Er personopplysningsloven § 30 i tråd med personvernforordningen?
1. Innledning
Etter personvernforordningen (1)Europaparlaments- og Rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [2016] OJ L 119/1. artikkel 82 nr. 1 har enhver person som «har lidd materiell eller ikke-materiell skade som følge av en overtredelse» av personvernforordningen «rett til å motta erstatning fra den behandlingsansvarlige eller databehandleren for den forvoldte skaden». Videre følger det av personopplysningsloven(2)Lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven). § 30 at «[d]en som er erstatningsansvarlig etter reglene i personvernforordningen artikkel 82, kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig».
I 2023 har Borgarting lagmannsrett avsagt en dom der krav om oppreisningserstatning for brudd på personvernforordningen ikke ble tatt til følge. Kort tid etter dommen, kom EU-domstolen med viktige avklaringer om hvordan personvernforordningen artikkel 82 skal praktiseres. Artikkelen analyserer tolkningen av personopplysningsloven § 30 i lagmannsrettens avgjørelse, og reiser spørsmålet om personopplysningsloven § 30 er i tråd med personvernforordningen tolket i lys av de siste avklaringene fra EU-domstolen.
2. Bakgrunnen for personopplysningsloven § 30
I EU har personvernforordningen direkte virkning i EUs medlemsland. Til tross for denne direkte virkningen, har noen av EUs medlemsland vedtatt egne erstatningsbestemmelser i nasjonale personvernlover som supplerer forordningen.(3)Se for eksempel dansk lov av 23. mai 2018 nr. 502 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger § 40.
Enkelte bestemmelser i personvernforordningen har såkalte «opening-clauses».(4)Emilia Mišćenić og Anna-Lena Hoffmann, The Role of Opening Clauses in Harmonization of EU Law: Example of The EU’s General Data Protection Regulation (GDPR) i EU and comparative law issues and challenges series (ECLIC) 4 (2020) side 44-61. Det vil si at medlemsstatene kan innføre nasjonale regler for å gjennomføre forpliktelsene i forordningen. Samtidig vil det være i strid med Traktatene(5)Traktat om Den Europeiske Union (TEU) og Traktat om Den Europeiske Unions Virkemåte (TEUV). om en slik nasjonal regel utgjør en hindring for forordningens direkte effekt.(6)Se for eksempel sak C-94/77 Fratelli Zerbone Snc v Amministrazione delle finanze dello Stato ECLI:EU:C:1978:17. I EØS skal en EØS-forordning «som sådan gjøres til del av avtalepartens interne rettsorden», jf. EØS-avtalens artikkel 7. Det kan derfor også potensielt være i strid med EØS-avtalen dersom norsk rett legger en hindring for en regel som følger direkte av personvernforordningen.
Artikkelen analyserer tolkningen av personopplysningsloven § 30 i lagmannsrettens avgjørelse, og reiser spørsmålet om personopplysningsloven § 30 er i tråd med personvernforordningen tolket i lys av de siste avklaringene fra EU-domstolen.
I norsk rett innførte lovgiver en egen bestemmelse om oppreisningserstatning i personopplysningsloven § 30 som viderefører ordlyden i den gamle personopplysningsloven(7)Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven). Opphevet.§ 49 femte ledd. I forarbeidene til den nye personopplysningsloven er formålet med en egen norsk erstatningsbestemmelse kort omtalt. Departementet henviser først til høringsnotatet der det ikke var foreslått en egen norsk erstatningsbestemmelse, og legger til grunn at personvernforordningen ikke «åpner for nasjonale tilpasninger for så vidt gjelder reglene om erstatning», jf. Prop. 56 LS (2017–2018) side 145.
Departementet viser videre til at en av høringsinstansene etterspurte en egen erstatningsbestemmelse i personopplysningsloven av «pedagogiske årsaker». Departementet foreslo derfor en egen erstatningsbestemmelse som skulle videreføre gjeldende rett etter personopplysningsloven fra 2000. Bakgrunnen for personopplysningsloven § 30 var altså å klargjøre at det eksisterte et grunnlag for oppreisningserstatning etter personvernforordningen artikkel 82 i norsk rett.(8)I den engelske versjonen av forordningen artikkel 82 brukes ordlyden «shall have the right to receive compensation». Den tidligere uklarheten om forordningen i seg selv hadde hjemmel for oppreisningserstatning kan skyldes bruken av «shall have» i stedet for «has». Forarbeidene inneholder ingen spor av at lovgiver mente å oppstille egne norske vilkår for oppreisningserstatning for brudd på personvernforordningen.(9)Se også Innst. 278 L (2017–2018) side 10.
