Gå til innhold

Lov&Data

3/2023: Artikler
01/09/2023

Ideell skada enligt dataskydds­förordningen – en kommentar till EU-domstolens dom i mål C-300-21

Av Johanna Chamberlain, postdoktor i handelsrätt vid Företagsekonomiska institutionen, Uppsala universitet, där hon forskar om risk- och ansvarsfrågor kopplade till artificiell intelligens. Hon undervisar inom både offentlig rätt och civilrätt, med särskilt fokus på skadeståndsrätt och dataskydd.

Inledning och bakgrund

Ett domarblock och texten "GDPR", digital illustration.

Illustrasjon: Colourbox.com

Äntligen lite praxis om artikel 82 dataskyddsförordningen (GDPR)! (1)Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Kanske till och med en chans att få det efterlängtade tolkningsstödet kring vad de breda begreppen ”immateriell skada” och ”ersättning för uppkommen skada” egentligen betyder i det EU-rättsliga sammanhanget? (2)Se på detta tema t. ex. Havu, ”Damages Liability for Non-material Harm in EU Case Law”, European Law Review 2019, Vol. 44 nr. 4, s. 492–514; Havu, ”Contemporary Member State Liability Case Law: On Causation and Harm”, European Law Review 2022, Vol. 47 nr. 6, s. 791–808. Förväntningarna var höga bland alla intresserade när Europeiska unionens domstol (EUD) den 4 maj 2023 kom med sitt avgörande i målet UI mot Österreichische Post AB. (3)ECLI:EU:C:2023:370. Mål om artikel 82 GDPR, och innan dess om föregångaren artikel 23 i dataskyddsdirektivet, (4)Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. har nämligen lyst med sin frånvaro.

Bakgrunden till målet i EUD var att bolaget Österreichische Post AB sedan år 2017 hade samlat in uppgifter om den österrikiska befolkningens politiska tillhörighet, i syfte att – med hjälp av algoritmer som förutspådde sannolikhet att rösta på ett visst parti – sälja adresslistor och således möjliggöra för organisationer att skicka ut riktad reklam. En av de registrerade, UI, kände sig förnärmad över den politiska åskådning som tillskrevs honom mot bakgrund av de insamlade uppgifterna. Han väckte talan i nationell domstol och krävde dels att bolaget skulle förpliktas att upphöra med personuppgiftsbehandlingen, dels ersättning om 1 000 euro för ideell skada bestående i känslor av förlorad tillit, förargelse och förödmjukelse. Medan de nationella domstolarna biföll det förstnämnda yrkandet, begärde Österrikes högsta domstol förhandsavgörande gällande frågan om skadestånd. Följande tre viktiga och grundläggande frågor om ersättningsgill skada och ersättningsbestämning enligt artikel 82 ställdes till EUD:

Krävs det för att tillerkännas ersättning enligt artikel 82 i [dataskyddsförordningen], utöver en överträdelse av bestämmelserna i förordningen, även att klaganden har lidit skada, eller är överträdelsen av dataskyddsförordningen i sig tillräcklig för tillerkännande av ersättning?

Gäller vid beräkning av ersättningen ytterligare krav enligt unionsrätten utöver principerna om likvärdighet och effektivitet?

Är uppfattningen att det krävs en sådan följd eller verkan av en överträdelse som åtminstone är av viss allvarlighetsgrad och går utöver den förargelse som överträdelsen har orsakat för att [ersättning ska kunna beviljas för] ideell skada, förenlig med unionsrätten?

Äntligen lite praxis om artikel 82 dataskyddsförordningen (GDPR)! Kanske till och med en chans att få det efterlängtade tolkningsstödet kring vad de breda begreppen ”immateriell skada” och ”ersättning för uppkommen skada” egentligen betyder i det EU-rättsliga sammanhanget?

