrævet.” (Vores fremhævelse).
Byretten har som nævnt heller ikke i dommen i nærværende sag lagt til grund, at der gælder et ubetinget krav om, at kommunens computere skal krypteres.
Sammenfattende er det vores opfattelse, at det ikke i de 6 sager af ap-pellanterne er godtgjort, at Gladsaxe Kommune har overtrådt artikel 32 i forordningen.
Da der heller ikke i øvrigt er tale om en overtrædelse af reglerne i for-ordningen, vil der allerede af den grund heller ikke være noget grund-lag for at tilkende en kompensation efter artikel 82 i forordningen.
Hvis landsretten imidlertid vurderer, at der i en eller flere af de 6 sager er tale om en overtrædelse af forordningen, vil der skulle tages stilling til, om der af appellanterne på behørig måde er godtgjort en skade i forordningens forstand.
64
3.5 Har appellanterne godtgjort en skade i forordningens forstand?
Den anden kumulative betingelse er, om appellanterne har godtgjort en skade i overensstemmelse med artikel 82 i forordningen. EU-Domstolen har i dom af 20. juni 2024 i sag C-590/22 bl.a. givet en god opsummering af den hidtidige praksis om erstatning/kompensation efter artikel 82, og EU-Domstolen har samtidig uddybet, hvornår en subjektiv frygt i sig selv kan føre til, at der er en skade i artikel 82’s forstand.
Sagen handlede om, at et brev med en selvangivelse var sendt til en tid-ligere adresse, hvorfor der kunne være en frygt for, at dette brev ville blive åbnet af en tredjemand, og at tredjemand herefter ville misbruge oplysningerne fra selvangivelsen mv.
I præmis 15 redegør den nationale ret meget præcist for problemstillin-gen:
”15 Den forelæggende ret ønsker for det andet oplyst, om frygten for, at personoplysninger er kommet i uautoriserede personers be-siddelse, i sig selv kan udgøre en immateriel skade, der kan give ret til en økonomisk erstatning i henhold til databeskyttelsesforord-ningens artikel 82.”
EU-Domstolen beskriver herefter den hidtidige praksis om artikel 82 i forordningen på en meget overskuelig måde i præmis 22-28:
”22 Domstolen har allerede fastslået, at det fremgår klart af denne bestemmelses ordlyd, at en af betingelserne for ret til erstatning som fastsat i denne artikel 82, stk. 1, er, at der foreligger »skade«, eller at der er »forvold[t] skade«, ligesom databeskyttelsesforord-ningen skal være overtrådt, og der skal være en årsagsforbindelse mellem skaden og overtrædelsen, idet disse tre betingelser er ku-mulative (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplys-ninger), C- 300/21, EU:C:2023:370, præmis 32, og af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 34).
23 Det kan derfor ikke lægges til grund, at enhver »overtrædelse« af databeskyttelsesforordningens bestemmelser i sig selv giver den registrerede, som defineret i forordningens artikel 4, nr. 1 ), den nævnte ret til erstatning. Det ville i øvrigt være overflødigt særskilt at nævne »skade« og »overtrædelse« i forordningens artikel 82, stk. 1, hvis EU-lovgiver havde ment, at en overtrædelse af samme for-ordnings bestemmelser i sig selv og under alle omstændigheder skulle være tilstrækkelig til at begrunde en ret til erstatning (dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præ-mis 33 og 34).
24 Det følger heraf, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at den blotte overtrædelse af denne for-ordnings bestemmelser ikke er tilstrækkelig til at give ret til erstat-ning (dom af 4.5.2023, Österreichische Post (Immateriel skade i for-bindelse med behandling af personoplysninger), C300/21, EU:C:2023:370, præmis 42).
65
25 Den person, der på grundlag af denne bestemmelse fremsætter et erstatningskrav vedrørende en immateriel skade, er nemlig for-pligtet til ikke alene at godtgøre en overtrædelse af denne forord-nings bestemmelser, men ligeledes, at denne overtrædelse har for-voldt vedkommende en sådan skade (jf. i denne retning dom af 4.5.2023, Österreichische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præ-mis 42 og 50, og af 11.4.2024, juris, C-741/21 , EU:C:2024:288, præ-mis 35).