Personvernforordningen har en egen oppreisningserstatningsbestemmelse i artikkel 82. Samtidig har personopplysningsloven en særskilt erstatningsbestemmelse med lik ordlyd som den gamle loven som gjennomførte personverndirektivet(10)Europaparlaments- og rådsdirektiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet) [1995] OJ L 281. Opphevet. fra 1995.(11)Etter direktivet var hver medlemsstat ansvarlig for å innføre egne erstatningsregler for brudd på direktivet, jf. artikkel 23 og fortalepunkt nr. 55 til direktiv 95/46/EF. Spørsmålet er om personopplysningsloven § 30 legger en hindring for gjennomføringen av personvernforordningen artikkel 82 i norsk rett? For å svare på spørsmålet er det nødvendig å tolke ny rettspraksis om personvernforordningen artikkel 82 og personopplysningsloven § 30, Borgarting lagmannsretts dom i sak LB-2022-46509.
3. Borgarting lagmannsretts dom i sak LB-2022-46509
Bakgrunnen for tvisten lagmannsretten behandlet i sak LB-2022-46509 var at en NAV-ansatt hadde vært involvert i en alvorlig bilulykke. På grunn av ulykken søkte hun om og fikk innvilget arbeidsavklaringspenger. Det lokale NAV-kontoret var både hennes arbeidsgiver og kontoret hun innledningsvis forholdt seg til ved søknaden om arbeidsavklaringspenger.
Spørsmålet er om personopplysningsloven § 30 legger en hindring for gjennomføringen av personvernforordningen artikkel 82 i norsk rett?
Den NAV-ansatte fikk mistanke om at noen av hennes kollegaer og ledere hadde gjort søk i brukersaken hennes fordi de hadde informasjon om hennes helsetilstand som hun ikke hadde informert dem om. Hun ba derfor om innsyn i egne personopplysninger og fikk innsyn i tilgangsloggen til NAVs fagsystemer der det fremgikk at det var gjort 1500 søk på henne og at 136 forskjellige NAV-ansatte hadde søkt opp brukersaken hennes.
Den NAV-ansatte kontaktet Datatilsynet som åpnet sak og ba om en redegjørelse fra NAV om personvernet til NAV-ansatte som også var brukere av NAV. Datatilsynet ba særlig NAV redegjøre for tilgangskontrollen innad i NAVs systemer. Etter å ha mottatt NAVs redegjørelse, konkluderte Datatilsynet med at NAV ikke hadde tilstrekkelige rutiner og tekniske løsninger for tilgangsstyring. De manglende rutinene og tekniske løsningene utgjorde en overtredelse av personvernforordningen artikkel 32 og artikkel 5 nr. 1 bokstav f), som handler om personopplysningssikkerheten og prinsippet om konfidensialitet og integritet.
Den NAV-ansatte tok ut stevning mot Staten ved Arbeids- og velferdsdirektoratet for Oslo tingrett. Saksøkeren krevde fastsettelsesdom for brudd på personvernforordningen artikkel 5, 12, 15 og 32 og oppreisningserstatning. Staten ved Arbeids- og velferdsdirektoratet ble frifunnet i Oslo tingrett, og saken ble anket til lagmannsretten.
Lagmannsretten begynte sin avgjørelse med å legge til grunn at NAV behandler betydelige mengder personopplysninger om store deler av landets befolkning, og at behandlingen ikke er frivillig fra de registrertes side. Videre fremhevet lagmannsretten at NAV som arbeidsgiver ikke skal ha tilgang til brukeropplysninger om egne ansatte. Lagmannsretten konkluderte med at manglene identifisert i Datatilsynets vedtak utgjorde brudd på personvernforordningen artikkel 5 nr. 1 bokstav f) og artikkel 32, og at NAV med enkle midler kunne ha skjermet personopplysninger om egne ansatte i brukersaker bedre.
I vurderingen av erstatningskravet etter personvernforordningen artikkel 82 og personopplysningsloven § 30 begynte lagmannsretten med å behandle spørsmålet om den ankede parten hadde lidt «materiell eller ikke-materiell» skade som følge av overtredelsen av personvernforordningen artikkel 5 nr. 1 bokstav f) og artikkel 32.
