AdvokatWatch

Advokater forbereder erstatningskrav mod kommune efter databrud

Advokater med speciale i kompensationer er undervejs med erstatningskrav mod Gladsaxe Kommune efter databrud i december, hvor over 20.000 borgere blev ramt. Ifølge firmaet bag har borgerne grund til at være forargede over kommunens forvaltning af data, mens professor mener, at kommunen har lavet "sløseri af værste skuffe", men tvivler på størrelsen af en mulig godtgørelse. Kommunen selv er tavs.

Et erstatningskrav dumper snart ind ad brevsprækken hos Gladsaxe Kommune. Foto: Ritzau Scanpix/Peter Hove Olesen

Mandag politianmeldte Datatilsynet taxaselskabet 4 x 35 for brud på EU's persondataforordning (GDPR) og lavede en bødeindstilling på 1,2 mio. kr., hvilket kan blive den største databøde i danmarkshistorien.

Tirsdag kan AdvokatWatch fortælle, at flykompensationstjenesten Flyforsinkelse.dk, der normalt er kendt for at skaffe kompensation til passagerer, som har oplevet forsinkede eller aflyste fly, forsøger at lukrere på GDPR-brud.

Firmaet forbereder nemlig et erstatningskrav mod Gladsaxe Kommune på vegne af en række borgere.

Kravet kommer i kølvandet på, at 20.600 borgere i kommunen fik stjålet fortrolige oplysninger som CPR-nummer, navn og i nogle tilfælde også følsomme personoplysninger som religiøst tilhørsforhold, sociale ydelser eller handicap.

Det skete, da en tyv brød ind i kommunens bygninger og stjal fire bærbare computere, hvoraf den ene havde en ukrypteret fil med følsomme personoplysninger.

Flyforsinkelse.dk har stiftet selskabet Persondatalæk ApS og oprettet Facebook-gruppen "persondatalæk", hvor virksomheden beder folk om at henvende sig, hvis de har været blandt de berørte i Gladsaxe-sagen eller andre sager, fordi de "muligvis har ret til erstatning på op til 25.000 kr."

Johan Fugmann er direktør i Flyforsinkelse.dk – og han oplever stor interesse for erstatningskravet.

"Der er meget stor interesse. Lad mig sige det sådan. Nu har jeg talt med mange, og folk er generelt meget forargede over den måde, kommunen har forvaltet deres persondata på. Det synes jeg egentlig også, de har god grund til at være," siger Johan Fugmann.

Med hensyn til religion, så er det oppe i den helt høje ende ift. persondataforordningen

Johan Fugmann, adm. direktør i Flyforsinkelse.dk, som står bag Persondatalæk ApS

I første omgang vil Flyforsinkelse.dk sende et krav til Gladsaxe Kommune på vegne af en række borgere.

Johan Fugmann ønsker ikke at fortælle hvor mange det drejer sig om, men han oplyser, at kravet "ikke er i millionklassen" i første omgang, men at firmaet "snart sender det afsted," uden at specificere mere.

Han pointerer, at firmaet vil indbringe sagen for domstolene, hvis kommunen ikke accepterer kravet.

Direktør: Borgere har krav på godtgørelse

Ifølge EU's persondataforordning (GDPR) er eksponering af eksempelvis religiøst tilhørsforhold og helbredsoplysninger som handicap i den grove ende.

I yderste konsekvens kan 25.000 kr., som tidligere har været erstatningsramme i sådanne sager, koste Gladsaxe Kommune dyrt, da antallet af berørte i sagen er 20.600 borgere.

Skulle alle 20.600 borgere få tilkendt tortgodtgørelse på 25.000 kr., vil det koste kommunen 515 mio. kr.

Det er erstatningslovens paragraf 26, som betyder, at personer kan have ret til såkaldt tortgodtgørelse, hvis man har fået sin frihed, fred, ære eller person krænket.

"Lovgivning er overtrådt, og den er overtrådt mht. personfølsomme data i den højeste kategori i flere tilfælde. Vi repræsenterer nogle borgere, som har krav på godtgørelse. Det er det, vi forfølger," lyder det fra Johan Fugmann.

Gladsaxe Kommune har i brevet til de berørte, som AdvokatWatch har set, skrevet, at der ikke er stor sandsynlighed for, at de personlige data er blevet misbrugt, fordi der højst sandsynligt er tale om et brugstyveri.

Den køber Johan Fugmann ikke.

"Det har man jo ikke nogle anelser om. Jeg ved ikke, hvor de har det fra. Det undrer mig. Hvis kommunen har nogle argumenter, som kan understøtte den påstand, så skal vi da have det frem i lyset, men det står der ikke noget om i brevet."

Hverken computerne eller gerningsmanden er endnu blevet fundet i sagen.

Professor: Gladsaxe-sag er et integritetstab for de berørte

En af de præcedensdannede sager for erstatningsansvar er en sag fra Højesteret i 2011, som blev ført af Norrbom Vinding.

Kort fortalt handlede sagen om, at en kommune videresendte oplysninger om, at en opsagt medarbejder angiveligt havde et alkoholproblem, til en potentiel, fremtidig arbejdsgiver.

Den opsagte medarbejder havde flere gange afvistet rygtet og anmodet om, at det ikke blev fortalt videre.

"Det er et integritetstab. Men det er ikke et økonomisk tab, der påvirker din pengepung

Søren Sandfeld Jakobsen, juraprofessor på Aalborg Universitet

Vedkommende blev tilkendt 25.000 kr. i tortgodtgørelse.