26 Hvad angår sidstnævnte betingelse er databeskyttelsesforord-ningens artikel 82, stk. 1, til hinder for en national regel eller prak-sis, hvorefter erstatning for en immateriel skade som omhandlet i den nævnte bestemmelse er betinget af, at den skade, som den regi-strerede har lidt, har en vis alvors grad (dom af 4.5.2023, Österrei-chische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 51, og af 11.4.2024, juris. C-741/21, EU:C:2024:288, præmis 36). 27 Det forholder sig ikke desto mindre således, at denne person i henhold til denne forordnings artikel 82, stk. 1, er forpligtet til at bevise, at vedkommende faktisk har lidt en materiel eller immateri-el skade (jf. i denne retning dom af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 39).
28 Henset til ovenstående betragtninger skal det første og det andet spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at en overtrædelse af denne for-ordning ikke i sig selv er tilstrækkelig til at begrunde en ret til er-statning i henhold til denne bestemmelse. Den registrerede skal li-geledes godtgøre, at der foreligger en skade, der er forårsaget af denne overtrædelse, dog uden at denne skade skal have en vis al-vorsgrad.”
Herefter kommer EU-Domstolen ind på skadesbegrebet i præmis 29-36:
”29 Den forelæggende ret ønsker med det tredje spørgsmål nærme-re bestemt oplyst, om databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at en persons frygt for, at vedkommendes personoplysninger som følge af en overtrædelse af denne forord-ning er blevet videregivet til tredjemand, uden at det kan godtgø-res, at dette faktisk har været tilfældet, er tilstrækkelig til at be-grunde en ret til erstatning for immateriel skade.
30 Det fremgår af forelæggelsesafgørelsen, at sagsøgerne i hoved-sagen på grundlag af databeskyttelsesforordningen ønsker at opnå erstatning for en immateriel skade som følge af tab af kontrol med deres personoplysninger, der har været genstand for behandling, uden at kunne godtgøre, i hvilket omfang tredjemand faktisk har fået kendskab til disse oplysninger.
31 Da der i databeskyttelsesforordningens artikel 82, stk. 1, ikke er nogen henvisning til medlemsstaternes nationale ret, skal begrebet »immateriel skade« som omhandlet i denne bestemmelse i denne henseende undergives en selvstændig og ensartet fortolkning, der er særlig for EU-retten (jf. i denne retning dom af 4.5.2023, Österrei-chische Post (Immateriel skade i forbindelse med behandling af personoplysninger), C-300/21, EU:C:2023:370, præmis 30 og 44, og
66
af 25.1.2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, præmis 64).
32 Domstolen har fastslået, at det ikke alene fremgår af ordlyden af databeskyttelsesforordningens artikel 82, stk. 1, sammenholdt med 85. og 146. betragtning til denne forordning, som opfordrer til at anlægge en bred fortolkning af begrebet »immateriel skade« som omhandlet i denne førstnævnte bestemmelse, men ligeledes af for-målet, der består i at sikre et højt beskyttelsesniveau for fysiske per-soner i forbindelse med behandling af personoplysninger, som er omhandlet i den nævnte forordning, at den frygt, som en registre-ret nærer for, at dennes personoplysninger potentielt kan blive misbrugt af tredjemand som følge af en overtrædelse af denne for-ordning, i sig selv kan udgøre en »immateriel skade« som omhand-let i denne artikel 82, stk. 1 (jf. i denne retning dom af 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, præmis 79-86, og af 25.1.2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, præmis 65).
33 Tabet af kontrol med personoplysninger - selv i et kort tidsrum -kan udgøre en »immateriel skade« som omhandlet i databeskyttel-sesforordningens artikel 82, stk. 1, der giver ret til erstatning, for-udsat at den nævnte registrerede godtgør, at vedkommende faktisk har lidt en sådan skade, uanset hvor lille den måtte være, idet Domstolen har udtalt, at den blotte tilsidesættelse af bestemmelser-ne i denne forordning ikke er tilstrækkelig til at give ret til erstat-ning på dette grundlag (jf. i denne retning dom af 25.1.2024, Medi-aMarktSaturn, C-687/21, EU:C:2024:72, præmis 66, og af 11.4.2024, juris, C-741/21, EU:C:2024:288, præmis 42).