Den ankende part hevdet at hun hadde blitt påført en ikke-materiell skade som følge av overtredelsen av personvernforordningen som besto av integritetskrenkelse, psykisk belastning, stress og tids- og ressursbruk som følge av at en stor krets av ansatte og kollegaer i NAV hadde søkt opp hennes helseopplysninger i NAVs fagsystemer.
Lagmannsretten la til grunn at skadebegrepet i personvernforordningen artikkel 82 nr. 1 skal tolkes vidt, jf. fortalepunkt nr. 146 til forordningen. Videre utelukket ikke lagmannsretten at den NAV-ansattes belastninger kunne utgjøre en ikke-materiell skade etter forordningen artikkel 82 nr. 1. Lagmannsretten konkluderte likevel med at det ikke var bevist at det forelå en «skade», og at oppreisningserstatning i alle tilfeller ikke var rimelig etter personopplysningsloven § 30. I denne vurderingen vektla retten at de ikke fant det bevist at de 136 NAV-ansatte bevisst hadde snoket.(12)Det er ikke et vilkår om subjektiv skyld for oppreisningserstatning etter artikkel 82, se Gabriela Zanfir-Fortuna, ’Article 82 Right to compensation and liability’, i Christopher Kuner mfl. (red.), The EU General Data Protection Regulation (GDPR): A Commentary (New York, 2020; online edn, Oxford Academic), https://doi.org/10.1093/oso/9780198826491.003.0128. Videre la retten til grunn at det ikke medførte at oppslagene i systemene var illegitime bare fordi NAV i etterkant ikke kunne redegjøre for det tjenstlige behovet ved hvert oppslag.
Oppsummeringsvis konkluderte lagmannsretten med at oppreisningserstatning ikke var rimelig på bakgrunn av krenkelsens grovhet, økonomiske konsekvenser, og fordi andre sanksjoner var mer nærliggende, jf. Prop. 56 LS (2017–2018) side 145. Borgarting lagmannsrett fant at overtredelsene var en generell systemsvikt i NAVs rutiner og systemer, og ikke overtredelser av personvernforordningen direkte rettet mot den NAV-ansatte.(13)Ankemotparten anførte for lagmannsretten at oppreisningserstatning ikke kunne utledes for brudd på artikkel 32 og artikkel 5 fordi disse bestemmelsene ikke gir den registrerte rettigheter. Det har vært antatt i juridisk teori at oppreisningserstatning ikke er aktuelt ved brudd på organisatoriske plikter etter personvernforordningen og at erstatning kun vil være aktuelt ved brudd på bestemmelser som gir den registrerte rettigheter, jf. Norbert Nolte og C Werkmeister, Art. 25 DSGVO i Peter Gola og Dirk Heckmann (red.), DSGVO/BDSG (3rd edn., C.H. Beck 2022). Denne oppfatningen er imidlertid ikke i tråd med fortalepunkt nr. 146 og er tilbakevist i annen juridisk teori, jf. Gabriela Zanfir-Fortuna n (12). Det er heller ikke noe spor av en slik forståelse i C-300/21 omtalt nedenfor. Retten vektla også at NAV hadde iverksatt tiltak i etterkant etter pålegg fra Datatilsynet, og at oppreisningserstatning ville få «et økonomisk omfang det er vanskelig å overskue».(14)Lagmannsretten dom ble anket til Høyesterett. Høyesteretts ankeutvalg nektet anken fremmet i beslutning av 24. mai 2023 i sak HR-2023-964-U. Advokatfirmaet Baudenbacher Kvernberg opplyser på sine nettsider at de på vegne av den NAV-ansatte har klaget saken inn for EMD.
4. EU-domstolens dom i sak C-300/21
Kort tid etter at Borgarting lagmannsrett avsa dom i sak LB-2022-46509 kom EU-domstolen med viktige avklaringer om personvernforordningen artikkel 82 i dommen C-300/21 UI mot Österreichische Post AG.(15)Sak C-300/21 UI mot Österreichische Post AG ECLI:EU:C:2023:370. Saken for EU-domstolen gjaldt selskapet som er ansvarlig for post- og pakkehåndtering i Østerrike. Postselskapet hadde samlet inn sosiale og demografiske opplysninger om innbyggerne. Denne informasjon ble behandlet av en algoritme(16)En algoritme er en beskrivelse av steg eller operasjoner et dataprogram bruker for å nå et mål eller løse en oppgave. Se ytterligere på https://snl.no/algoritme sist besøkt 18.11.2023. til å lage gruppetilhørigheter for forskjellige folk som plasserte dem i kategorier etter hvilke politiske partier de mest sannsynlig sympatiserte med. Gruppetilhørighetene ble solgt av postselskapet til tredjeparter som brukte dem til å sende ut målrettet markedsføring.
