Logga in

Logga in formulär

Ange ditt användarnamn. Ange ditt lösenord. Glömt ditt lösenord?

EU-domstolen förtydligar förutsättningarna för immateriellt skadestånd enligt GDPR

EU-domstolen har kommit med ytterligare vägledning gällande rätten till skadestånd i GDPR. Denna gång fördjupar sig domstolen i begreppet immateriell skada och i frågor om beräkning av skadestånd vid överträdelser av GDPR. Vår expert, Didrik Värmon, har analyserat domen.

Bakgrund

I april 2024 avkunnade EU-domstolen en dom (C-741/21), där man behandlat ett av nyckelbegreppen gällande skadeståndsanspråk till följd av överträdelser mot förordning (EU) 2016/679 (GDPR), nämligen begreppet ”immateriell skada”.

I målet i fråga hade en tysk advokat köpt in tjänster från ett företag som tillhandahåller en juridisk databas och vid upprepade tillfällen erhållit direktmarknadsföring från företaget. När advokaten i fråga upptäckte att dennes personuppgifter användes för direktmarknadsföringsändamål återkallade han sitt samtycke till att personuppgifter används för dessa ändamål (samt alla andra ändamål bortsett från utskick av nyhetsbrev).

Trots invändningen fortsatte företaget att skicka reklamblad till advokatens företagsadress vid flertalet tillfällen varpå advokaten valde att rikta skadeståndsanspråk mot företaget på grund av att hans personuppgifter använts i strid med GDPR och han till följd av detta lidit materiell- (kostnader för rättsprocessen) och immateriell skada. Gällande den immateriella skadan menade advokaten att den uppstått då hans personuppgifter behandlats trots hans invändning och han därmed förlorat kontrollen över sina personuppgifter. Att styrka effekterna av kränkningen som utgjort den immateriella skadan ansåg han inte vara nödvändigt för att kunna erhålla skadestånd enligt artikel 82 GDPR.

Företaget ansåg att det till följd av deras brister i processen för att bearbeta invändningar mot direktmarknadsföring inte förelåg något skadeståndsansvar. De höll visserligen med om att denna brist utgjort ett åsidosättande av GDPR (artikel 21.3), men hävdade att enbart ett sådant åsidosättande inte är tillräckligt för att en ”immateriell skada” enligt GDPR ska anses ha uppstått.

Då parterna var av olika uppfattning hamnade detta ärende i tysk domstol som valde att skicka ett antal frågor till EU-domstolen.

Frågorna som behandlades av EU-domstolen

För att kunna komma med ett avgörande behövde tysk domstol ha svar på följande från EU-domstolen:

  1. Innebär begreppet ”immateriell skada” enligt artikel 82 GDPR att varje intrång i den skyddade rättsliga ställningen ska omfattas, oberoende av intrångets andra effekter eller hur allvarligt intrånget är?
  2. Gäller undantaget från skadeståndsansvar i artikel 82.3 GDPR om överträdelsen i det enskilda fallet beror på ett mänskligt fel som begåtts av person som utför arbete under den personuppgiftsansvariges/personuppgiftsbiträdets överinseende?
  3. Är det tillåtet eller till och med påbjudet att använda beräkningskriterierna i artikel 83 GDPR som riktlinjer för att beräkna ersättning som ska betalas ut för immateriell skada?
  4. Ska ersättningen fastställas för varje enskild överträdelse eller fastställas som en samlad ersättning om det föreligger flera av samma eller liknande överträdelser?

Tillämplig lag

De centrala bestämmelserna i GDPR av relevans för detta mål var följande:

Beaktandeskäl 146

”Den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida till följd av behandling som strider mot denna förordning. Den personuppgiftsansvarige eller personuppgiftsbiträdet bör dock befrias från skadeståndsskyldighet om den kan visa att den inte på något sätt är ansvarig för skadan. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål. Detta påverkar inte skadeståndsanspråk till följd av överträdelser av andra bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt. Behandling som strider mot denna förordning omfattar även behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med denna förordning och medlemsstaternas nationella rätt med närmare specifikation av denna förordnings bestämmelser. Registrerade bör få full och effektiv ersättning för den skada de lidit. …”

Artikel 29

”Personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, får endast behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.”

Artikel 82

  1. ”Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.
  2. Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. …
  3. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.”

Artikel 83

”2.   … Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och om beloppet för de administrativa sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till följande:

a) Överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit.

b) Om överträdelsen skett med uppsåt eller genom oaktsamhet.

k) Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen.

Domstolens bedömning

Den första frågan

Den första frågan som EU-domstolen hade att avgöra var frågan om begreppet ”immateriell skada” enligt artikel 82 GDPR förutsätter en viss form av allvarlighetsgrad eller om ett åsidosättande av bestämmelserna i GDPR i sig är tillräckligt för att en immateriell skada ska anses ha uppstått.