Søren Sandfeld Jakobsen er juraprofessor på Aalborg Universitet og kender højesteretssagen indgående, fordi han har undervist i dommen.

Han mener, at der er væsentlig forskel i forhold til erstatningsansvarsloven.

"Alkoholoplysninger er helbredsoplysninger og hører dermed til i den alvorlige ende, og det var noget, der havde betydning. Det er svært at blive ansat, når en mulig arbejdsgiver bliver fortalt, at man er påstået alkoholiker," siger Søren Sandfeld Jakobsen om Højesteretssagen.

Han fortsætter ved at drage en parallel til Gladsaxe-sagen.

"Det er et integritetstab (i Gladsaxe-sagen, red.). Men det er ikke et økonomisk tab, der påvirker din pengepung. Ud fra vores system i Danmark anerkender vi i et vist omfang et integritetstab – men det skal have en vis betydning, eller der skal være en vis grovhed, for ellers kan alle gå rundt og stævne alle i tid og utide."

Hvordan adskiller de her to sager sig?

"Det er ikke noget dokumentarbart tab (i Gladsaxe-sagen, red.). Nogle oplysninger var følsomme, bl.a. oplysninger om religiøse forhold som medlemskab af Folkekirken. Det er helt klart noget, der taler for, at det er groft. Det kunne sagtens have været undgået, så det er sløseri af værste skuffe. Og så er nogle af oplysningerne ovenikøbet særligt følsomme," lyder det fra juraprofessoren, som har svært ved at se, at en eventuel godtgørelse kan komme op i nærheden af 25.000 kr.

"Det er groft og ret sløset. Vi har ikke nogen praksis, og det ville være temmelig principielt, men jeg tror ikke, godtgørelsen bliver ret høj," siger Søren Sandfeld Jakobsen med henvisning til, at oplysningerne fra Gladsaxe ikke har et dokumentarbart tab.

Juraprofessoren understreger, at eventuel godtgørelse uanset størrelsen bliver en bet for kommunen.

"Det ville få store konsekvenser for kommunens økonomi. Hvis man bare ganger op med 5000 kr., bliver der jo hurtigt tale om millioner af kroner fra en kommunekasse, der sikkert ikke bugner helt vildt meget i forvejen."

Sket flere gange

Udover Højesteretssagen om tortgodtgørelse er der også en række andre sager – men der ligger ikke nogen retspraksis om erstatning efter, GDPR trådte i kraft 25. maj sidste år.

Det hæfter Johan Fugmann sig også ved.

"Vi mener, det er interessant at vide, om der er en basis for at få erstatning, når ens data er blevet lækket, og det er der ikke nogen sager, der bygger på den nye forordning," siger han.

Der er bl.a. oplysninger om tilhørsforhold til Folkekirken (som blev stjålet, red.). Hvordan mener du, at en indbrudstyv skal kunne misbruge den oplysning i så slem en grad, at det berettiger de berørte til 25.000 kr., og heraf 25 pct. til jer?

"Med hensyn til religion, så er det oppe i den helt høje ende ift. persondataforordningen," siger Johan Fugmann med henvisning til EU's persondataforordning (GDPR), som gør, at oplysninger om religion, helbredsoplysninger samt politiske- og fagforeningsmæssige tilhørsforhold er særligt slemme at videregive.

Men hvordan mener du, at den oplysning berettiger et krav på 25.000 kr?

"Nu er jeg ikke kriminel, så jeg ved ikke, hvad folk vil bruge det til. Det må jeg nok indrømme, at jeg ikke har nogen mening om. Men det er vel heller ikke mig, der skal sidde og opfinde, hvordan det skal misbruges? Jeg tænker ikke, at jeg er den, der skal svare på det," lyder det fra Johan Fugmann.

Hvad er det, der gør, at en oplysning om, hvorvidt x person er medlem af Folkekirken berettiger til op mod 25.000 kr., hvoraf I skal have 25 pct.?

"Som jeg tænker det, skal man se det anderledes. Dataen bliver omgået relativt lemfældigt i Gladsaxe Kommune, og det er sket rigtig mange gange. Den her gang har en medarbejder fra Gladsaxe Kommune, som jeg forstår det, sammenført forskellige registre med forskellige personfølsomme data og lagt dem på en computer, der er blevet stjålet. Muligvis er det ikke engang lovligt at sammenkøre registre. Det er ikke første gang, det er sket," vurderer Johan Fugmann og fortsætter:

"Kombinationen af at man overtræder reglerne for, hvor man må gemme data, og sammenkøre registre, man formentlig ikke må sammenkøre, og at det så er sket flere gange. Det er skærpende faktorer ift., hvor meget man kan kræve i godtgørelse. Hvad kan det bruges til? Det har jeg ikke nogen formodning om. Man kan måske lave identitetstyveri, men jeg aner det ikke."

AdvokatWatch har forgæves forsøgt at komme i kontakt med kommunaldirektør i Gladsaxe Kommune, Bo Rasmussen, angående risikoen for et krav. Mikael Wolf, chef for byrådssekretariatet i Gladsaxe Kommune, oplyser, at ingen repræsentanter fra kommunen har nogen kommentarer.

Advokatbranchen er duksen i GDPR-klassen

Computer med 20.000 borgeres personoplysninger er blevet stjålet

Gladsaxe Kommune begår flere datafejl

 

Relaterede

advokatwatch trial

Seneste nyt

Job

Se flere

Se flere

Seneste nyt fra Watch Medier