Ved bruk av forskjellige statistiske modelleringsmetoder hadde postselskapet funnet ut at det var en høy sannsynlighet for at klageren i saken for EU-domstolen hadde tilhørighet til et spesielt populistisk parti på høyresiden i den østerrikske partipolitikken. Denne partitilhørigheten ble brukt av postselskapet til å knytte klageren til gruppetilhørigheten, men informasjonen var ikke solgt til tredjeparter.
Klageren for EU-domstolen mislikte tanken på å bli knyttet til det spesifikke partiet gjennom slike statistiske modelleringsmetoder uten å ha samtykket til det. Tilknytningen mellom han og det politiske partiet medførte at vedkommende følte seg opprørt, han mistet selvtillit og han følte seg eksponert av postselskapet. Klageren hadde ikke opplevd noen annen skade eller ulempe enn slik følelsesmessig ubehag, ifølge klagen til EU-domstolen.
Den østeriske mannen begynte med å ta ut stevning mot postselskapet for østerrikske domstoler med krav om opphør av behandlingen og oppreisningserstatning på 1000 euro. Saken gikk sin gang i det østeriske rettssystemet før følgende spørsmål ble forelagt EU-domstolen:
Er det et vilkår for å ilegge oppreisningserstatning etter personvernforordningen artikkel 82, i tillegg til brudd på bestemmelsene i forordningen, at saksøkeren må ha lidt en skade, eller er brudd på bestemmelsene i personvernforordningen i seg selv tilstrekkelig for å ilegge oppreisningserstatning?
Krever oppreisningserstatning en vurdering av andre EU-rettslige standarder enn effektivitets- og ekvivalensprinsippet?
Er det et krav om oppreisning for ikke-økonomisk skade etter personvernforordningen artikkel 82 at det har skjedd en konsekvens eller effekt for den registrerte som går utover en følelse av ubehag?(17)Egen oversettelse. Spørsmålene i den engelske versjonen av dommen i sak C-300/21 er formulert slik:« (1)Does the award of compensation under Article 82 of [the GDPR] also require, in addition to infringement of provisions of the GDPR, that an applicant must have suffered harm, or is the infringement of provisions of the GDPR in itself sufficient for the award of compensation? (2) Does the assessment of the compensation depend on further EU-law requirements in addition to the principles of effectiveness and equivalence?(3) Is it compatible with EU law to take the view that the award of compensation for non-material damage presupposes the existence of a consequence [or effect] of the infringement of at least some weight that goes beyond the upset caused by that infringement?»
I det følgende vil de mest sentrale delene av EU-domstolens dom bli benyttet for å klarlegge om den norske personopplysningsloven § 30 er i samsvar med personvernforordningen artikkel 82.
EU-domstolen kom til at det fremgår av konsistent rettspraksis at EU-rettslige krav uten en eksplisitt henvisning til nasjonal rett må tolkes autonomt og helhetlig i EU. Begrepene brukt i personvernforordningen artikkel 82, «materiell eller ikke-materiell skade» og «erstatning for (…) den forvoldte skade», inneholder ikke noen henvisninger til nasjonal rett. Disse begrepene må derfor forstås som autonome EU-rettslige begreper som skal tolkes homogent innad i EU.(18)C-300/21 avsnitt 30).
Videre kom EU-domstolen til at personvernforordningen artikkel 82 inneholder tre kumulative vilkår.
Det må foreligge en «skade» som er «forvoldt» av en behandlingsansvarlig eller databehandler.
Det må foreligge et brudd på en bestemmelse i personvernforordningen.
Det må være årsakssammenheng mellom skaden og bruddet på bestemmelsen(e) i personvernforordningen.
Alle tre vilkårene må være oppfylt, og det er ikke tilstrekkelig kun med en overtredelse av en bestemmelse i forordningen for å ilegge oppreisningserstatning.(19)C-300/21 avsnitt 31-32).
