EU-domstolens ställning till skadestånd vid personuppgiftsincidenter är att det är möjligt för ett företag att bli skadeståndsskyldig gentemot registrerade. Detsamma gäller organisationer och offentliga organ. Observera att skadestånd och sanktionsavgift inte är samma sak. Det behöver inte nödvändigtvis vara en ekonomisk skada som har uppstått för att registrerade ska ha rätt till skadestånd. Skadestånd kan även utgå till registrerade om det avser immateriell skada också.
Skillnaden mellan skadestånd och sanktionsavgift
Det kan vara bra att förstå skillnaden mellan skadestånd och sanktionsavgift, eftersom det är många som blandar ihop begreppen. När en tillsynsmyndighet utfärdar en sanktionsavgift till ett företag för brott mot GDPR, får de drabbade registrerade ingen del av pengarna. Sanktionsavgifter blir istället betald av företaget till staten. Däremot kan den registrerade kräva skadestånd, men vid sådana fall är det inte tillsynsmyndigheten som kräver skadeståndet. Istället måste den registrerade väcka en egen talan mot företaget ifråga. Dessutom kan den registrerade kontakta företaget direkt för att försöka komma överens om en rimlig ersättning innan denne väcker talan i domstol, för att försöka spara tid och resurser.
EU-domstolens ställning till skadestånd vid personuppgiftsincidenter som registrerade kan ha rätt till
EU-domstolen gav ett förhandsavgörande efter att den högsta förvaltningsdomstolen i Bulgarien begärde det. Detta efter att den bulgariska skattemyndigheten hade blivit utsatta för en cyberattack. Cyberattacken ledde till att miljontals människors personuppgifter blev publicerade på internet. Därefter hade drabbade individer krävt skadestånd från skattemyndigheten. De menade att incidenten kan orsaka en ideell skada, och ville därför ha ersättning för det.
Vad EU-domstolen kom fram till
EU-domstolen menade att det är möjligt för registrerade att kräva skadestånd för eventuella immateriella skador som kan uppstå i framtiden som följd av personuppgiftsincidenten. Däremot måste det vara en välgrundad fruktan.
En viktig faktor som domstolen ska ta i beaktande gällande skadeståndsbeloppet och skadeståndsansvaret är vilka skyddsåtgärder som företaget vidtagit för att skydda personuppgifterna. Företag måste vidta lämpliga organisatoriska och tekniska säkerhetsåtgärder. Ju viktigare personuppgifterna är, desto högre krav. Det kan vara så att en domstol bedömer att ett företag har gjort så mycket som möjligt för att skydda personuppgifter, men att skickligare hackare kommer åt dem i alla fall och därför inte dömer ett skadeståndsansvar.
Dom från Europadomstolen gällande dörrknackning av religiöst samfund
Den finländska Dataskyddsnämnden förbjöd ett religiöst samfund att föra anteckningar när de utför sitt predikoarbete genom att knacka dörr. Dataskyddsnämnden ansåg att samfundet måste följa GDPR vid sådan behandling, vilket samfundet inte ansåg. Fallet gick upp hela vägen till Högsta Förvaltningsdomstolen som begärde ett förhandsavgörande från Europadomstolen. Europadomstolen ansåg att samfundet behöver få ett samtycke när de behandlar personuppgifter vid dörrknackning.