Krav om erstatning som følge af indsigelse om pengeinstituts manglende overholdelse af databeskyttelsesloven og per-sondataforordningen.

Sagsnummer:456/2020
Dato:27-08-2021
Ankenævn:Henrik Waaben, George Wenning, Morten Bruun Pedersen, Poul Erik Jensen.
Klageemne:Indlån - øvrige spørgsmål
Afvisning - Afvisning, anden myndighed § 4
Ledetekst:Krav om erstatning som følge af indsigelse om pengeinstituts manglende overholdelse af databeskyttelsesloven og per-sondataforordningen.
Indklagede:Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører krav om erstatning som følge af indsigelse om Danske Banks manglende overholdelse af databeskyttelsesloven og persondataforordningen.

Sagens omstændigheder

Klageren var kunde i Danske Bank.

Den 24. juni 2020 modtog klageren en SMS fra en medarbejder i banken, A. Banken har oplyst, at A ikke længere er ansat i banken

SMS*en havde følgende indhold:

Hej [fornavn – ikke identisk med klagerens fornavn oplyst i sagen]

Du modtager denne sms, da Danske Bank har brug for, at opdatere oplysningerne på den forening, hvor du er registreret som kontaktperson. Jeg ringer derfor til dig inden for en times tid.

Med venlig hilsen

[A’s navn]

Danske Bank [telefonnummer]

(Denne sms kan ikke besvares) SMSID:[nummer]”

Banken har oplyst, at A har forklaret, at han kontaktede klageren umiddelbart efter SMS’en var afsendt og oplyste, at der var tale om en spøg.

Den 1. juli 2020 kontaktede klageren banken for at få en forklaring på det passerede.

Banken lovede at undersøge sagen og havde i den forbindelse en drøftelse med A, der forklarede, at han sendte SMS’en i et forsøg på at lave sjov med klageren, der var hans gode ven. Han forklarede også, at klageren havde lavet en lignende spøg med ham. A forklarede ligeledes, at klagerens telefonnummer var fundet via hans egne kontaktoplysninger og at SMS’en var sendt via et program, som ikke kræver adgang til bankens kundesystem.

Med baggrund i denne drøftelse kontaktede banken klageren, beklagede det passerede og oplyste, at det var i strid med bankens retningslinjer, herunder regler for håndtering af persondata. Banken oplyste desuden, at reglerne ville blive indskærpet over for A.

Parternes påstande

Den 21. november 2020 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal komme med en forklaring og betale en erstatning. Endvidere skal banken iværksætte sanktioner over for A.

Danske Bank har nedlagt påstand om frifindelse, subsidiært afvisning.

Parternes argumenter

Klageren har anført, at SMS’en gjorde ham utryg, da han aldrig havde været en del af en forening og dermed heller ikke kontaktperson. Derudover kom SMS’en fra hans tætte ven og ansatte i Danske Bank, A, hvilket gjorde ham bekymret for, om hans data var blevet misbrugt.

Han bad banken om at få en uddybende redegørelse for, hvordan hans personoplysninger blev anvendt i banken samt for medarbejderes brug af data, men han fik alene et kort og bortforklarende svar.

Han har endvidere skriftlig dokumentation fra A om et decideret brud på persondataloven. A oplyste ham om, at hans personnummer var blevet udvekslet mellem A og en kollega. Ham bekendt er hans data blevet misbrugt på adskillige måder i form af CPR-udveksling samt en “falsk” SMS fra banken om, at han var registreret som kontaktperson hos en forening.

Danske Bank har til støtte for frifindelsespåstanden anført, at klageren har ikke opgjort og dokumenteret et økonomisk tab.

Selv om bankens medarbejder, A, har handlet i strid med bankens retningslinjer, herunder tilsidesat regler for håndtering af persondata, ændrer det ikke ved, at klageren ikke har lidt et økonomisk tab.

Ankenævnet vil ikke vil kunne pålægge banken at iværksætte sanktioner over for den tidligere medarbejder A.

Til støtte for afvisningspåstanden har banken anført, at selv om bankens medarbejder, A, har handlet i strid med bankens retningslinjer, herunder tilsidesat regler for håndtering af persondata, ændrer det ikke ved, at klageren ikke har lidt et økonomisk tab.

Klageren har ikke opgjort og dokumenteret et økonomisk tab. Klagen vedrører som følge heraf ikke et konkret økonomisk mellemværende, hvorfor Ankenævnet af den grund bør afvise sagen, jf. § 5, stk. 3, nr. 2, i Ankenævnets vedtægter.

Spørgsmålet om eventuelle sanktioner ved overtrædelse af reglerne om behandling af personoplysninger hører i øvrigt under Datatilsynet, hvorfor sagen ikke skønnes egnet til behandling i ankenævnet, jf. § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Ankenævnets bemærkninger

Den 24. juni 2020 modtog klageren en SMS fra en medarbejder i banken, A, hvoraf fremgik, at Danske Bank havde brug for at opdatere oplysningerne på den forening, hvor han var registreret som kontaktperson.

Banken har oplyst, at A har forklaret, at han kontaktede klageren umiddelbart efter SMS’en var afsendt og forklarede, at der var tale om en spøg.

Banken har efterfølgende over for klageren beklaget det passerede og oplyst, at det var i strid med bankens retningslinjer, herunder regler for håndtering af persondata. Banken oplyste endvidere, at reglerne ville blive indskærpet over for A.

Klageren har indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal betale en erstatning og iværksætte sanktioner over for A.

Ankenævnet finder det ikke godtgjort, at klageren har lidt et økonomisk tab som følge af det passerede. Klageren får derfor ikke medhold i erstatningspåstanden.

Ankenævnet har ikke mulighed for at pålægge banken at iværksætte sanktioner over for den tidligere medarbejder i banken, A.

Spørgsmål om bankens overholdelse af databeskyttelsesloven og persondataforordningen og eventuelle sanktioner som følge heraf hører under Datatilsynet, og klageren henvises til i stedet at rette henvendelse herom til Datatilsynet.

Ankenævnet kan ikke behandle denne del af klagen, jf. Ankenævnets vedtægter § 4.

Ankenævnets afgørelse

Klageren får ikke medhold i erstatningspåstanden.

Ankenævnet kan i øvrigt ikke behandle klagen.