Personvernforordningen inneholder ikke noen legaldefinisjon av skade eller «ikke-materiell skade». EU-domstolen fremhevet at artikkel 82 nr. 1 ikke inneholder en terskel for at noe skal kunne utgjøre en «ikke materiell» skade. EU-domstolen tolket deretter «skade» i samsvar med fortalepunkt nr. 146. Det fremgår av tredje setning til dette fortalepunktet at «skade» «bør tolkes vidt på bakgrunn av [EU-domstolens] rettspraksis, og på en måte som fullt ut gjenspeiler målene i denne forordning». En forståelse av begrepet skade som alvorlig skade eller skade av et visst alvor, vil ikke være i tråd med artikkel 82 tolker i samsvar med fortalepunkt nr. 146, ifølge EU-domstolen.(20)C-300/21 avsnitt 46. Denne rettssetningen fra EU-domstolen er ikke relevant for de forelagte spørsmål. EU-domstolens konklusjon må leses i sammenheng med at flere EU-land, f.eks. Østerrike og Tyskland, har hatt en «de minis-standard» i form av en alvorsterskel som vilkår for oppreisningserstatning etter forordningen.
Dersom medlemsstatene oppstiller egne krav og terskler for oppreisningserstatning for «ikke-materiell skade» etter personvernforordningen artikkel 82 nr. 1, kan det oppstå en risiko for å undergrave den ensartete beskyttelsen av fysiske personer ved behandling av personopplysninger, ifølge EU-domstolen.(21)C-300/21 avsnitt 49.EU-domstolen understreket at registrerte som har opplevd et brudd på personvernforordningen som har hatt negative konsekvenser for vedkommende fortsatt må godtgjøre at slike konsekvenser utgjør en «ikke-materiell skade».(22)C-300/21 avsnitt 50. Dette er også i samsvar med medlemsstatenes prosessuelle autonomi.
EU-domstolen konkluderte deretter som svar på spørsmål nr. 3 at personvernforordningen artikkel 82 nr. 1 er til hinder(23)«Precludes» i den engelske versjonen av dommen, «utgör hinder för» i den svenske versjonen, «hindrer» i den danske og «entgegensteht» i den tyske versjonen. EU-domstolens konklusjon er ikke direkte knyttet til spørsmålet den ble forelagt, og er heller ikke i tråd med generaladvokatens uttalelse, se også n (20).for en nasjonal regel eller praksis hvor erstatning for en «ikke-materiell» skade er betinget av at skaden har en viss alvorsgrad.(24)C-300/21 avsnitt 51.
5. Er personopplysningsloven § 30 i tråd med personvernforordningen?
Personopplysningsloven § 30 oppstiller et vilkår om at oppreisningserstatning må være «rimelig» for at det skal kunne ilegges etter brudd på bestemmelsene i personvernforordningen. Er et slikt rimelighetsvilkår i realiteten en nasjonal regel hvor erstatning for en «ikke-materiell» skade er betinget av en viss alvorsgrad som personvernforordningen artikkel 82 nr. 1 ikke åpner for?
Ordlyden i oppreisningsbestemmelsen i personopplysningsloven § 30 kan tolkes på to måter. Enten slik at personopplysningsloven § 30 oppretter et særskilt ansvarsgrunnlag for oppreisningserstatning for brudd på personvernforordningen i norsk rett der både vilkårene i personvernforordningen artikkel 82 må være oppfylt og med et rimelighetsvilkår. Den andre måten å forstå ordlyden i personopplysningsloven § 30 på er at dersom en behandlingsansvarlig eller databehandler er erstatningsansvarlig etter personvernforordningen artikkel 82 nr. 1, så skal det utmåles en rimelig erstatningssum.
I LB-2022-46509 la lagmannsretten vekt på oppreisning «ikke synes rimelig, jf. personopplysningsloven § 30». Lagmannsrettens konklusjon må forstås slik at det ble lagt til grunn at personopplysningsloven § 30 inneholder et særskilt norsk rimelighetsvilkår for erstatning etter artikkel 82. Etter ny praksis fra EU-domstolen er begrepet «ikke-materiell skade» og «erstatning (…) for den forvoldte skade» autonome EU-rettslige begrep. Personvernforordningen artikkel 82 nr. 1 er også, ifølge EU-domstolen, til hinder for nasjonale regler eller en nasjonal praksis som knytter skade og oppreisningserstatning til en alvorsterskel. I forarbeidene til personopplysningsloven § 30 oppstilles det en slik alvorsterskel ved å vise til at krenkelsens grovhet og utvist skyld er relevante aspekter i rimelighetsvurderingen.(25)Se Prop. 56 LS (2017–2018) side 221. I LB-2022-46509 ble også «krenkelsens grovhet» tolket som å knytte seg til den ikke-materielle skaden lidt av den registrerte. Etter EU-domstolens praksis i sak C-300/21 er en slik alvorsterskel i form av et vilkår om rimelighet i nasjonal lovgivning eller praksis ikke i samsvar med personvernforordningen artikkel 82 nr. 1.(26)Se Gabriela Zanfir-Fortuna, Article 82 Right to compensation and liability i Christopher Kuner mfl. (red.) The EU General Data Protection Regulation (GDPR): A Commentary (New York, 2020, online edn, Oxford Academic) side 1163 der det konkluderes med at det ikke er rom for nasjonale tilpasninger under Artikkel 82 og Shu Li, Compensation for non-material damage under Article 82 GDPR: A review of Case C-300/21. Maastricht Journal of European and Comparative Law (2023) https://doi.org/10.1177/1023263X231208835 med samme konklusjon.