Domstolens dom och kommentarer till domen

Den första tolkningsfrågan

Efter att ha utrett vissa invändningar om att ta upp den första och andra frågan till sakprövning, varvid man konstaterat att detta var möjligt, gav sig EUD in på prövningen i sak. Angående den första tolkningsfrågan resonerar domstolen enligt följande:

Begreppen i artikel 82 ska ges en självständig och enhetlig unionsrättslig tolkning, då hänvisningar till medlemsstaternas rättsordningar saknas.(5)Domen p. 29–30. Artikel 82 ska tolkas så att enbart den omständigheten att GDPR överträtts inte är tillräckligt för att ge rätt till ersättning. För ersättning krävs alltså att överträdelsen i fråga har orsakat någon form av skada. Denna slutsats når EUD med hjälp av en bokstavstolkning, där förekomsten av ordet ”skada” och kravet på orsakssamband i artikel 82 och skäl 75, 85 och 146 betonas.(6)Domen p. 31–37. Vidare jämför EUD artikel 82 med artiklarna 83 och 84 i förordningen, vilka ”inte är beroende av förekomsten av en individuell skada”.(7)Domen p. 40. Domstolen framhåller härvid att dessa artiklar har ett bestraffande syfte, till skillnad från artikel 82, och att reglerna således kompletterar varandra.(8)Domen p. 40.

EUD:s resonemang i denna del innehåller inga egentliga nyheter eller överraskningar. För en skadeståndsrättare är det dock välkommet att få bekräftelse gällande den allmänna skadeståndsrättsliga principen att rätt till ersättning kräver en konstaterad skada. Det är också rimligt att skillnaden gentemot administrativa sanktionsavgifter enligt artikel 83 särskilt nämns – i det senare fallet räcker det alltså med en överträdelse. Denna skiljelinje mellan skadestånd och sanktionsavgift går tillbaka på de sedan länge etablerade funktionerna reparation och prevention eller bestraffning, vilket förstärker domstolens tolkning.(9)Se vidare Chamberlain & Reichel, ”The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation”, Mississippi Law Journal 2020, Vol. 89 nr. 4, s. 667–696.

För en skadeståndsrättare är det dock välkommet att få bekräftelse gällande den allmänna skadeståndsrättsliga principen att rätt till ersättning kräver en konstaterad skada.

Den tredje tolkningsfrågan

Domstolen valde därefter att behandla den tredje tolkningsfrågan. Ställningstagandet blev här att artikel 82 utgör hinder för nationell lagstiftning eller praxis, enligt vilken en förutsättning för ersättning för ideell skada är att skadan ska vara av en viss allvarlighetsgrad.(10)Domen p. 51. Som stöd för tolkningen uttalar EUD att ”skada” inte definieras i förordningen, men att skäl 146 anger att begreppet ska tolkas brett.(11)Domen p. 45–46. Av skäl 10 framgår vidare att förordningen syftar till att skapa en hög och enhetlig skyddsnivå för personuppgifter inom unionen, något som skulle riskera att undergrävas om rätten till ersättning gjordes beroende av en allvarlighetströskel som potentiellt kan variera domare emellan.(12)Domen p. 48–49. Den registrerade måste emellertid fortfarande visa att det finns en ideell skada i den mening som avses i artikel 82.(13)Domen p. 50.

Tolkningen är delvis väntad. Ett huvudsyfte med GDPR är ökad harmonisering på dataskyddsområdet, och det skulle då vara märkligt om EUD öppet förespråkade trösklar för ersättning som kan komma att variera inom medlemsstaterna (även om dessa sedan gammalt har olika standarder för ideell skada som inte endast inbegriper ersättningsnivåer utan även ersättningsgilla skador(14)Se t. ex. Wagner, ”Liability Rules for the Digital Age”, Journal of European Tort Law 2022, Vol. 13 nr. 3, s. 211; 221 f; 237.). Däremot hade EUD gärna fått säga betydligt mer om hur skadebegreppet, särskilt ”immateriell skada”, ska förstås i den EU-rättsliga kontexten och dataskyddssammanhanget. De riktlinjer och den ökade klarhet som praktiker och potentiella parter i mål har önskat uteblir helt genom EUD:s rundgång om att någon (undre) tröskel för en ersättningsgill ideell skada inte får finnas, men att en ideell skada i linje med artikel 82 fortfarande måste visas. Detta får anses innebära att det tills vidare är upp till medlemsstaterna att tolka och fylla begreppet – vilket medför att bedömningen, tvärtemot EUD:s harmoniseringsönskemål, kommer att bli beroende av nationella standarder och nationella domare som uppställer just olika trösklar.(15) Jfr Knetsch, ”The Compensation of Non-Pecuniary Loss in GDPR Infringement Cases”, Journal of European Tort Law 2022, Vol. 13 nr. 2, s. 145.

