Landsretten stadfæster: Kommune dømt for brud på datasikkerhed, men ingen erstatning til borgere

Sagen omhandler et databrud hos Gladsaxe Kommune i slutningen af 2018, hvor computere med personoplysninger om ca. 20.000 borgere, herunder appellanterne, blev stjålet. Oplysningerne omfattede navne, adresser, CPR-numre og helbredsdata, som blev brugt til mellemkommunal refusion. Appellanterne krævede erstatning for immateriel skade som følge af psykisk påvirkning og frygt for misbrug af deres data, idet to af dem oplevede identitetstyveri. De gjorde gældende, at kommunen havde overtrådt principperne for behandling af personoplysninger og behandlingssikkerhed i henhold til Databeskyttelsesforordningen og Persondataloven. Gladsaxe Kommune bestred ansvar og anførte, at databehandlingen var lovlig, og at sikkerhedsforanstaltningerne var tilstrækkelige, samt at tyveriet var en kriminel handling fra tredjemand. Sagen inddrog nyere praksis fra EU-Domstolen om fortolkningen af begrebet 'immateriel skade' og betingelserne for erstatning.

Sagens Baggrund og Forløb

Gladsaxe Kommune havde i forbindelse med overgang til et nyt sagsbehandlingssystem (SBSYS) udsendt en guideline, der anbefalede medarbejdere midlertidigt at gemme dokumenter lokalt på computerens C-drev. Dette var i strid med kommunens eksisterende informationssikkerhedsinstrukser, som forbød lagring af personfølsomme oplysninger lokalt.

Den 30. november 2018 blev fire computere stjålet fra Gladsaxe Rådhus. En defekt lås på en indvendig dør til en af fløjene blev konstateret. Kommunen har efterfølgende oplyst, at der ikke er modtaget oplysninger om, at dataene skulle være misbrugt.

Appellanternes Påstande og Oplevelser

Seks appellanter, tidligere sagsøgere, gentog deres påstande fra byretten om erstatning for immateriel skade, varierende fra 10.000 kr. til 30.000 kr. med procesrente. Appellanterne forklarede, at databruddet havde medført betydelig psykisk påvirkning, herunder angst, søvnforstyrrelser, mistillid til kommunen og frygt for misbrug af deres oplysninger. To af appellanterne oplevede identitetstyveri og tømning af bankkonto, som de mente var relateret til databruddet. En appellant havde desuden urigtige helbredsoplysninger registreret.

Appellanterne gjorde gældende, at Gladsaxe Kommune havde overtrådt principperne for behandling af personoplysninger i Databeskyttelsesforordningen artikel 5, stk. 1, litra a, b, c, d og f samt reglerne om behandlingssikkerhed i Databeskyttelsesforordningen artikel 32. De henviste til, at Datatilsynet havde betegnet overtrædelsen som "meget alvorlig". De påberåbte sig desuden Persondataloven § 40 og Erstatningsansvarsloven § 26 for tortgodtgørelse.

Gladsaxe Kommunes Anbringender

Gladsaxe Kommune påstod stadfæstelse af byrettens dom og anførte, at kommunen ikke havde pådraget sig et erstatningsansvar. Kommunen anerkendte databruddet, men fastholdt, at behandlingen af personoplysninger var lovlig i henhold til Databeskyttelsesforordningen artikel 6, stk. 1, litra e og Databeskyttelsesforordningen artikel 9, stk. 2, litra f. De argumenterede for, at tyveriet var en kriminel handling fra tredjemand, som kommunen ikke var ansvarlig for. Kommunen henviste til, at de havde implementeret passende sikkerhedsforanstaltninger baseret på risikovurderinger og internationale standarder (ISO 27001 og 27002).

EU-Domstolens Praksis

Sagen inddrager nyere praksis fra EU-Domstolen vedrørende fortolkningen af Databeskyttelsesforordningen artikel 82, stk. 1 om ret til erstatning for immateriel skade. Dommene (bl.a. C-340/21, C-687/21, C-456/22, C-300/21, C-590/22, C-667/21, C-741/21) har fastslået, at:

• En overtrædelse af forordningen i sig selv ikke er tilstrækkelig til erstatning; der skal være lidt en skade.
• Begrebet "immateriel skade" skal fortolkes bredt og kræver ikke en "bagatelgrænse".
• Frygt for fremtidigt misbrug kan udgøre immateriel skade, hvis den er velbegrundet og behørigt bevist.
• Bevisbyrden for skade og årsagssammenhæng påhviler den registrerede.
• Erstatningen skal være kompenserende, ikke straffende.

Østre Landsret stadfæstede byrettens dom. Landsretten fandt, at Gladsaxe Kommune havde overtrådt Databeskyttelsesforordningen artikel 5, stk. 1, litra f og Databeskyttelsesforordningen artikel 32, stk. 1 og 2 vedrørende behandlingssikkerhed, da personoplysninger var gemt lokalt på en ukrypteret computer i strid med kommunens egne retningslinjer. Kommunen havde ikke godtgjort, at de tekniske og organisatoriske foranstaltninger var tilpasset risikoen for databrud under de givne omstændigheder. Landsretten fandt dog ikke, at appellanterne havde godtgjort, at de som følge af databruddet havde lidt immateriel skade i Databeskyttelsesforordningen artikel 82, stk. 1's forstand. Den påberåbte frygt for fremtidigt misbrug blev ikke anset for tilstrækkeligt velbegrundet eller behørigt bevist. Der blev heller ikke fundet årsagssammenhæng mellem tyveriet af computeren og de identitetstyverier, to appellanter havde oplevet. Landsretten tiltrådte desuden, at behandlingen af oplysningerne var nødvendig og lovlig i henhold til Databeskyttelsesforordningen artikel 6, stk. 1, litra e og Databeskyttelsesforordningen artikel 9, stk. 2, litra f, og at princippet om rigtighed i Databeskyttelsesforordningen artikel 5, stk. 1, litra d ikke var tilsidesat vedrørende de urigtige oplysninger om institutionsophold for Appellant 3. Ingen af parterne blev pålagt at betale sagsomkostninger for landsretten.