När det gäller överträdelser av bestämmelserna i dataskyddsförordningen (“GDPR”) tänker många på de varningar och sanktionsavgifter som kan åläggas av dataskyddsmyndigheterna. Det som ofta glöms bort är att brott mot reglerna i GDPR också kan utlösa skadeståndsanspråk enligt artikel 82 i GDPR. Faktumet är att det blir allt vanligare att enskilda personer lämnar in skadeståndskrav mot företag och offentliga verksamheter för (påstådda) överträdelser av GDPR. Detta gäller särskilt när ett större antal personer har påverkats, till exempel efter ett inträffat dataintrång. Följaktligen måste domstolar runt om i Europa allt oftare besluta om GDPR-relaterade skadeståndsanspråk (läs till exempel om hur en tysk domstol beslutat om skadestånd för ett felskickat rekryteringsmejl här).
Vad innebär ersättningskravet i artikel 82?
En person som har lidit skada på grund av att hans eller hennes personuppgifter har behandlats i strid med GDPR kan ha rätt till skadestånd av den eller de personuppgiftsansvariga som medverkat vid behandlingen. Även ett personuppgiftsbiträde kan bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till personuppgiftsbiträden eller har behandlat uppgifter i strid med den personuppgiftsansvariges instruktioner.
Den enskilde kan begära skadestånd från den personuppgiftsansvarige eller personuppgiftsbiträdet eller väcka skadeståndstalan i domstol. Man kan både lämna in en stämningsansökan som enskild, eller i en grupptalan som gäller flera personer (se till exempel här).
Den som lidit skada har i princip rätt att få ersättning för hela skadan av antingen den personuppgiftsansvarige eller personuppgiftsbiträdet. Även om den enskilde måste visa att det skett en överträdelse av reglerna i GDPR, till exempel genom att visa att denne tagit emot direktmarknadsföring via e-post utan att det funnits ett giltigt samtycke, antas den personuppgiftsansvarige eller personuppgiftsbiträdet enligt lag vara skyldig till överträdelsen mot GDPR. I händelse av en tvist måste personuppgiftsansvariga eller personuppgiftsbiträden visa att de inte på något sätt är ansvariga för skadan, en bevisbörda som kan utgöra ett stort hinder vid försvar mot ställda skadeståndsanspråk.
Vad kan man få ersättning för?
Enligt skälen till GDPR ska begreppet skada tolkas brett. Dessutom gör GDPR skillnad mellan materiella och icke-materiella skador. Materiella skador, särskilt ekonomiska förluster, kan uppstå om den enskilde drabbas av identitetsstöld eller bedrägeri på grund av en överträdelse av reglerna i GDPR. Dessa typer av skador är i allmänhet relativt enkla att kvantifiera. Det är svårare att fastställa ersättning för icke-materiella skador. Sådana skador kan avse personliga nackdelar, såsom förlust av kontrollen över de egna personuppgifterna, diskriminering eller skadat anseende (se skäl 85 i GDPR), och beror på hur den inträffade skadan påverkat den enskilde i det enskilda fallet.
Hur mycket ersättning kan man få?
Vid kvantifiering av ersättningen anges i GDPR att de registrerade bör få full och effektiv ersättning för den skada de lidit. De skadeståndsnivåer som gäller enligt svensk rättspraxis ligger mellan 3 000–5 000 kronor. Även skadeståndsnivåer som tillämpas i andra EU-länder kan dock vara av intresse, där domstolen till exempel sagt att ersättningen för icke-materiella skador enligt artikel 82 i GDPR borde ha en avskräckande effekt (se bland annat domen från den lokala domstolen i Frankfurt am Main, Amtsgericht, från den 10 juli 2020, mål nr 385, C 155/19).
Vill du lära dig mer om dataskydd och personlig integritet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.