Østre Landsret har tilkendt en borger 2.500 kr. i erstatning for immateriel skade efter, at en kommune ved en aktindsigt fejlagtigt udleverede helbredsoplysninger til tredjemand. Kravet fra den berørte borgers ægtefælle vedrørende udlevering af økonomiske oplysninger blev afvist, da han ikke ansås for at have lidt immateriel skade. Afgørelsen er anket til Højesteret.
Landsrettens afgørelse
Parterne var enige om, at kommunen havde overtrådt databeskyttelsesforordningen ved uberettiget at videregive helbredsoplysninger, som er særlige kategorier af data. Tvisten angik derfor, om der var lidt immateriel skade efter GDPR art. 82. Landsretten bekræftede, at erstatning kan tilkendes uden økonomisk tab, når skaden er reel.
Kommunen gjorde gældende, at der var tale om en enkeltstående menneskelig fejl, som burde føre til ansvarsfritagelse efter art. 82, stk. 3. Retten afviste anbringendet og fastslog, at den dataansvarlige som udgangspunkt hæfter for medarbejderes fejl, også når de er enkeltstående. Erstatningsniveauet blev fastsat ud fra oplysningernes følsomhed og den konkrete sammenhæng, herunder at videregivelsen indgik i en familieretlig konflikt.
Praktiske konsekvenser for dataansvarlige
Dommen markerer et praksisnybrud, idet det er første danske tilkendelse af erstatning for immateriel skade efter GDPR art. 82. For både offentlige myndigheder og private virksomheder understreger den, at databrud kan udløse erstatningsansvar, selv uden økonomisk tab, når der foreligger en reel ikke-økonomisk skade.
Risikoen skærpes ved behandling af følsomme oplysninger. Kontrolspor, dokumenterede procedurer og målrettet træning får øget vægt i vurderingen af, om virksomheden har handlet forsvarligt, men fritager ikke i sig selv for ansvar ved utilsigtet videregivelse.
Følgende forebyggende tiltag bør prioriteres for at reducere risikoen for brud og efterfølgende krav:
- Etablere og efterleve klare procedurer for udlevering af personoplysninger, især for særlige kategorier.
- Indregne krav om godtgørelse for immateriel skade ved databrud i risikostyring og incident response.
- Gennemføre løbende træning, stikprøvekontroller og dokumentation af tekniske og organisatoriske foranstaltninger.
Proces og perspektiv
Sagen er anket til Højesteret, som forventes at afklare tærsklen for immateriel skade og rækkevidden af ansvarsfritagelse efter art. 82, stk. 3. En stadfæstelse vil konsolidere, at enkeltstående fejl ikke i sig selv fritager den dataansvarlige for ansvar.
Udfaldet kan få betydning for fremtidig dansk praksis og harmonisering med EU-retten. Indtil endelig afgørelse foreligger, bør dataansvarlige som minimum opdatere procedurer for aktindsigt og intern kontrol med fokus på risici ved videregivelse til tredjemand.
