Artikkel 82 i GDPR
Skader for brudd på GDPR av et selskap
De registrerte kan ha rett til erstatning når et selskap bryter med GDPR. Den registrertes rett til erstatning ved overtredelse av personvernforordningen reguleres av artikkel 82 i personvernforordningen. Vær oppmerksom på at skader og straffer ikke er de samme. Dette er viktig for både bedrifter og datasubjekter å vite.
Hva er forskjellen mellom skader og bøter?
Tilsynsmyndighetene har myndighet til å ilegge administrative bøter på selskaper som krenker GDPR. En bot er en form for bot som skal betales av selskapet. Det høyeste beløpet for bøter som foretak kan ilegges for alvorlige overtredelser, er 20 millioner euro eller opptil 4 % av foretakets samlede verdensomspennende årsomsetning i foregående regnskapsår.
På den annen side har de registrerte ikke lov til å motta bøter som er betalt, da selskapene betaler dem til staten. I stedet må den registrerte selv gå til sivilt søksmål mot selskapet for å kreve erstatning fra selskapet. I de fleste tilfeller må den registrerte ha lidd skade for å bli tildelt erstatning. Det er imidlertid mulig for de registrerte å få erstatning hvis de frykter at deres personopplysninger vil bli misbrukt i fremtiden.
Kan både behandlingsansvarlige og databehandlere holdes ansvarlig for skader?
Ja, selv om den behandlingsansvarlige har det endelige ansvaret for behandlingen av personopplysningene, har databehandlerne også ansvaret for behandlingen av dem. Hvis en prosessor bryter bestemmelsene i prosessoravtalen eller ikke overholder reglene i GDPR adressert til prosessorer, kan de være ansvarlig for skader. Dette fremgår av artikkel 82 (2) i GDPR.
Materiell eller ikke-materiell skade for å ha rett til erstatning
En registrert som har lidd materiell eller ikke-materiell skade som følge av brudd på GDPR av et selskap, har rett til erstatning fra selskapet. Dette fremgår av artikkel 82 i GDPR.
Materielle skader
En registrert person kan lide materiell skade som følge av et selskaps overtredelse av GDPR. Kort sagt, økonomiske tap utgjør materiell skade.
For eksempel:
- Datalekkasjer som førte til identitetstyveri med økonomisk tap, som følge av at en registrert blir ID-kapret og noen uautoriserte har tatt opp et lån i hans eller hennes navn.
- Databrudd som fører til uautoriserte transaksjoner og svindel.
- Kostnader ved å håndtere identitetstyveri, for eksempel endring av identitetsdokumenter, juridisk rådgivning, inntektstap, kredittvakttjeneste, etc.
Skader som ikke er materielle
I tillegg til erstatning for materiell skade, kan en registrert i noen tilfeller også ha rett til erstatning for ikke-materiell skade. Kort sagt, ikke-materiell skade handler om psykologisk eller emosjonell innflytelse.
For eksempel:
- Datainnbruddet resulterer i at datasubjektet føler angst, stress, ubehag eller angst.
- Den registrerte føler seg maktesløs og krenket på grunn av inntrenging i hans eller hennes privatliv og integritet.
- Brudd på sensitive personopplysninger kan føre til at den registrerte frykter at de sensitive personopplysningene vil bli spredt eller behandlet av uvedkommende.
Når kan en registrert få rett til erstatning?
For at en registrert person skal ha rett til erstatning fra et selskap for brudd på GDPR, må tre kriterier være oppfylt:
1. Hendelse ved brudd på GDPR
Selskapet må ha overtrådt bestemmelsene i GDPR og dermed behandlet den registrertes personopplysninger i strid med GDPR.
2. Skader som følge av
Den registrerte må ha lidd skade som erstatningen krever erstatning fra selskapet for. Skadene kan være materielle eller uvesentlige.
3. Årsakssammenheng
Det må være en klar sammenheng (årsakssammenheng) mellom den registrertes skade og selskapets overtredelse av GDPR.
Hvis selskapet kan bevise at det ikke på noen måte er ansvarlig for hendelsen som forårsaket skaden, skal selskapet unngå ansvar og skal ikke betale erstatning til den registrerte. Dette følger av artikkel 82 (3) i GDPR.
Skader av frykt for fremtidig misbruk av personopplysninger
Det er mulig for den registrerte å få kompensasjon for sin frykt for fremtidig misbruk av personopplysninger. Dette ble funnet av domstolen etter en forespørsel om en foreløpig avgjørelse fra den bulgarske høyesterett. Med andre ord kan det utgjøre ikke-materiell skade hvis det er betydelig grunn til å tro at personopplysninger, for eksempel lekket eller på annen måte misbrukt, kan bli misbrukt i fremtiden.
Lær mer om
Tilsynsmyndigheten kan utstede en reprimande til et selskap som bryter med GDPR
Hvis et selskap bryter GDPR, betyr ikke dette nødvendigvis at selskapet må betale en bot. I stedet er det mulig for foretaket å få en mildere straff, for eksempel irettesettelse (reprimand) for mindre overtredelser. Det er en rekke faktorer som spiller en rolle i å bestemme straffen som en overtredelse gir opphav til. Blant annet hva selskapet har gjort for å begrense skaden, størrelsen på selskapet, antall berørte registranter, hvilke tiltak selskapet har tatt for å hindre at det skjer igjen, etc.