34 En registreret, der mener, at vedkommendes personoplysninger er blevet behandlet i strid med de relevante bestemmelser i databe-skyttelsesforordningen, og kræver erstatning på grundlag af denne forordnings artikel 82, stk. 1, skal derfor bevise, at vedkommende faktisk har lidt materiel eller immateriel skade.
35 Den blotte henvisning til en frygt - uden godtgjorte negative konsekvenser - kan således ikke give anledning til erstatning i hen-hold til denne bestemmelse.
36 Henset til ovenstående betragtninger skal det tredje spørgsmål besvares med, at databeskyttelsesforordningens artikel 82, stk. 1, skal fortolkes således, at en persons frygt for, at vedkommendes personoplysninger som følge af en overtrædelse af denne forord-ning er blevet videregivet til tredjemand, uden at det kan godtgø-res, at dette faktisk har været tilfældet, er tilstrækkelig til at be-grunde en ret til erstatning, for så vidt som denne frygt og de nega-tive konsekvenser af denne er behørigt bevist.”
Henset til det anførte i præmis 35, hvorefter den blotte henvisning til en frygt – uden godtgjorte negative konsekvenser – ikke kan give anled-ning til erstatning efter artikel 82, skal landsretten i de 6 sager vurdere, hvorvidt appellanterne har godtgjort sådanne negative konsekvenser.
I præmis 36 er det anført, at i en situation, hvor det som i disse sager ik-ke kan godtgøres, at regnearket på den stjålne computer er blevet fun-det og misbrugt, vil det være et krav, at appellanterne behørigt har be-vist både den påberåbte frygt og de negative konsekvenser.
67
Det gøres på den baggrund gældende, at Gladsaxe Kommune ikke skal betale erstatning til appellanterne i denne sag, allerede fordi appellan-terne ikke behørigt har bevist både den påberåbte frygt og de negative konsekvenser af, at computeren med regnearket blev stjålet.
3.6 Har appellanterne godtgjort den fornødne årsagssammenhæng
Såfremt Østre Landsret måtte nå frem til, at der er tale om en overtræ-delse af forordningen, og at der foreligger en skade i artikel 82’s for-stand, vil den tredje kumulative betingelse være, om appellanterne har påvist, at der er den fornødne årsagssammenhæng mellem overtrædel-sen af forordningen og den påviste skade.
Hvis et CPR-nummer f.eks. skulle blive misbrugt, kan det ikke nødven-digvis henføres til den stjålne computer med regnearket i Gladsaxe Kommune, allerede fordi kendskabet til CPR-nummeret kan stamme fra mange andre kilder. Datatilsynet har f.eks. den 5. november 2019 i forbindelse med en udtalelse om udførelsen af tilsyn med behandlings-sikkerheden hos en fagforening udtalt, at et CPR-nummer ikke må an-vendes som adgangsgivende faktor til de registrerede oplysninger. Da-tatilsynet begrundede dette på følgende måde:
”Datatilsynet har herved lagt vægt på, at en fødselsdato er en al-mindelig, ikkefølsom personoplysning, der ofte vil være kendt af andre end den registrerede, at tildeling af et personnummer følger en offentlig kendt metode, hvormed de mulige personnumre for en given fødselsdato kan indskrænkes til et lille antal muligheder, og at et personnummer anvendes bredt på tværs af myndigheder mv., hvilket medfører en høj sandsynlighed – og dermed forhøjet risiko – for, at fortroligheden af de oplysninger, som adgangskontrollen skal sikre, kompromitteres.”
Datatilsynet har i øvrigt også selv haft en sag om et sikkerhedsbrud hos tilsynet, hvor oplysninger svarende til dem, nærværende sag handler om, potentielt kan være kommet til andres kendskab. I den pågældende sag havde medarbejderen hos Datatilsynet bortskaffet dokumenter med personoplysninger, som skulle være makuleret, som almindeligt pa-piraffald, (Datatilsynets afgørelse af 11. september 2020). Det drejede sig blandt andet om oplysninger fra sagerne i Datatilsynet, som var ble-vet printet, når der f.eks. havde været en intern drøftelse af disse sager. Tirsdage og fredage blev de pågældende papirer kørt til genanvendelse, uden at der havde været nogen form for kontrol hermed. Sekretariatet oplyste, at det ikke var muligt at identificere, hvem der var berørt af sikkerhedsbruddet, og der havde heller ikke været indikationer på, at personoplysninger var kommet til nogens kendskab. Sekretariatet valg-te generelt at orientere om sikkerhedsbruddet gennem nyheder på Da-tatilsynets hjemmeside.
