Oberlandesgericht Köln (OLG Köln) har beviljat en registrerad 500 euro i skadestånd då dennes advokat dröjt med att lämna information till den registrerade enligt reglerna i dataskyddsförordningen (GDPR).
Av domen framgår bland annat att den registrerade, i september 2016, gett en advokat (den personuppgiftsansvarige) i uppdrag att handlägga hennes skadeståndsanspråk till följd av en trafikolycka. Som en del av instruktionen var den personuppgiftsansvarige tvungen att sammanställa och granska relevanta handlingar och vidta lämpliga åtgärder. I utförandet ingick kontinuerlig behandling av den registrerades personuppgifter.
Den 7 januari 2020 begärde den registrerade information om skadeståndsanspråket avseende trafikolyckan från den personuppgiftsansvarige enligt artikel 15 GDPR. Informationen tillhandahölls tio månader senare, i oktober 2020. Den registrerade hävdade att hon hade blivit psykiskt belastad av att informationen inte lämnats tidigare, att hon hade känt stress och oro över hanteringen av hennes skadeståndsanspråk och att hon inte kunnat gå vidare med kravet tillsammans med sitt nya juridiska ombud. Följaktligen begärde hon ersättning för den ideella skada som hon lidit enligt artikel 82.1 GDPR.
OLG Köln prövade först om artikel 82.1 GDPR endast omfattar skador som uppstått till följd av behandling som inte är förenlig med dataskyddsförordningen eller om den även omfattar skador som uppstår till följd av överträdelser av någon bestämmelse i dataskyddsförordningen. Domstolen påpekade att artikel 82.1 GDPR hänvisar till en “överträdelse av denna förordning” i allmänhet. Även om det i skäl 146 i dataskyddsförordningen hänvisas till “varje skada som en person kan lida till följd av behandling som strider mot denna förordning”, är begreppet behandling enligt artikel 4.2 GDPR brett definierat. Begreppet hänvisar till utlämnande genom överföring, vilket också kan omfatta tillhandahållande av information, som i det aktuella fallet. Slutligen hänvisade domstolen till skäl 60 där det anges att principerna om rättvis och öppen behandling kräver att den registrerade informeras om förekomsten av behandlingen och dess syften. Eftersom de registrerade har en motsvarande rätt till tillgång för att få kännedom om behandlingen och för att kunna kontrollera dess laglighet, bör artikel 82.1 GDPR tolkas så att den omfattar alla överträdelser av förordningen, inte bara de som rör behandling av personuppgifter. Domstolen ansåg därför att överträdelser av skyldigheterna att tillhandahålla information enligt artikel 12.3 GDPR och artikel 15 GDPR också kan ligga till grund för ett skadeståndskrav.
Därefter prövade OLG Köln om den registrerade lidit ideell skada i den mening som avses i artikel 82.1 GDPR. Mot bakgrund av skälen 146 och 75 i förordningen om allmän dataskyddsförordning ansåg domstolen att hon hade gjort det, eftersom hon hade förlorat kontrollen över sina uppgifter samt lidit en potentiell ekonomisk förlust till följd av den tid som gått förlorad och som var avgörande för att reglera sitt anspråk på ersättning för trafikolycka.
Med hänsyn till att den personuppgiftsansvarige inte gjort uppgifterna tillgängliga för någon tredje part beviljade domstolen den registrerade ett skadestånd på 500 euro.