Formålet med personopplysningsloven § 30 var å klarlegge at det eksisterer en hjemmel for oppreisningserstatning for brudd på personvernforordningen i norsk rett. Når bestemmelsen i realiteten benyttes for å legge egne norske vilkår om rimelighet på toppen avautonome EU-rettslig begrep, er ikke det i tråd med personvernforordningen artikkel 82 nr. 1.(27)Danske myndigheter la til grunn at medlemsstatenes mulighet til egne erstatningsvilkår og bestemmelser ble innskrenket ved personvernforordningen artikkel 82, se Justisministeriet, Databeskyttelsesforordningen – og de retlige rammer for dansk lovgivning betænkning nr. 1565 Del I – bind 2 side 918. Videre var det heller ikke lovgivers intensjon bak personopplysningsloven § 30 å ha en oppreisningserstatningsbestemmelse med særskilte norske vilkår.(28)Det legges til grunn i forarbeidene at «forordningen ikke åpner for nasjonale tilpasninger for så vidt gjelder reglene om erstatning», jf. Prop. 57 LS (2017–2018) side 145. Måten personopplysningsloven § 30 blir praktisert i norske domstoler kan derfor medføre at forordningen artikkel 82 blir undergravd, og at intensjonen bak personopplysningsloven § 30 ikke blir oppfylt.
Når bestemmelsen i realiteten benyttes for å legge egne norske vilkår om rimelighet på toppen av autonome EU-rettslig begrep, er ikke det i tråd med personvernforordningen artikkel 82 nr. 1.
6. Avslutning
Hvilken betydning kan den særnorske praktiseringen av personvernforordningen artikkel 82 nr. 1 i personopplysningsloven § 30 få?
Ifølge forarbeidene og lagmannsretten skal man i vurderingen av om oppreisningserstatning er rimelig vektlegge andre ilagte sanksjoner. Det følger av personvernforordningens systematikk og juridisk litteratur at effektiv etterlevelse av personvernforordningen fordrer både offentlig håndhevelse gjennom tilsyn og vedtak og privat håndhevelse gjennom søksmål og erstatning.(29)Se for eksempel Jonas Knetsch, The Compensation of Non-Pecuniary Loss in GDPR Infringement Cases Journal of European Tort Law, vol. 13, no. 2, 2022, side 132-153. https://doi.org/10.1515/jetl-2022-0008 og Marta Requejo, Procedural Harmonization and Private Enforcement in the Area of Personal Data Protection i MPILux Research Paper (2019). Samtidig som både privat og offentlig håndhevelse trengs for effektiv personvernbeskyttelse, er en balanse mellom disse to håndhevelsesmåtene også nødvendig for å motvirke at ønskelig behandling av personopplysninger blir nedlesset med erstatningssøksmål. En slik balanse oppnås likevel ikke dersom det oppstilles alvorsterskler i strid med personvernforordningen som i realiteten stenger for privat håndhevelse i norsk rett.
På tvers av europeiske land ser vi en utvikling der personvernbrudd forfølges gjennom gruppesøksmål i form av utmeldingssøksmål.(30)EU-domstolen har lagt til grunn at forbrukerorganisasjoner kan stå bak slike utmeldingssøksmål når brudd på personvernforordningen har tilknytning til forbrukersaker, se sak C-319/20 Meta Platforms Ireland mot Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V ECLI:EU:C:2022:322 avsnitt 83. Dersom praksisen fra LB-2022-46509 legges til grunn videre kan det få negative følger for slike utmeldingssøksmål. En særegen praktisering av personvernforordningen på dette området kan potensielt føre til «forum shopping»,(31)Se Diogo Matos Brandão, The one-stop-shop and the European Data Protection Board’s role in combatting data supervision forum shopping i International Data Privacy Law (2023): ipad014, https://doi.org/10.1093/idpl/ipad014. det vil si at behandlingsansvarlige etablerer seg i Norge fordi vi har en lempeligere praktisering av et felleseuropeisk regelverk.