Den andra tolkningsfrågan

Slutligen behandlade EUD den andra tolkningsfrågan, och kom till följande slutsats. Vid beräkningen av ersättning för ideell skada enligt artikel 82 ska de nationella domstolarna tillämpa medlemsstatens interna bestämmelser om den ekonomiska ersättningens omfattning – under förutsättning att principerna om likvärdighet och effektivitet iakttas.(16)Domen p. 59. Domstolen hänvisar återigen till skäl 146 GDPR som anger att ”full och effektiv” ersättning ska utges, och menar att ersättningen är full och effektiv så länge den fullt ut möjliggör kompensation av den skada som vållats till följd av den aktuella överträdelsen (varvid skadestånd med bestraffande funktion inte anses nödvändigt för att full ersättning ska uppnås).(17)Domen p. 58.

Detta får anses innebära att det tills vidare är upp till medlemsstaterna att tolka och fylla begreppet – vilket medför att bedömningen, tvärtemot EUD:s harmoniseringsönskemål, kommer att bli beroende av nationella standarder och nationella domare som uppställer just olika trösklar.

Härmed tydliggör domstolen att inga ytterligare faktorer behöver beaktas när ersättningsbestämningen hanteras i medlemsstaterna, vilket innebär att samma ordning som tidigare fortsätter gälla för utomobligatoriskt skadestånd – nationell processuell autonomi inskränkt av likvärdighets- och effektivitetsprinciperna. Uttalandet angående full och effektiv ersättning tillför måhända inte så mycket, men det kan noteras att skadeståndsrättens kompensatoriska syfte betonas (liksom gällande den första tolkningsfrågan) och att en skillnad åter görs gentemot så kallat punitivt skadestånd.

Slutord

Sammanfattningsvis levererar EUD:s första substantiella dom om ideell skada på dataskyddsområdet inte riktigt de klargöranden som varit efterfrågade. Däremot bekräftas i domen att skadestånd alltjämt är beroende av att en överträdelse av dataskyddsreglerna har orsakat en faktisk skada, att harmonisering är ett huvudsyfte med förordningen och att likvärdighets- och effektivitetsprinciperna ska iakttas i samband med begreppet ”full och effektiv” ersättning (liksom i övrigt när EU-rätten genomförs). Även om dessa hållpunkter var högst kända sedan innan, kan vi i vart fall känna oss trygga med att fortsätta tillämpa artikel 82 GDPR som hittills. I övrigt får vi sätta vårt hopp till de övriga mål om artikel 82 som lyckligtvis pågår och som kan komma att få större betydelse framöver.(18)Se bl. a. mål C-687/21 och C-741/21.

Noter

  1. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
  2. Se på detta tema t. ex. Havu, ”Damages Liability for Non-material Harm in EU Case Law”, European Law Review 2019, Vol. 44 nr. 4, s. 492–514; Havu, ”Contemporary Member State Liability Case Law: On Causation and Harm”, European Law Review 2022, Vol. 47 nr. 6, s. 791–808.
  3. ECLI:EU:C:2023:370.
  4. Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
  5. Domen p. 29–30.
  6. Domen p. 31–37.
  7. Domen p. 40.
  8. Domen p. 40.
  9. Se vidare Chamberlain & Reichel, ”The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation”, Mississippi Law Journal 2020, Vol. 89 nr. 4, s. 667–696.
  10. Domen p. 51.
  11. Domen p. 45–46.
  12. Domen p. 48–49.
  13. Domen p. 50.
  14. Se t. ex. Wagner, ”Liability Rules for the Digital Age”, Journal of European Tort Law 2022, Vol. 13 nr. 3, s. 211; 221 f; 237.
  15. Jfr Knetsch, ”The Compensation of Non-Pecuniary Loss in GDPR Infringement Cases”, Journal of European Tort Law 2022, Vol. 13 nr. 2, s. 145.
  16. Domen p. 59.
  17. Domen p. 58.
  18. Se bl. a. mål C-687/21 och C-741/21.
Johanna Chamberlain (1)Postdoktor i handelsrätt vid Företagsekonomiska institutionen, Uppsala universitet.
Johanna Chamberlain, portrett