Efter at sagen havde været behandlet i Datarådet fandt Datatilsynet ik-ke anledning til at indgive en politianmeldelse, men udtalte i stedet al-vorlig kritik. Sikkerhedsbruddet i Datatilsynet stod på kontinuerligt i 6 måneder fra den 3. februar til den 5. august 2020. Datatilsynet indgav
68
for sen anmeldelse om sikkerhedsbruddet, og Datatilsynet orienterede kun de berørte om sikkerhedsbruddet igennem pressen.
Skulle landsretten i denne sag nå frem til, at forordningen er overtrådt, og at en eller flere af appellanterne har lidt en skade, vil årsagen til denne skade kunne bero på mange kilder, herunder f.eks. sikkerheds-bruddet hos Datatilsynet.
Vi kan konstatere, at appellanterne indtil videre ikke har fokuseret på at godtgøre en årsagssammenhæng mellem sikkerhedsbruddet i 2018 i Gladsaxe Kommune og den påståede skade.
Det er efter vores opfattelse klart ikke godtgjort, at der er en sådan år-sagssammenhæng, og da de tre betingelser er kumulative, kan der alle-rede af den grund ikke betales kompensation/erstatning i denne sag.
Skulle landsretten alligevel nå frem til, at alle tre betingelser er opfyldt, skal landsretten tage stilling til, hvordan størrelsen af erstatnin-gen/kompensationen skal fastsættes.
3.7 Hvordan skal kompensationen i givet fald fastsættes?
EU-Domstolen har fastslået, at det er den nationale ret, der skal tage stilling til størrelsen af erstatningen/kompensationen.
EU-Domstolen har i dom af 20. juni 2024 i de forenede sager C-182/22 og C-189/22 uddybet de regler, der gælder for størrelsen af erstatnin-gen/kompensationen. I sagen var et tysk firmas værdipapirportefølje blevet hacket af tredjemand. Her slog EU-Domstolen endnu engang fast, at det i givet fald er den nationale domstol, der skal fastsætte stør-relsen af erstatningen/kompensationen, og EU-Domstolen fastslog her-udover i præmis 46, at det kan være i overensstemmelse med EU-retten, hvis der fastsættes en ubetydelig erstatning.
Såfremt Østre Landsret i en eller flere af disse sager måtte komme frem til, at Gladsaxe Kommune skal betale erstatning/kompensation, gøres det gældende, at en fuld erstatning/kompensation alene skal udgøre en ubetydelig erstatning.
Det er efter vores opfattelse klart ikke godtgjort, at der er en sådan år-sagssammenhæng, og da de tre betingelser er kumulative, kan der alle-rede af den grund ikke betales kompensation/erstatning i denne sag.
3.8 Særligt om pligten til at anmelde et sikkerhedsbrud og databe-skyttelsesforordningens artikel 33 og 34
Gladsaxe Kommune har anmeldt sikkerhedsbruddet og i øvrigt efterle-vet databeskyttelsesforordningens artikel 33 og 34.
Det forhold, at der konstateres et sikkerhedsbrud, som Datatilsynet skal orienteres om, medfører ikke nødvendigvis, at der er tale om en over-trædelse af artikel 32. Det følger af praksis fra EU-domstolen og af Da-
69
tatilsynets praksis i for eksempel Datatilsynets afgørelse af 18. juni 2020 om uautoriseret adgang til videooptagelser i Salling.
3.9 Særligt om fortolkningen af databeskyttelseslovens § 40
I de særlige bemærkninger til databeskyttelseslovens § 40 anføres det, at der ”henvises om forordningens artikel 82 i det hele til betænknin-gen, side 910-918” .
Om disse forarbejder har byretten alene anført følgende i dommen på side 99:
”Det er ikke i databeskyttelsesforordningens artikel 82 og databe-skyttelseslovens § 40 defineret, hvad der skal forstås ved immateri-el skade. Bemærkningerne til databeskyttelseslovens § 40 kan for-stås således, at der ikke i forordningens artikel 82 er hjemmel til godtgørelse for ikke-økonomisk skade.”
