Artikel 82 i GDPR

Skadestånd när ett företag bryter mot GDPR

Registrerade kan ha rätt till skadestånd när ett företag bryter mot GDPR. Den registrerades rätt till skadestånd vid överträdelser av GDPR är reglerad i artikel 82 i GDPR. Observera att skadestånd och sanktionsavgift inte är samma sak. Detta är något som är viktigt för både företag och de registrerade att känna till. 

Vad är skillnaden mellan skadestånd och sanktionsavgift?

Tillsynsmyndigheter har befogenhet att utfärda administrativa sanktionsavgifter till företag som bryter mot GDPR. En sanktionsavgift är en form av böter som företaget ska betala. Det maximala beloppet som sanktionsavgiften kan uppgå till för företag är vid allvarliga överträdelser 20 miljoner euro eller upp till 4 % av företagets totala globala årsomsättningen under föregående budgetår. 

Däremot får de registrerade inte ta del av betalda sanktionsavgifter, eftersom företagen betalar dessa till staten. Den registrerade måste istället själva väcka en civilrättslig talan gentemot företaget, för att kräva skadestånd från företaget. I de flesta fall måste den registrerade ha lidit en skada för att beviljas skadestånd. Men det är möjligt för registrerade att få skadestånd vid en fruktan om att personuppgifterna ska bli missbrukade i framtiden.

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

3 vanliga GDPR dokument

  • Integritetsmeddelande
  • Interna rutiner
  • Personuppgiftsbiträdesavtal

Kan både personuppgiftsansvariga och personuppgiftsbiträden bli skadeståndsskyldiga?

Ja, även fast det är den personuppgiftsansvarige som har det yttersta ansvaret för behandlingen av persouppgifterna,, har även personuppgiftsbiträden ett ansvar för sin behandling av dem. Om ett personuppgiftsbiträde bryter mot bestämmelserna i personuppgiftsbiträdesavtalet eller inte följer de regler i GDPR som är riktade till personuppgiftsbiträden, kan de bli skadeståndsskyldiga. Detta framgår i artikel 82(2) i GDPR.

Materiell eller immateriell skada för att få rätt till skadestånd

En registrerad som har lidit en materiell eller immateriell skada som följd av att ett företag har brutit mot GDPR, har rätt till skadestånd från företaget. Detta framgår i artikel 82 i GDPR. 

Materiell skada

En registrerad kan orsakas materiell skada på grund av ett företags överträdelse av GDPR. Kort sagt utgör ekonomiska förluster en materiell skada.

Exempelvis: 

  • Dataläcka som lett till identitetsstöld med ekonomisk förlust, genom att en registrerad blivit ID-kapad och någon obehörig har tagit ett lån i dennes namn.
  • Dataintrång som lett till obehöriga transaktioner och bedrägeri
  • Kostnader för att hantera identitetsstöld, exempelvis byte av identitetshandlingar, juridisk rådgivning, förlorad inkomst, kreditbevakningstjänst etc. 
Immateriell skada

Immateriell skada: Utöver ersättning för materiell skada, kan en registrerad i vissa fall även ha rätt till ersättning för immateriella skador. Kort sagt handlar immateriella skador om psykisk eller känslomässig påverkan.

Exempelvis: 

  • Dataintrånget leder till att den registrerade känner ångest, stress, obehag eller oro. 
  • Den registrerade känner sig maktlös och kränkt, på grund av intrånget i dennes integritet och privatliv. 
  • Ett dataintrång avseende känsliga personuppgifter skulle kunna leda till att kden registrerade är rädd för att de känsliga personuppgifterna ska spridas eller bli behandlade av obehöriga.

När kan en registrerad få rätt till skadestånd?

För att en registrerad ska få rätt till skadestånd från ett företag vid överträdelser av GDPR, måste tre kriterier vara uppfyllda: 

Special categories of personal data in Article 9 of the GDPR are also referred to as “Sensitive personal data”

Inträffad överträdelse av GDPR

Företaget måste ha brutit mot bestämmelserna i GDPR och därmed behandlat den registrerades personuppgifter i strid med GDPR.

An administrative fine

Liden skada

Den registrerade måste ha lidit en skada som denne genom skadeståndet söker ersättning för från företaget. Skadan kan vara materiell eller immateriell.

It may be possible for data subjects to claim damages

Orsakssamband

Det måste finnas ett tydligt samband (kausalitet) mellan skadan som den registrerade har lidit och företagets överträdelse av GDPR.

Om företaget kan bevisa att det inte på något sätt är ansvarig för den händelse som orsakade skadan, ska företaget undgår ansvar och inte betala skadestånd till den registrerade. Detta framgår av artikel 82(3) i GDPR. 

Skadestånd för fruktan av framtida missbruk av personuppgifter

Det är möjligt för registrerade att få skadestånd för deras fruktan av framtida missbruk av personuppgifter. Detta konstaterade EU-domstolen efter att den Bulgariska högsta Förvaltningsdomstolen hade begärt ett förhandsavgörande i frågan. Med andra ord kan det utgöra en immateriell skada om det finns välgrundade skäl för att personuppgifterna som exempelvis läckt eller kommit till obehöriga på något annat sätt, kan bli missbrukade i framtiden. 

Lär dig mer

Tillsynsmyndigheter kan utfärda en reprimand till företag som bryter mot GDPR

Om ett företag bryter mot GDPR, innebär det inte nödvändigtvis att företaget måste betala en sanktionsavgift. Det är möjligt för företaget att istället få en mildare påföljd, såsom reprimand (tillrättavisning) vid mindre allvarliga överträdelser. Det är ett flertal faktorer som spelar roll i vilken påföljd som en överträdelse leder till. Bland annat vad företaget har gjort för att begränsa skadan, storleken på företaget, antalet registrerade som blivit påverkade, vilka åtgärder som företaget har vidtagit för att det inte ska ske igen m.m. 

Vill du lära dig mer om GDPR?

Read more
Rulla till toppen