BLI GDPR READY FRÅN 9995KR.GDPR READY

EU-domstolen har slagit fast att fruktan för framtida skada kan ligga till grund för skadestånd enligt GDPR

2 februari 2024

GDPR

Ett IT-angrepp av en tredje part ledde till att 6 miljoner personers personuppgifter som behandlades av en skattemyndighet läcktes på internet. Några hundra av de drabbade väckte talan mot den personuppgiftsansvarige och begärde ersättning för den fruktan av att personuppgifterna skulle komma att missbrukas i framtiden.

I ett nyligen dömt mål (C-340/21) tog EU-domstolen ställning till frågan om fruktan för framtida skada kan räknas som immateriell skada inom ramen för skadestånd i GDPR och därmed ligga till grund för ett skadeståndsanspråk. I domen förtydligades även vad kraven på att vidta lämpliga säkerhetsåtgärder innebär för personuppgiftsansvariga.

Domstolen fastslog först och främst att ett obehörigt röjande av personuppgifter till följd av tredje parts IT-angrepp inte per automatik innebär att de tekniska och organisatoriska åtgärder som den personuppgiftsansvarige har vidtagit för skyddet av personuppgifterna inte var ”lämpliga” enligt GDPR. Lämpligheten av åtgärderna måste bedömas i en konkret bedömning som utgår från de identifierade riskerna som personuppgiftsbehandlingen medför och om åtgärdernas art, innebörd och genomförande är anpassade till dessa risker med hänsyn till den senaste utvecklingen inom teknik- och säkerhetsområdet. 

Gällande skadeståndsanspråket klargjorde domstolen att en första förutsättning för rätten till skadestånd är att det föreligger en överträdelse av GDPR. Det faktum att det obehöriga röjandet sker på grund av en tredje parts agerande innebär inte att den personuppgiftsansvarige undgår skadeståndsansvar, utan den personuppgiftsansvarige måste visa att denne inte är ansvarig för den skadevållande händelsen. Ytterligare en förutsättning är att den drabbade personen har lidit skada som orsakats av överträdelsen. I det aktuella målet menade en av de drabbade personerna av personuppgiftsläckan att den immateriella skadan hon lidit av bestod i att hon kände fruktan för att hennes läckta uppgifter skulle komma missbrukas i framtiden eller att hon själv skulle komma att utsättas för utpressning, våldshandlingar eller till och med bortförande. Domstolen slog fast att begreppet ”skada” i GDPR redan inkluderar den omständigheten att den drabbade har ”förlorat kontrollen” över sina personuppgifter, även om personuppgifterna ännu inte har missbrukats. I GDPR ska det inte göras någon skillnad på om den immateriella skada som den drabbade påstår sig ha lidit har något samband med att personuppgifterna redan har missbrukats eller om skadan endast är knuten till den fruktan som den drabbade känner. Domstolen förklarade dock att den drabbade personens fruktan måste anses objektivt välgrundad under de omständigheter som föreligger i det enskilda fallet. 

EU-domstolens bedömning belyser dels betydelsen av personuppgiftsansvarigas säkerhet för personuppgifter, dels omfattningen av skadeståndsansvaret vid en överträdelse till följd av bristande säkerhetsåtgärder, där endast fruktan för framtida skada kan ligga till grund för ett skadeståndsanspråk. 

Källa: EU-domstolens dom i mål C-340/21 VB v Natsionalna agentsia za prihodite

Kontakt

Vi hjälper dig vidare till nästa steg

Har du frågor eller vill boka demo? Vi står redo att hjälpa dig vidare mot en enklare vardag.

Vi hjälper dig vidare till nästa steg