På trods af forarbejdernes udtrykkelige henvisning til det anførte i be-tænkningen, hvilket er med til at give denne del af betænkningen ka-rakter af forarbejder, er der slet ikke anført noget i byrettens begrundel-se og resultat om indholdet af betænkningen.
Professor, dr. Jur. Henrik Udsen har i en artikel i U 2020B.226 (se side 4 i den trykte artikel) anført følgende om fortolkningen af forarbejderne til § 40 og henvisningen til det anførte i betænkningen om fortolkningen af artikel 82:
”Bestemmelsen i § 40 indebærer, at overtrædelser af de nationale særbestemmelser i databeskyttelsesloven også omfattes af art. 82. I det omfang en behandling af personoplysninger alene udgør en krænkelse af databeskyttelsesloven men ikke af forordningen, op-står spørgsmålet, om eventuel godtgørelse kan kræves efter EAL § 26 eller art. 82. Når krænkelsen ikke er omfattet af forordningen, kan medlemsstaterne selv fastsatte om og efter hvilke regler, der kan kræves godtgørelse. Databeskyttelsesloven henviser til art. 82, men som beskrevet forudsættes i lovbemærkningerne, at art. 82 ik-ke omfatter godtgørelseskrav. Lovgivers intention har således ikke været, at henvisningen skulle give ret til godtgørelse efter art. 82. På den baggrund må det antages, at godtgørelse for krænkelser af databeskyttelsesloven, der ikke samtidig udgør en krænkelse af forordningen, reguleres af EAL § 26.”
[…]
”I praksis må det forventes, at nationale domstole vil tage ud-gangspunkt i nationale regler og praksis ved udfyldningen af art. 82, indtil en harmoniseret praksis måtte have etableret sig […]”
Vurderer landsretten, at der er tale om overtrædelse af en dansk regel f.eks. i databeskyttelsesloven, skal landsretten under alle omstændig-heder være opmærksom på, at der i så fald ikke vil være tale om over-trædelse af forordningen, og at spørgsmålet derfor alene vil være, om der konkret er grundlag for i medfør af erstatningsansvarslovens § 26, at tilkende kompensation for ikke økonomisk skade.
70
EU-Domstolen har f.eks. i dom af 20. juni 2024 i sag C-590/22 også fast-slået dette i præmis 48- 50, allerede fordi overtrædelsen af sådanne na-tionale regler ikke er omfattet af artikel 82 i databeskyttelsesforordnin-gen sammen med 146. betragtning hertil.
Der skal således sondres mellem eventuelle overtrædelser af forordnin-gen og overtrædelser danske regler.
Her vil det også forsat skulle tillægges betydning, hvordan den danske lovgiver har valgt at fortolke reglerne.
I den kommenterede databeskyttelsesforordning mv. på side 922-923 har Kristian Korfits Nielsen, der som højesteretsdommer bl.a. var førstevoterende i U 2020.1615 H, og som er formand for Datarådet, an-ført følgende om fortolkningen af artikel 82:
”På baggrund af en grundig gennemgang af retskildegrundlaget, herunder den foreliggende praksis fra EU-Domstolen og EU-lovgiver, konkluderes det i bet. 1565/2017, side 910-914, at der ikke er tilstrækkeligt grundlag for at fastslå, at godtgørelse for ikke-økonomisk skade er omfattet af retten til erstatning for materiel el-ler immateriel skade efter artikel 82, stk. 1. I hvert fald ikke, hvis der i en medlemsstat ikke normalt uden særskilt hjemmel er mu-lighed for erstatning for ikke-økonomisk tab. Immateriel skade i forordningens forstand må, i en dansk kontekst, antageligvis for-stås som den almindelige eller rene formueskade, som er lidt som følge af overtrædelse af forordningens bestemmelser, hvilket som nævnt f.eks. kan være et tab i form af mistet omsætning eller fralæggelse af den retsstridigt indvundne berigelse.
Artikel 82, stk. 1, ændrer ikke på den mulighed, der eksisterer efter dansk ret, til i visse tilfælde at tilkende godtgørelse for tort i medfør af erstatningsansvarslovens § 26 for en ikke-økonomisk skade. En sådan bestemmelse må anses for at være en sanktion efter artikel 84, der er med til at sikre forordningens effektive efterlevelse.”