For å sikre at norsk lov og praksis er i tråd med personvernforordningen, bør Justis- og beredskapsdepartementet og lovgiver vurdere å endre personopplysningsloven § 30 i tråd med den nye praksisen fra EU-domstolen.
Etter personopplysningsloven § 2 fjerde ledd, jf. EØS-loven § 2 skal personvernforordningen ha forrang foran annen lovgivning som regulerer samme forhold. Norske domstoler må derfor i fremtiden anvende personvernforordningen artikkel 82 og ikke rimelighetsvilkåret. For å sikre at norsk lov og praksis er i tråd med personvernforordningen, bør Justis- og beredskapsdepartementet og lovgiver vurdere å endre personopplysningsloven § 30 i tråd med den nye praksisen fra EU-domstolen. Dersom det er ønskelig å fortsatt ha en egen oppreisningserstatningsbestemmelse i personopplysningsloven kan det søkes inspirasjon i den danske suppleringsloven til personvernforordningen. I denne loven er det gitt en egen nasjonal bestemmelse, men med lik ordlyd som personvernforordningen artikkel 82 nr. 1.(32)Se dansk lov av 23. mai 2018 nr. 502 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger § 40.
Noter
- Europaparlaments- og Rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [2016] OJ L 119/1.
- Lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven).
- Se for eksempel dansk lov av 23. mai 2018 nr. 502 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger § 40.
- Emilia Mišćenić og Anna-Lena Hoffmann, The Role of Opening Clauses in Harmonization of EU Law: Example of The EU’s General Data Protection Regulation (GDPR) i EU and comparative law issues and challenges series (ECLIC) 4 (2020) side 44-61.
- Traktat om Den Europeiske Union (TEU) og Traktat om Den Europeiske Unions Virkemåte (TEUV).
- Se for eksempel sak C-94/77 Fratelli Zerbone Snc v Amministrazione delle finanze dello Stato ECLI:EU:C:1978:17.
- Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven). Opphevet.
- I den engelske versjonen av forordningen artikkel 82 brukes ordlyden «shall have the right to receive compensation». Den tidligere uklarheten om forordningen i seg selv hadde hjemmel for oppreisningserstatning kan skyldes bruken av «shall have» i stedet for «has».
- Se også Innst. 278 L (2017–2018) side 10.
- Europaparlaments- og rådsdirektiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet) [1995] OJ L 281. Opphevet.
- Etter direktivet var hver medlemsstat ansvarlig for å innføre egne erstatningsregler for brudd på direktivet, jf. artikkel 23 og fortalepunkt nr. 55 til direktiv 95/46/EF.
- Det er ikke et vilkår om subjektiv skyld for oppreisningserstatning etter artikkel 82, se Gabriela Zanfir-Fortuna, ’Article 82 Right to compensation and liability’, i Christopher Kuner mfl. (red.), The EU General Data Protection Regulation (GDPR): A Commentary (New York, 2020; online edn, Oxford Academic), https://doi.org/10.1093/oso/9780198826491.003.0128.
- Ankemotparten anførte for lagmannsretten at oppreisningserstatning ikke kunne utledes for brudd på artikkel 32 og artikkel 5 fordi disse bestemmelsene ikke gir den registrerte rettigheter. Det har vært antatt i juridisk teori at oppreisningserstatning ikke er aktuelt ved brudd på organisatoriske plikter etter personvernforordningen og at erstatning kun vil være aktuelt ved brudd på bestemmelser som gir den registrerte rettigheter, jf. Norbert Nolte og C Werkmeister, Art. 25 DSGVO i Peter Gola og Dirk Heckmann (red.), DSGVO/BDSG (3rd edn., C.H. Beck 2022). Denne oppfatningen er imidlertid ikke i tråd med fortalepunkt nr. 146 og er tilbakevist i annen juridisk teori, jf. Gabriela Zanfir-Fortuna n (12). Det er heller ikke noe spor av en slik forståelse i C-300/21 omtalt nedenfor.
