Den Europæiske Unions Domstols holdning til erstatning for brud på persondatasikkerheden er, at det er muligt for en virksomhed at blive holdt ansvarlig for skader mod registrerede. Det samme gælder for organisationer og offentlige organer. Bemærk, at erstatning og sanktioner ikke er de samme. Det skal ikke nødvendigvis være en økonomisk skade, der er opstået, for at de registrerede har ret til erstatning. Registrerede kan også tilkendes erstatning, hvis de også vedrører immateriel skade.
Forskellen mellem erstatning og bøder
Det kan være nyttigt at forstå forskellen mellem erstatning og bøder, da mange forvirrer begreberne. Når en tilsynsmyndighed udsteder en bøde til en virksomhed for overtrædelse af GDPR, modtager de berørte registrerede ingen del af pengene. I stedet betaler virksomheden bøder til staten. På den anden side kan den registrerede kræve erstatning, men i sådanne tilfælde kræver tilsynsmyndigheden ikke erstatning. I stedet skal den registrerede anlægge sit eget søgsmål mod den pågældende virksomhed. Desuden kan den registrerede kontakte virksomheden direkte for at forsøge at nå til enighed om en rimelig kompensation, inden sagen indbringes for en domstol, for at forsøge at spare tid og ressourcer.
Den Europæiske Unions Domstols holdning til erstatning for brud på persondatasikkerheden, som registrerede kan have ret til
Den Europæiske Unions Domstol har truffet en præjudiciel afgørelse efter anmodning fra Bulgariens øverste forvaltningsdomstol. Dette skete, efter at den bulgarske skatteforvaltning havde været mål for et cyberangreb. Cyberangrebet resulterede i, at millioner af menneskers personoplysninger blev offentliggjort på internettet. Efterfølgende havde de berørte personer krævet erstatning fra skattemyndighederne. De gjorde gældende, at hændelsen kan forårsage immateriel skade, og krævede derfor erstatning herfor.
Domstolens bemærkninger
EU-Domstolen fastslog, at det er muligt for registrerede at kræve erstatning for enhver immateriel skade, der kan opstå i fremtiden som følge af bruddet på persondatasikkerheden. På den anden side skal der være en velbegrundet frygt.
En vigtig faktor, som retten skal tage hensyn til i forbindelse med erstatningsbeløbet og erstatningsansvaret, er de garantier, som virksomheden har indført for at beskytte personoplysninger. Virksomhederne skal træffe passende organisatoriske og tekniske sikkerhedsforanstaltninger. Jo vigtigere personoplysningerne er, jo højere er kravene. Det er muligt, at en domstol finder, at en virksomhed har gjort så meget som muligt for at beskytte personoplysninger, men at mere kvalificerede hackere kan få adgang til dem i alle tilfælde og derfor ikke kan drages til ansvar.
Den Europæiske Menneskerettighedsdomstols dom om dør-til-dør-binding af religiøse samfund
Den finske databeskyttelsesmyndighed forbød et religiøst samfund at tage notater, når de underviste ved at knuse døre. Databeskyttelsesrådet fandt, at sammenslutningen skal overholde GDPR i forbindelse med en sådan behandling, hvilket sammenslutningen ikke tog i betragtning. Sagen gik hele vejen til den øverste forvaltningsdomstol, som anmodede Den Europæiske Menneskerettighedsdomstol om en præjudiciel afgørelse. Menneskerettighedsdomstolen fastslog, at samfundet skal indhente samtykke ved behandling af personoplysninger fra dør til dør.