Hidtidig praksis efter den tidligere bestemmelse i persondatalovens § 69 ville også skulle tillægges vægt, hvis der er tale om en overtrædelse af danske regler, og her er godtgørelse for ikke-økonomisk skade klart blevet afvist af Højesteret, jf. f.eks. U 2017.98 H og U 2020.1879 H.
Sammenfattende gøres det gældende, at appellanterne allerede som følge af ovenstående ikke kan få medhold i, at der skal udbetales en godtgørelse for en eventuel overtrædelse af de danske regler.
…”
Landsrettens begrundelse og resultat
Sagerne angår, om appellanterne, Appellant 1, tidligere Sagsøger 1, Appellant 2, tidligere Sagsøger 3, Appellant 3, tidligere Sagsøger 4, Appellant 4, tidligere Sagsøger 5, Appellant 5, tidligere Sagsøger 6 og Appellant 6, tidligere Sagsøger 2, i medfør af databeskyttelseslovens § 40, jf. databeskyttelses-
71
forordningens artikel 82, stk. 1, har ret til godtgørelse for tort fra indstævnte, Gladsaxe Kommune, i anledning af hævdet retsstridig behandling af personda-ta. Omstændighederne er nærmere, at der fra kommunens rådhus i Søborg mel-lem den 30. november og 2. december 2018 blev stjålet bl.a. en bærbar compu-ter, hvor der på computerens lokale, ikke krypterede drev var lagret et regneark – til benyttelse for mellemkommunal økonomisk refusion – med forskellige op-lysninger om ca. 20.000 borgere, herunder appellanterne.
Efter databeskyttelseslovens § 40 har enhver person, som har lidt materiel eller immateriel skade som følge af en ulovlig behandlingsaktivitet eller enhver an-den behandling i strid med denne lov og databeskyttelsesforordningen, ret til erstatning efter forordningens artikel 82. Efter forordningens artikel 82, stk. 1, har enhver, som har lidt en materiel eller immateriel skade som følge af en overtrædelse af forordningen, ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren.
Det påhviler appellanterne at godtgøre, at betingelserne for erstatning er op-fyldt, herunder i første række at der er sket en overtrædelse af forordningens bestemmelser, jf. bl.a. EU-Domstolens dom af 25. januar 2024 i sag C-687/21, præmis 61, eller en behandling i strid med databeskyttelsesloven.
Ad principperne for behandling af personoplysninger og lovlig behandling
Der er enighed om, at Gladsaxe Kommune i relation til regnearkets oplysninger om appellanternes navne og adresser har foretaget behandling af personoplys-ninger, jf. databeskyttelsesforordningens artikel 4, nr. 1 og 2, og i relation til op-lysningerne om ydelser på ”social- og handicapområdet og/eller sundheds- og rehabiliteringsområdet” om Appellant 1, tidligere Sagsøger 1, Appellant 2, tidligere Sagsøger 3 og Appellant 5, tidligere Sagsøger 6 tillige har foretaget behandling af helbredsoplys-ninger, jf. forordningens artikel 4, nr. 2 og 15. Det tiltrædes, at de urigtige op-lysninger i regnearket om institutionsophold på Egebo for Appellant 3, tidligere Sagsøger 4 ved-kommende udgør helbredsoplysninger om ham.
Landsretten tiltræder af de grunde, som byretten har anført, herunder efter det af Gladsaxe Kommune til Datatilsynet og under sagen oplyste, at der ikke er grundlag for at fastslå, at behandlingen af oplysningerne om appellanterne er sket i strid med principperne om lovlighed, rimelighed og gennemsigtighed, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra a, om formålsbegrænsning, jf. litra b, eller om dataminimering, jf. litra c.
Det bemærkes i den forbindelse, at det må lægges til grund, at den fejlagtige registrering af Appellant 3, tidligere Sagsøger 4 med ophold på institutionen Egebo skyldes, at det på daværende tidspunkt ikke var teknisk muligt at udtrække data for institutioner, hvor der kunne angives etagenummer mv. ud for en given adresse, og at kom-
72
munen nu har en anden løsning, hvor der kan foretages udtræk for beboere på de specifikke institutionsadresser.