- Lagmannsretten dom ble anket til Høyesterett. Høyesteretts ankeutvalg nektet anken fremmet i beslutning av 24. mai 2023 i sak HR-2023-964-U. Advokatfirmaet Baudenbacher Kvernberg opplyser på sine nettsider at de på vegne av den NAV-ansatte har klaget saken inn for EMD.
- Sak C-300/21 UI mot Österreichische Post AG ECLI:EU:C:2023:370.
- En algoritme er en beskrivelse av steg eller operasjoner et dataprogram bruker for å nå et mål eller løse en oppgave. Se ytterligere på https://snl.no/algoritme sist besøkt 18.11.2023.
- Egen oversettelse. Spørsmålene i den engelske versjonen av dommen i sak C-300/21 er formulert slik:« (1)Does the award of compensation under Article 82 of [the GDPR] also require, in addition to infringement of provisions of the GDPR, that an applicant must have suffered harm, or is the infringement of provisions of the GDPR in itself sufficient for the award of compensation? (2) Does the assessment of the compensation depend on further EU-law requirements in addition to the principles of effectiveness and equivalence?(3) Is it compatible with EU law to take the view that the award of compensation for non-material damage presupposes the existence of a consequence [or effect] of the infringement of at least some weight that goes beyond the upset caused by that infringement?»
- C-300/21 avsnitt 30).
- C-300/21 avsnitt 31-32).
- C-300/21 avsnitt 46. Denne rettssetningen fra EU-domstolen er ikke relevant for de forelagte spørsmål. EU-domstolens konklusjon må leses i sammenheng med at flere EU-land, f.eks. Østerrike og Tyskland, har hatt en «de minis-standard» i form av en alvorsterskel som vilkår for oppreisningserstatning etter forordningen.
- C-300/21 avsnitt 49.
- C-300/21 avsnitt 50. Dette er også i samsvar med medlemsstatenes prosessuelle autonomi.
- «Precludes» i den engelske versjonen av dommen, «utgör hinder för» i den svenske versjonen, «hindrer» i den danske og «entgegensteht» i den tyske versjonen. EU-domstolens konklusjon er ikke direkte knyttet til spørsmålet den ble forelagt, og er heller ikke i tråd med generaladvokatens uttalelse, se også n (20).
- C-300/21 avsnitt 51.
- Se Prop. 56 LS (2017–2018) side 221.
- Se Gabriela Zanfir-Fortuna, Article 82 Right to compensation and liability i Christopher Kuner mfl. (red.) The EU General Data Protection Regulation (GDPR): A Commentary (New York, 2020, online edn, Oxford Academic) side 1163 der det konkluderes med at det ikke er rom for nasjonale tilpasninger under Artikkel 82 og Shu Li, Compensation for non-material damage under Article 82 GDPR: A review of Case C-300/21. Maastricht Journal of European and Comparative Law (2023) https://doi.org/10.1177/1023263X231208835 med samme konklusjon.
- Danske myndigheter la til grunn at medlemsstatenes mulighet til egne erstatningsvilkår og bestemmelser ble innskrenket ved personvernforordningen artikkel 82, se Justisministeriet, Databeskyttelsesforordningen – og de retlige rammer for dansk lovgivning betænkning nr. 1565 Del I – bind 2 side 918.
- Det legges til grunn i forarbeidene at «forordningen ikke åpner for nasjonale tilpasninger for så vidt gjelder reglene om erstatning», jf. Prop. 57 LS (2017–2018) side 145.
- Se for eksempel Jonas Knetsch, The Compensation of Non-Pecuniary Loss in GDPR Infringement Cases Journal of European Tort Law, vol. 13, no. 2, 2022, side 132-153. https://doi.org/10.1515/jetl-2022-0008 og Marta Requejo, Procedural Harmonization and Private Enforcement in the Area of Personal Data Protection i MPILux Research Paper (2019).
- EU-domstolen har lagt til grunn at forbrukerorganisasjoner kan stå bak slike utmeldingssøksmål når brudd på personvernforordningen har tilknytning til forbrukersaker, se sak C-319/20 Meta Platforms Ireland mot Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V ECLI:EU:C:2022:322 avsnitt 83.
- Se Diogo Matos Brandão, The one-stop-shop and the European Data Protection Board’s role in combatting data supervision forum shopping i International Data Privacy Law (2023): ipad014, https://doi.org/10.1093/idpl/ipad014.
- Se dansk lov av 23. mai 2018 nr. 502 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger § 40.