hits

april 2017

Gruppesøksmål i Norge og amerikanske tilstander?

Hand banging gavel on sounding block

Licensed from: Wavebreakmedia / yayimages.com

Fra og med mai neste år, når EUs nye personvernforordning (GDPR) trer i kraft, kan grupper av enkeltpersoner saksøke virksomheter som har håndtert deres personopplysninger i strid med loven. Dermed øker sannsynligheten for at noen orker å ta fighten dramatisk.

Det som kan oppleves som en uforsvarlig sakskostnad for en enkeltsak for en enkeltperson, lar seg lett forsvare dersom man samlet kan behandle 100, 500 eller 3000 enkeltpersoner som føler seg krenket. Samtidig innføres et solidaransvar for denne type søksmål som kan trekke inn underleverandører.

I USA har dette eksistert lenge, også for brudd på personvern. Helt nylig inngikk en stor, men ganske alminnelig klesbutikk, Neiman Marcus, forlik på 1,6 millioner dollar som følge av et gruppesøksmål fra kunder da noen av deres kredittkortopplysninger var kommet på avveie. Saken har vært mye omtalt i personvernfora utenlands, men ikke i Norge. Hva kan skje i Norge fremover? Et blikk på situasjonen i Danmark er illustrerende. Der gir brudd som omfatter enkle personopplysninger ofte en relativt standardiserte erstatninger på mellom 5.000 og 25.000 kroner avhengig av typen opplysninger og om det er sensitive personopplysninger involvert. EU planlegger standardiserte erstatningsbeløp for brudd på GDPR. Nivået kjenner vi ikke enda, men det er fullt mulig at det vil tilsvare dagens praksis i Danmark. Og, man vil altså slippe å gå til Datatilsynet for å fremme et slikt krav. Det holder å gå til en advokat. Da skal det ikke så mange individer til før man fort kommer opp i store beløp.

Denne delen av GDPR er høyst relevant for alle virksomheter som har et stort antall personer registrert i sine servere. Vi hører jevnlig om brudd på personvernreglene som involverer store antall pasienter, kunder eller ansatte. Det er jo ikke bare kunder som kan fremme denne type søksmål; det samme vil ansatte eller pasienter kunne gjøre.

Enda mer dramatisk blir det av at EU har innført et solidaransvar for denne type erstatningssøksmål mellom den som er behandlingsansvarlig og de som er databehandlere.  Hvis det f.eks. har skjedd en lekkasje hos en driftsleverandør, kan den som rammes velge om de vil saksøke driftsleverandøren eller om de vil saksøke den som er behandlingsansvarlig.

Så langt i GDPR-diskusjonen har det vært mye snakk om bøter. Det er selvfølgelig relevant, men erstatningsaspektet er minst like relevant. Erstatningssøksmål av denne type krever ikke at Datatilsynet har kapasitet til å utrede eventuelle brudd; det krever bare at bruddene blir kjent og at noen ber en advokat ta søksmålet.

I mellomtiden har jeg flere underleverandører blant mine klienter som nå er temmelig nøyaktige og spesifikke med hvilket ansvar de påtar seg i sine databehandleravtaler. Det er det god grunn til. Og ute i det store Europa snakker gruppesøksmålsadvokater med personvernadvokater. Slik kan det bli her på berget også.