Landsretten finder på den baggrund, at der ikke er tilstrækkeligt grundlag for at anse det for godtgjort, at Gladsaxe Kommune ved behandlingen har tilsidesat princippet om rigtighed, herunder at der ikke er foretaget de fornødne rimelige skridt til at sikre, at de urigtige oplysninger blev berigtiget, jf. databeskyttelses-forordningens art. 5, stk. 1, litra d.
Landsretten finder som byretten endvidere, at behandlingen af oplysningerne var nødvendig af hensyn til Gladsaxe Kommunes gennemførelse af økonomisk kontrol ved den mellemkommunale refusion, og at dette formål er omfattet af databeskyttelsesforordningens artikel 6, stk. 1, litra e, og artikel 9, stk. 2, litra f. Det oplyste om Appellant 3's, tidligere Sagsøger 4 institutionsophold kan henset til kommunens da-værende begrænsninger i dataudtræk om institutionsophold ikke føre til en ændret vurdering.
Det bemærkes i tilknytning hertil, at landsretten ikke finder grundlag for at til-sidesætte Gladsaxe Kommunes oplysninger i notatet af 21. januar 2019 til Data-tilsynet om, at der ikke kan ske kontrol af korrekt registrering af den enkelte borger uden brug af cpr-nummer. Behandlingen af oplysningerne om appellan-ternes personnumre må således anses for at være sket i overensstemmelse med databeskyttelseslovens § 11, stk. 1, hvorefter offentlige myndigheder kan be-handle oplysninger om personnummer med henblik på en entydig identifika-tion eller som journalnummer.
Ad behandlingssikkerheden
Spørgsmålet er herefter, om der er sket overtrædelse af databeskyttelsesforord-ningens bestemmelser om behandlingssikkerhed, jf. forordningens artikel 5, stk. 1, litra f, og artikel 32.
Landsretten bemærker herved, at det følger af EU-Domstolens dom af 25. janu-ar 2024 i sag 687/21, præmis 42 og 43, at bevisbyrden under et erstatningssøgs-mål på grundlag af forordningens artikel 82 for, at personoplysninger behand-les på en måde, der sikrer tilstrækkelig sikkerhed for disse oplysninger, jf. for-ordningens artikel 5, stk. 1, litra f, og at de sikkerhedsforanstaltninger, som den dataansvarlige har gennemført i medfør af artikel 32, er passende, påhviler den dataansvarlige.
Det påhviler derfor Gladsaxe Kommune at godtgøre, at de gennemførte tekni-ske og organisatoriske foranstaltninger under iagttagelse af en vis skønsmargen var tilpasset risikoen for databrud under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og denne behandlings karakter, om-
73
fang, sammenhæng og formål, jf. herved EU-Domstolens dom af 14. december 2023 i sag C-340/21, præmis 42 og 43.
Det fremgår af sagen, at kommunen havde udarbejdet en informationssikker-hedshåndbog, der var revideret i maj 2018, samt ”De 15 sikkerhedsbud” , og der er enighed om, at lagringen af regnearket med oplysninger om ca. 20.000 borge-re, herunder appellanterne, på computerens lokale drev udgjorde en overtræ-delse af retningslinjerne i disse dokumenter. Det bemærkes dog, at der – trods retningslinjerne og det i Gladsaxe Kommunes notat af 2. juni 2021 om datasik-kerhed ved mellemkommunal økonomisk kontrol i 2018 anførte – har været fremsendt mails til medarbejdere i Gladsaxe Kommune i juni 2018, hvorefter det i forbindelse med overgang til et nyt system først blev meddelt, at medar-bejderne ved arbejde i sager i en nærmere angivet periode måtte gemme en ko-pi af dokumenter på computernes skrivebord, og senere at det blev ”klart anbe-falet” i stedet at gemme dokumenterne på netværksdrevet.
satoriske foranstaltninger var tilpasset risikoen for databrud under hensyntagen til det på tidspunktet aktuelle tekniske niveau, implementeringsomkostninger-ne og behandlingens karakter, omfang, sammenhæng og formål.
74
Landsretten tiltræder på denne baggrund, at der i forbindelse med databruddet skete en overtrædelse af databeskyttelsesforordningens artikel 5, stk. 1, litra f, jf. artikel 32, stk. 1 og 2.
