hits

Gruppesksml i Norge og amerikanske tilstander?

Hand banging gavel on sounding block

Licensed from: Wavebreakmedia / yayimages.com

Fra og med mai neste r, nr EUs nye personvernforordning (GDPR) trer i kraft, kan grupper av enkeltpersoner sakske virksomheter som har hndtert deres personopplysninger i strid med loven. Dermed ker sannsynligheten for at noen orker ta fighten dramatisk.

Det som kan oppleves som en uforsvarlig sakskostnad for en enkeltsak for en enkeltperson, lar seg lett forsvare dersom man samlet kan behandle 100, 500 eller 3000 enkeltpersoner som fler seg krenket. Samtidig innfres et solidaransvar for denne type sksml som kan trekke inn underleverandrer.

I USA har dette eksistert lenge, ogs for brudd p personvern. Helt nylig inngikk en stor, men ganske alminnelig klesbutikk, Neiman Marcus, forlik p 1,6 millioner dollar som flge av et gruppesksml fra kunder da noen av deres kredittkortopplysninger var kommet p avveie. Saken har vrt mye omtalt i personvernfora utenlands, men ikke i Norge. Hva kan skje i Norge fremover? Et blikk p situasjonen i Danmark er illustrerende. Der gir brudd som omfatter enkle personopplysninger ofte en relativt standardiserte erstatninger p mellom 5.000 og 25.000 kroner avhengig av typen opplysninger og om det er sensitive personopplysninger involvert. EU planlegger standardiserte erstatningsbelp for brudd p GDPR. Nivet kjenner vi ikke enda, men det er fullt mulig at det vil tilsvare dagens praksis i Danmark. Og, man vil alts slippe g til Datatilsynet for fremme et slikt krav. Det holder g til en advokat. Da skal det ikke s mange individer til fr man fort kommer opp i store belp.

Denne delen av GDPR er hyst relevant for alle virksomheter som har et stort antall personer registrert i sine servere. Vi hrer jevnlig om brudd p personvernreglene som involverer store antall pasienter, kunder eller ansatte. Det er jo ikke bare kunder som kan fremme denne type sksml; det samme vil ansatte eller pasienter kunne gjre.

Enda mer dramatisk blir det av at EU har innfrt et solidaransvar for denne type erstatningssksml mellom den som er behandlingsansvarlig og de som er databehandlere.  Hvis det f.eks. har skjedd en lekkasje hos en driftsleverandr, kan den som rammes velge om de vil sakske driftsleverandren eller om de vil sakske den som er behandlingsansvarlig.

S langt i GDPR-diskusjonen har det vrt mye snakk om bter. Det er selvflgelig relevant, men erstatningsaspektet er minst like relevant. Erstatningssksml av denne type krever ikke at Datatilsynet har kapasitet til utrede eventuelle brudd; det krever bare at bruddene blir kjent og at noen ber en advokat ta sksmlet.

I mellomtiden har jeg flere underleverandrer blant mine klienter som n er temmelig nyaktige og spesifikke med hvilket ansvar de ptar seg i sine databehandleravtaler. Det er det god grunn til. Og ute i det store Europa snakker gruppesksmlsadvokater med personvernadvokater. Slik kan det bli her p berget ogs.

3 kommentarer

Kan ikkje berre alt vre offentleg? Viss me ikkje hev nokre lyndomar, anten det er kredittkortupplysingar eller andre personlege upplysingar, t.d. pin-kode og liknande, so verte det jo mykje enklare for alle. D verte det ikkje naudsynt med slike erstattingssksml i det heile. Eg tykkjer norske politikararar lyt fremje freslag um slik ein lov so sngt og stutt som rd er, kanskje det kan vre ei vinnarsak for SV? Dei kan jo berre nytta argumentet um forhufseleg amerikanisering or samfunnet, so er eg viss p at dei lyt vinna fram, sann. Jau!

Generelt ikke tilhenger av de latterlige erstatningsbelpene vi ser i USA, men at det blir mer tilgjengelig ta rotta p virksomheter og myndigheter som ikke tar personvern p alvor er bare fint

Hvordan blir situasjonen for det offentlige? Det er ingen som har s mye personopplysninger som offentlige registre.

Skriv en ny kommentar