GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

Artikel 82 i GDPR

Skader, når en virksomhed overtræder GDPR

Registrerede kan have ret til erstatning, når en virksomhed overtræder GDPR. Den registreredes ret til erstatning for overtrædelser af GDPR er reguleret i artikel 82 i GDPR. Vær opmærksom på, at skader og sanktioner ikke er de samme. Dette er noget, der er vigtigt for både virksomheder og registranter at vide. 

Hvad er forskellen mellem skader og bøder?

Tilsynsmyndighederne har beføjelse til at pålægge virksomheder, der overtræder GDPR, administrative bøder. En bøde er en form for bøde, som virksomheden skal betale. Den maksimale bøde, der kan pålægges virksomheder i tilfælde af alvorlige overtrædelser, er 20 mio. EUR eller op til 4 % af virksomhedens samlede globale årlige omsætning i det foregående regnskabsår. 

På den anden side må de registrerede ikke nyde godt af de betalte bøder, da virksomhederne betaler dem til staten. I stedet skal den registrerede anlægge et civilt søgsmål mod virksomheden selv for at kræve erstatning fra virksomheden. I de fleste tilfælde skal den registrerede have lidt skade for at få tilkendt erstatning. Det er dog muligt for registrerede at modtage erstatning i tilfælde af frygt for, at personoplysningerne vil blive misbrugt i fremtiden.

What breaches of the GDPR can lead to an administrative fine?

Kan både dataansvarlige og databehandlere være erstatningsansvarlige?

Ja, selv om det er den dataansvarlige, der har det endelige ansvar for behandlingen af personoplysninger, har databehandlerne også et ansvar for deres behandling af dem. Hvis en databehandler overtræder bestemmelserne i databehandleraftalen eller ikke overholder reglerne i GDPR, der er rettet til databehandlere, kan de være erstatningsansvarlige. Dette fremgår af databeskyttelsesforordningens artikel 82, stk. 2.

Materiel eller immateriel skade med henblik på at kræve erstatning

En registreret, der har lidt materiel eller immateriel skade som følge af, at en virksomhed har overtrådt GDPR, har ret til erstatning fra virksomheden. Dette fremgår af databeskyttelsesforordningens artikel 82

Materielle skader

En registreret kan lide materiel skade på grund af en virksomheds overtrædelse af GDPR. Kort sagt udgør økonomiske tab materiel skade.

F.eks.: 

  • Data lækage, der førte til identitetstyveri med økonomisk tab, af en registreret bliver ID kapret og nogen uautoriseret har taget et lån i hans eller hendes navn.
  • Brud på datasikkerheden, der fører til uautoriserede transaktioner og svig
  • udgifter til håndtering af identitetstyveri, f.eks. ændring af identitetsdokumenter, juridisk rådgivning, indkomsttab, kreditovervågningstjeneste osv. 

Immateriel skade

Ud over erstatning for materiel skade kan en registreret i nogle tilfælde også have ret til erstatning for immateriel skade. Kort sagt handler immateriel skade om psykologisk eller følelsesmæssig påvirkning.

F.eks.: 

  • Bruddet på datasikkerheden får den registrerede til at føle angst, stress, ubehag eller bekymring. 
  • Den registrerede føler sig magtesløs og krænket på grund af indtrængen i hans privatliv og privatliv. 
  • Et brud på datasikkerheden vedrørende følsomme personoplysninger kan føre til, at den registrerede er bange for, at de følsomme personoplysninger vil blive formidlet eller behandlet af uautoriserede personer.

Hvornår kan en registreret være berettiget til erstatning?

For at en registreret har ret til erstatning fra en virksomhed for overtrædelse af GDPR, skal tre kriterier være opfyldt: 

1. Overtrædelse af GDPR

Virksomheden skal have overtrådt bestemmelserne i GDPR og dermed behandlet den registreredes personoplysninger i strid med GDPR.

What is the definition of anonymised data?

2. Skaden på den lidende

Den registrerede skal have lidt skade, som vedkommende søger erstatning for fra virksomheden. Skaden kan være materiel eller immateriel.

Subjektivt integritetskänsliga personuppgifter

3. Årsagssammenhæng

Der skal være en klar sammenhæng (årsagssammenhæng) mellem den skade, som den registrerede har lidt, og virksomhedens overtrædelse af GDPR.

Hvis virksomheden kan bevise, at den på ingen måde er ansvarlig for den begivenhed, der forårsagede skaden, skal virksomheden undslippe ansvar og ikke betale erstatning til den registrerede. Dette følger af databeskyttelsesforordningens artikel 82, stk. 3. 

Skader af frygt for fremtidigt misbrug af personoplysninger

Det er muligt for registrerede at opnå erstatning for deres frygt for fremtidigt misbrug af personoplysninger. Dette blev fastslået af Domstolen efter en anmodning om præjudiciel afgørelse fra Bulgariens øverste forvaltningsdomstol. Det kan med andre ord udgøre immateriel skade, hvis der er velbegrundede grunde til, at personoplysninger, der f.eks. er lækket eller på anden måde er blevet uautoriserede, kan misbruges i fremtiden. 

Lær mere

Tilsynsmyndigheden kan udstede en irettesættelse til en virksomhed, der overtræder GDPR

Hvis en virksomhed overtræder GDPR, betyder det ikke nødvendigvis, at virksomheden skal betale en bøde. Det er muligt for virksomheden i stedet at modtage en mildere sanktion, såsom irettesættelse (korrektion) i tilfælde af mindre alvorlige overtrædelser. Der er flere faktorer, der spiller en rolle i den straf, som en overtrædelse fører til. Blandt andet hvad virksomheden har gjort for at begrænse skaden, virksomhedens størrelse, antallet af berørte registrerede, hvilke foranstaltninger virksomheden har truffet for at forhindre, at det sker igen osv. 

Vil du lære mere?

Læs mere
Scroll to Top