Ad de påberåbte immaterielle skader
Spørgsmålet er herefter, om appellanterne som følge af overtrædelsen af data-beskyttelsesforordningens bestemmelser har lidt en immateriel skade i forord-ningens artikel 82, stk. 1’s forstand.
Det følger af EU-Domstolens praksis, jf. bl.a. dom af 20. juni 2024 i sag C-590/22, præmis 32, at den frygt, som en registreret nærer for, at dennes personoplys-ninger potentielt kan blive misbrugt af tredjemand som følge af en overtrædelse af forordningen i sig selv kan udgøre en immateriel skade. Tab af kontrol med personoplysninger – selv i et kort tidsrum – kan udgøre en immateriel skade, der giver ret til erstatning, forudsat at den registrerede godtgør, at vedkom-mende faktisk har lidt en sådan skade, uanset hvor lille den måtte være, idet den blotte tilsidesættelse af bestemmelserne i forordningen ikke er tilstrækkelig til at give erstatning på dette grundlag, jf. præmis 33. Den blotte henvisning til en frygt – uden godtgjorte negative konsekvenser – kan ikke give anledning til erstatning, jf. præmis 35. En frygt for, at personoplysninger som følge af en overtrædelse af forordningen er videregivet til tredjemand, uden at det godtgø-res, at dette faktisk har været tilfældet, er tilstrækkelig til at begrunde ret til er-statning, for så vidt denne frygt og de negative konsekvenser af denne er behø-rigt bevist, jf. præmis 36.
Det påhviler i den forbindelse appellanterne at godtgøre, at de hver især faktisk har lidt en sådan skade, herunder at appellanternes påberåbte frygt for fremti-digt misbrug af oplysningerne i regnearket kan anses for velbegrundet under de specifikke omstændigheder og i forhold til appellanterne, jf. EU-domstolens dom af 14. december 2023 i sag C-340/21, præmis 85.
De omhandlede summariske oplysninger om appellanterne indgik blandt ca. 20.000 andre borgere i et regneark, der var lagret lokalt på en enkelt bærbar computer, der – sammen med andre bærbare computere, beklædningsgenstan-de og en pose med tom pantemballage – blev stjålet fra kommunens rådhus, og der findes efter bevisførelsen for landsretten ikke grundlag for at fastslå, at op-lysningerne i regnearket rent faktisk er kommet til uvedkommende tredje-mands kundskab. Det findes herunder ikke godtgjort, at der er årsagssammen-hæng mellem tyveriet af computeren og det, som Appellant 2, tidligere Sagsøger 3 og Appellant 4, tidligere Sagsøger 5 har været udsat for i relation til henholdsvis NemID og hæv-ninger fra bankkonto.
På denne baggrund og efter en samlet vurdering af de i sagen foreliggende op-lysninger finder landsretten, at appellanterne ikke alene med henvisning til det
75
passerede og ved de afgivne forklaringer om egne opfattelser og tanker herom har godtgjort, at de som følge af det skete databrud har lidt immateriel skade. Det bemærkes, at appellanten Appellant 6, tidligere Sagsøger 2 ikke har afgivet forkla-ring i sagen.
Da betingelserne for erstatning herefter ikke er opfyldt, tages Gladsaxe Kom-munes stadfæstelsespåstand til følge.
Sagsomkostninger
Landsretten finder under hensyn til sagens karakter, og at Gladsaxe Kommune heller ikke for landsretten har fået medhold i forhold til det for sagen væsentli-ge spørgsmål om behandlingssikkerhed, at ingen af parterne skal betale sagsomkostninger til den anden part eller til statskassen, hvorfor sagens om-
kostninger for landsretten ophæves.
THI KENDES FOR RET:
Byrettens dom stadfæstes.
Ingen af parterne skal betale sagsomkostninger for landsretten til den anden part eller til statskassen.
76
*Berigtiget i medfør af retsplejelovens § 221, stk. 1, den 19/11-2024.
Publiceret til portalen d. 26-11-2024 kl. 08:10
Modtagere: Advokat (H) Eva Tofteberg Persson, Indstævnte Gladsaxe Kommune (afsluttet), Advokat (H) Anders Valentiner-Branth, Appellant 1, tidligere Sagsøger 1 (afsluttet), Biintervenient (afsluttet)