Domstolen inleder med att hänvisa till tidigare praxis (C-687/21) där man identifierat att tre rekvisit föreligger i artikel 82.1 GDPR gällande möjligheten för enskilda att begära skadestånd. En rätt till skadestånd föreligger om (1) materiell- eller immateriell skada uppstått, (2) genom en överträdelse av GDPR och (3) det finns ett orsakssamband mellan överträdelse och skada. Domstolen konstaterar även att enbart ett åsidosättande av bestämmelser i GDPR inte per automatik innebär att immateriell skada uppstått. För att rätten till skadestånd ska föreligga krävs att den enskilde dels visar på att bestämmelser i GDPR åsidosatts, dels visar på att man på grund av detta orsakats sådan skada som avses i artikel 82.1 GDPR.

I det specifika fallet hade den enskilde (den tyske advokaten) yrkat på skadeståndsersättning för immateriell skada som utgjorts av förlorad kontroll över dennes personuppgifter till följd av en överträdelse av GDPR (artikel 21.3 GDPR). Domstolen ansåg att förlorad kontroll över sina personuppgifter, även under en kort tidsperiod, är en sådan skada som kan utgöra en ”immateriell skada” enligt artikel 82.1 GDPR.

Den andra frågan

Den andra frågan rörde bestämmelsen om undantag från skadeståndsansvar enligt artikel 82.3 GDPR och om den kan anses tillämplig om den aktuella skadan orsakats av misskötsamhet hos en person som utför arbete under den personuppgiftsansvariges/personuppgiftsbiträdets överinseende.

Domstolen inledde med att poängtera att det av artikel 82.2 GDPR framgår att varje personuppgiftsansvarig som medverkat vid personuppgiftsbehandlingen ska ansvara för skada som orsakats av denna personuppgiftsbehandling. Av tidigare praxis (C-667/21) framgår även att den personuppgiftsansvarige presumeras ha deltagit i personuppgiftsbehandlingen som utgjort överträdelsen av GDPR och att bevisbördan för detta inte ligger hos den enskilde utan hos den personuppgiftsansvarige.

Gällande den aktuella frågan hade företaget hävdat att man inte var skadeståndsansvarig då skadan uppstått på grund av att en anställd inte följt företagets instruktioner. Domstolen ansåg dock att undantagsregeln i artikel 82.3 GDPR ska vara strikt begränsad till situationer då den personuppgiftsansvarige kan visa att denne inte varit ansvarig för skadan. Man gör en hänvisning till tidigare praxis (C-340/21) och menar på att i de fall en person som utför arbete under den personuppgiftsansvariges överinseende orsakar en personuppgiftsincident, kan undantagsregeln i artikel 82.3 endast bli tillämplig om det saknas ett orsakssamband mellan den personuppgiftsansvariges skyldighet att skydda personuppgifterna (enligt artikel 5, 24 och 32 GDPR) och den skada som drabbat den registrerade.

Med detta menar domstolen att enbart det faktum att en anställd frångått den personuppgiftsansvariges instruktioner inte är tillräckligt för att den personuppgiftsansvarige ska undantas från skadeståndsansvar. Artikel 29 GDPR stadgar visserligen att den som arbetar under överinseende av den personuppgiftsansvarige enbart får arbeta utifrån dess instruktioner. Den personuppgiftsansvariges skyldigheter enligt artikel 5, 24 och 32 GDPR innebär bland annat att man som personuppgiftsansvarig ska kunna säkerställa att anställda följer instruktioner och att personuppgifter därmed behandlas på ett korrekt sätt (se till exempel artikel 32.4 som stadgar att den personuppgiftsansvarige ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under dennes överinseende, och som får tillgång till sådana uppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige). Att befria personuppgiftsansvariga från sitt skadeståndsansvar i situationer som denna vore att helt undergräva rätten till skadestånd enligt GDPR, bestämmelserna som rör den personuppgiftsansvariges skyldigheter i GDPR och skulle därmed gå emot syftet med förordningen.

Den tredje och fjärde frågan 

De två sista frågorna rörde hur skadeståndsersättning enligt artikel 82 GDPR ska beräknas. Först ville tysk domstol få besvarat om kriterierna i artikel 83 GDPR gällande fastställande av administrativa sanktionsavgifter. Därefter ville man få svar på om skadeståndsbelopp vid en serie av överträdelser (som resulterat i skada för den registrerade) ska fastställas genom en samlad bedömning eller genom att addera skadeståndsbeloppen för varje enskild skada.

När det gäller kriterierna för fastställande av skadeståndsbelopp inledde domstolen med att konstatera att artikel 82 och artikel 83 i GDPR eftersträvar olika mål. Artikel 83 GDPR har huvudsakligen ett bestraffande eller avskräckande syfte medans artikel 82 GDPR enbart syftar till att kompensera den som lidit skada genom en full och effektiv ersättning för skadan. Detta framgår direkt av ordalydelsen i respektive bestämmelse i kombination med beaktandeskäl 146 och 148.

