Att bryta mot GDPR kan bli dyrt. De europeiska tillsynsmyndigheternas beslut skapar rubriker på grund av de ofta uppseendeväckande höga sanktionsavgifterna (t.ex. har Meta fått betala över 2 miljarder euro i sammanlagda sanktionsavgifter genom flera beslut de senaste åren). Även enskilda personer kan dock framställa skadeståndskrav om deras personuppgifter har behandlats i strid mot GDPR. Fastställda skadestånd i form av ’kränkningsersättning’ till enskilda personer har dock hittills varit blygsamma i sammanhanget. Samtidigt blir det allt vanligare att sådana krav riktas mot företag och vi får en ökande mängd frågor om detta. Innan sommaren kom EU-domstolen med vägledning i frågan och nedan ges en sammanfattning av vad som gäller i dessa situationer.
Förutsättningar för skadestånd
Personer som anser sig ha drabbats av en överträdelse av GDPR har rätt att kräva ersättning för den uppkomna skadan av antingen den personuppgiftsansvarige eller det personuppgiftsbiträde som deltagit i behandlingen. Det kan till exempel röra sig om situationer där personuppgifter har delats på ett olagligt sätt eller att det saknas rättslig grund för behandlingen.
För att skadeståndsskyldighet ska föreligga måste tre kriterier uppfyllas:
- Överträdelse. Det måste konstateras föreligga en överträdelse av GDPR (eller i förekommande fall annan tillämplig dataskyddslagstiftning).
- Faktisk skada. Den enskilda måste kunna visa att denne faktiskt lidit skada, antingen materiell skada (dvs. ekonomisk skada) eller immateriell skada (dvs. ideell skada, en slags kränkningsersättning). Om det skett en överträdelse, men den enskilde inte har lidit någon skada föreligger alltså ingen skadeståndsskyldighet.
- Det måste finnas ett orsakssamband mellan överträdelsen av dataskyddslagstiftningen och den lidna skadan.
Integritetsskyddsmyndigheten (IMY) driver inte skadeståndstalan åt enskilda personer. Enskilda är istället hänvisade till att väcka talan i domstol, vilket de alltid har rätt att göra. Det är därför ytterst domstolen som avgör om och hur stort skadestånd som ska utgå.
Hur stort kan skadeståndet bli?
De skadeståndsnivåer som gäller enligt svensk rättspraxis ligger normalt mellan 3 000 - 5 000 kronor avseende ideell skada, men har i några enstaka fall varit på nivåerna 15 000 – 35 000 kronor. En enskild har rätt till ersättning även för materiella skador som denne lidit på grund av överträdelsen, t.ex. om denne utsatts för identitetsstöld eller bedrägeri, men denna typ av skadestånd är mycket ovanliga.
Skadestånden i utländska domstolar kan ligga högre. Till exempel har tyska domstolar i flera fall satt skadeståndet för ideell skada till ca 2 000 euro.
Även om skadeståndsnivåerna i enskilda fall alltså är låga, kan beloppen bli stora om det rör sig om en stor mängd drabbade personer eller om överträdelsen leder till materiella skador.
Vem ska betala skadeståndet?
Som framgått ovan har enskilda personer i princip rätt att kräva ersättning antingen av den personuppgiftsansvariga eller personuppgiftsbiträdet.
Utgångspunkten är att det är personuppgiftsansvariga som ansvarar för skador som orsakas genom överträdelser av förordningen. Ett personuppgiftsbiträde ansvarar endast för skada som uppkommit till följd av behandlingen om denne inte har fullgjort sina skyldigheter som personuppgiftsbiträde eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar
Är det flera personuppgiftsansvariga eller personuppgiftsbiträden som är involverade i samma behandling, exempelvis genom en IT-drift eller en gemensam databas, är utgångspunkten att den registrerade har rätt att kräva ersättning för hela skadan från vilken som helst av dessa aktörer. Dessa aktörer får sedan reglera ansvaret för skadan sinsemellan genom den regressrätt som ges i GDPR. En förutsättning för skadeståndsskyldighet är dock att den aktör som krävs på skadestånd åtminstone delvis är ansvarig för den händelse som orsakade skadan.
Dessa ansvarsfördelningsprinciper förtydligas, kompletteras eller modifieras ofta mellan dessa aktörer om det finns ett personuppgiftsbiträdesavtal eller annat avtal som reglerar ansvaret för gemensam personuppgiftshantering. Se därför alltid till att ha ett avtal som är anpassat för personuppgiftshanteringen i er verksamhet och i era samarbeten!
