Gruppesøksmål i Norge og amerikanske tilstander?

Hand banging gavel on sounding block

Licensed from: Wavebreakmedia / yayimages.com

Fra og med mai neste år, når EUs nye personvernforordning (GDPR) trer i kraft, kan grupper av enkeltpersoner saksøke virksomheter som har håndtert deres personopplysninger i strid med loven. Dermed øker sannsynligheten for at noen orker å ta fighten dramatisk.

Det som kan oppleves som en uforsvarlig sakskostnad for en enkeltsak for en enkeltperson, lar seg lett forsvare dersom man samlet kan behandle 100, 500 eller 3000 enkeltpersoner som føler seg krenket. Samtidig innføres et solidaransvar for denne type søksmål som kan trekke inn underleverandører.

I USA har dette eksistert lenge, også for brudd på personvern. Helt nylig inngikk en stor, men ganske alminnelig klesbutikk, Neiman Marcus, forlik på 1,6 millioner dollar som følge av et gruppesøksmål fra kunder da noen av deres kredittkortopplysninger var kommet på avveie. Saken har vært mye omtalt i personvernfora utenlands, men ikke i Norge. Hva kan skje i Norge fremover? Et blikk på situasjonen i Danmark er illustrerende. Der gir brudd som omfatter enkle personopplysninger ofte en relativt standardiserte erstatninger på mellom 5.000 og 25.000 kroner avhengig av typen opplysninger og om det er sensitive personopplysninger involvert. EU planlegger standardiserte erstatningsbeløp for brudd på GDPR. Nivået kjenner vi ikke enda, men det er fullt mulig at det vil tilsvare dagens praksis i Danmark. Og, man vil altså slippe å gå til Datatilsynet for å fremme et slikt krav. Det holder å gå til en advokat. Da skal det ikke så mange individer til før man fort kommer opp i store beløp.

Denne delen av GDPR er høyst relevant for alle virksomheter som har et stort antall personer registrert i sine servere. Vi hører jevnlig om brudd på personvernreglene som involverer store antall pasienter, kunder eller ansatte. Det er jo ikke bare kunder som kan fremme denne type søksmål; det samme vil ansatte eller pasienter kunne gjøre.

Enda mer dramatisk blir det av at EU har innført et solidaransvar for denne type erstatningssøksmål mellom den som er behandlingsansvarlig og de som er databehandlere.  Hvis det f.eks. har skjedd en lekkasje hos en driftsleverandør, kan den som rammes velge om de vil saksøke driftsleverandøren eller om de vil saksøke den som er behandlingsansvarlig.

Så langt i GDPR-diskusjonen har det vært mye snakk om bøter. Det er selvfølgelig relevant, men erstatningsaspektet er minst like relevant. Erstatningssøksmål av denne type krever ikke at Datatilsynet har kapasitet til å utrede eventuelle brudd; det krever bare at bruddene blir kjent og at noen ber en advokat ta søksmålet.

I mellomtiden har jeg flere underleverandører blant mine klienter som nå er temmelig nøyaktige og spesifikke med hvilket ansvar de påtar seg i sine databehandleravtaler. Det er det god grunn til. Og ute i det store Europa snakker gruppesøksmålsadvokater med personvernadvokater. Slik kan det bli her på berget også.

3 kommentarer

Skvatt

04.04.2017 kl.11:06

Kan ikkje berre alt vêre offentleg? Viss me ikkje hev nokre løyndomar, anten det er kredittkortupplysingar eller andre personlege upplysingar, t.d. pin-kode og liknande, so verte det jo mykje enklare for alle. Då verte det ikkje naudsynt med slike erstattingssøksmål i det heile. Eg tykkjer norske politikararar lyt fremje føreslag um slik ein lov so snøgt og stutt som råd er, kanskje det kan vêre ei vinnarsak for SV? Dei kan jo berre nytta argumentet um forhufseleg amerikanisering or samfunnet, so er eg viss på at dei lyt vinna fram, sann. Jau!

JAN

06.04.2017 kl.14:14

Generelt ikke tilhenger av de latterlige erstatningsbeløpene vi ser i USA, men at det blir mer tilgjengelig å ta rotta på virksomheter og myndigheter som ikke tar personvern på alvor er bare fint

06.04.2017 kl.16:25

Hvordan blir situasjonen for det offentlige? Det er ingen som har så mye personopplysninger som offentlige registre.

Skriv en ny kommentar

hits