I och med att bestämmelserna eftersträvar olika mål ansåg domstolen att bedömningskriterierna i artikel 83 GDPR inte fullt ut kan användas även vid fastställande av skadeståndsbelopp. Hur skadeståndsersättning vid skadeståndsanspråk enligt artikel 82 GDPR ska beräknas faller på respektive medlemsstats nationella regler gällande fastställande av skadeståndsanspråk.

Gällande den avslutande frågan repeterade domstolen att skadestånd ska beräknas med hjälp av respektive medlemsstats nationella regler. Domstolen påpekade dock att den omständigheten att den personuppgiftsansvarige gjort sig skyldig till flera skadeståndsgrundande överträdelser mot en och samma registrerad inte är ett relevant kriterium vid fastställande av skadestånd. Skadestånd enligt artikel 82 GDPR ska enbart motsvara den faktiska skadan som den registrerade lidit. 

Analys

Genom denna dom från EU-domstolen får vi ytterligare vägledning gällande möjligheten att begära skadestånd vid brott mot GDPR. Rätten till skadestånd utgör en viktig del av förordningen då den är ett av de verktyg som man som registrerad kan använda sig av för att säkerställa sina grundläggande mänskliga rättigheter. Under första tiden sen GDPR trädde i kraft rådde det enligt mig även ganska mycket oklarheter gällande i vilken omfattning man som registrerad kunde begära skadestånd. Dessa domar är därför efterlängtade nyheter från EU-domstolen. 

De nyckelinsikter jag tycker att man bör ta med sig av denna dom är följande: 

  1. Alla överträdelser av GDPR är inte skadeståndsgrundande

Förutsättningarna till ett skadeståndsanspråk enligt artikel 82 GDPR ska tolkas relativt strikt vilket domstolen redan slagit fast i tidigare praxis. Enbart det faktum att en överträdelse av GDPR skett innebär inte per automatik att den registrerade också lidit skada. För att skadeståndsanspråk ska anses föreligga krävs att tre kumulativa villkor uppfylls (skada, överträdelse av GDPR samt orsakssamband mellan dessa två).

  1. Långtgående ansvar för överträdelser för personuppgiftsansvariga

En personuppgiftsansvarig kan inte undgå ansvar genom att hävda att en anställd agerat i strid med instruktioner. För att undantaget från skadeståndsansvaret i artikel 82.3 ska bli tillämpligt krävs ytterligare omständigheter. För mig ter detta sig som en fullständigt rimlig slutsats av domstolen. Som personuppgiftsansvarig har man ett betydligt större ansvar gällande hur personuppgifter behandlas och hur dessa skyddas (särskilt genom artikel 5, 24 och 32 GDPR). Att undanta en personuppgiftsansvarig från skadeståndsansvar enbart på grund av att en anställd frångått skriftliga instruktioner vore att helt underminera övriga bestämmelser som reglerar den personuppgiftsansvariges skyldigheter.

  1. Nationella regler styr fortfarande beräkning av skadestånd

När det gäller beräkning av skadestånd gör domstolen det tydligt för oss det är nationell rätt som styr. GDPR innehåller inga regler om detta specifikt för beräkning av skadestånd och man tydliggör att de regler som finns gällande beräkning av administrativa sanktionsavgifter kan inte rakt av användas vid beräkning av skadestånd. Här har jag förståelse för domstolens tolkning och resonemang. Dock ser jag en fara med detta då samma överträdelse troligen kommer att leda till olika skadeståndsnivåer beroende på medlemsland då varje medlemsland har egna nationella regler och praxis. Ytterligare harmonisering av regelverken skulle troligen vara nödvändigt framöver.

  1. Fler överträdelser innebär inte per automatik mer i skadestånd

Skadestånd enligt artikel 82 GDPR syftar till att kompensera för den skada som den registrerade lidit. Upprepade överträdelser innebär inte alltid att den registrerade lidit större skada. Detta bör därmed inte användas som ett särskilt kriterium vid bedömning av skadestånd då skadeståndet till skillnad från exempelvis de administrativa sanktionsavgifterna inte har någon avskräckande eller bestraffande funktion. Det är den faktiska skadan som är central vid bedömningen av skadestånd. 

Analys av Domstolens dom (tredje avdelningen) av den 11 april 2024, mål C-741/21.

Ursprungligen publicerad i JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 3 sep 2024

Didrik Värmon

Regulatory Specialist, Max Matthiessen

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

Nyheter

Kommissionen har antagit de första genomförandebestämmelserna om cybersäkerhet för kritiska entiteter och nätverk enligt direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet).

5 nov 2024

I denna analys går vår expert, Didrik Värmon, igenom vad regelverket innehåller och analyserar dess effekter för EU:s finanssektor.    

5 nov 2024