Inledning

Det särskilda skadeståndsansvaret enligt artikel 82 i GDPR var länge mycket oklart och föremål för olika tolkningar. Genom en serie domar från EU-domstolen de senaste tre åren har rättsläget klarnat i flera väsentliga avseenden. Min avsikt är att i den här artikeln kort sammanfatta den praxisutveckling som skett och vad vi därigenom för närvarande vet om rättsläget, men även att peka på några viktiga punkter där det alltjämt finns behov av ytterligare klargöranden. En mer utförlig genomgång av praxis och analys av skadeståndsansvaret återfinns i min avhandling Skadeståndsansvar vid personuppgiftsbehandling – En undersökning av skadeståndsansvaret enligt dataskyddsförordningen.

Ansvaret

En fråga som det tidigare rådde delade meningar om gällde huruvida skadeståndsansvaret enligt GDPR är ett strikt ansvar eller ett oaktsamhetsansvar. Oenigheten gällde framför allt om redan en konstaterad överträdelse av förordningens regler är grund för ansvar, eller om det därutöver också krävs uppsåt eller oaktsamhet. Till stor del tycks de olika uppfattningarna ha grundat sig i olika tolkningar av vad regeln om att undgå ansvar i artikel 82.3 egentligen innebär.

Genom domarna i målen C-340/21 och C-667/21 har EU-domstolen numera fastställt att skadeståndsansvaret enligt artikel 82 inte är strikt, utan att det istället är ett slags presumerat ansvar för oaktsamhet. Enligt EU-domstolen behöver den registrerade visserligen endast visa att det förekommit en överträdelse av förordningens regler, men den personuppgiftsansvarige kan i sådana fall undgå skadeståndsansvar genom att visa att denne inte varit oaktsam. Om den registrerade visar att det har förekommit en regelöverträdelse presumeras således den personuppgiftsansvarige ha varit oaktsam, vilket det ankommer på den senare att motbevisa. Enligt EU-domstolen kan den personuppgiftsansvarige bryta presumtionen om oaktsamhet genom att visa att denne vidtagit lämpliga tekniska och organisatoriska åtgärder för att efterfölja förordningens regler (jfr artiklarna 24, 25 och 32), alternativt visa att bristen på sådana åtgärder saknade betydelse för skadans uppkomst (bristande orsakssamband). Framför allt domen i mål C-340/21 innehåller flera vägledande uttalanden om hur en nationell domstol ska bedöma huruvida den personuppgiftsansvariges åtgärder ska anses ha varit lämpliga.

Situationerna som EU-domstolen hade att bedöma i de ovan nämnda rättsfallen involverade endast en ensam personuppgiftsansvarig. Varken i de nämnda målen eller i senare domar har EU-domstolen tagit ställning till skadeståndsansvaret i en situation med flera gemensamt personuppgiftsansvariga. Visserligen kan man utgå ifrån att det presumtionsansvar domstolen har fastslagit gäller även för gemensamt personuppgiftsansvariga, men likväl kan en situation med gemensamt personuppgiftsansvar gestalta sig något annorlunda och tänkas ge upphov till särskilda frågor. Det kan till exempel nämnas att EU-domstolen i sin praxis beträffande gemensamt personuppgiftsansvariga har uttalat att ett sådant gemensamt ansvar inte nödvändigtvis innebär att de inblandade har samma ansvar, utan att skyldigheterna kan fördela sig olika (C-40/17). Det återstår emellertid för EU-domstolen att förtydliga vilken betydelse det nyssnämnda har inom ramen för det presumtionsansvar domstolen har etablerat enligt artikel 82.

EU-domstolen har hittills inte heller berört frågan om skadeståndsansvar vid behandling där det förekommer personuppgiftsbiträden. Det finns visserligen argument för att även personuppgiftsbiträden – inom ramen för sina mer begränsade skyldigheter – är underkastade ett presumtionsansvar motsvarande eller liknande det för personuppgiftsansvariga, men rättsläget får trots allt betraktas som osäkert. Det är inte heller alldeles klart hur den personuppgiftsansvarige mer exakt kan undgå det presumerade ansvaret när skadan har orsakats av behandling som utförts av personuppgiftsbiträdet; blir saken beroende av de implementerade åtgärdernas lämplighet helt oberoende av om ett personuppgiftsbiträde har anlitats eller ej, eller ska bedömningen ta sikte på om den personuppgiftsansvariges val, instruktioner och övervakning av personuppgiftsbiträdet varit lämpliga?

Vad gäller den personuppgiftsansvariges ansvar för sina anställda har EU-domstolen i mål C-741/21 uttalat att det inte är möjligt att undgå ansvar med hänvisning till att anställda har försummat att följa interna instruktioner. Det tycks i praktiken innebära att anställdas försumliga handlingar eller underlåtenheter tillskrivs den personuppgiftsansvarige, vilket i allt väsentligt då skulle motsvara regler om principalansvar eller identifikation i nordisk skadeståndsrätt. Dock har EU-domstolen ännu inte tagit ställning till hur skadeståndsansvaret enligt GDPR förhåller sig till situationer där anställda med uppsåt bryter mot den personuppgiftsansvariges instruktioner. EU-domstolens tidigare praxis beträffande uppkomsten och gränserna för personuppgiftsansvar kan dock vara till viss ledning i det avseendet.

Skada

Skadebegreppen i artikel 82 utgör autonoma unionsrättsliga begrepp som det ytterst ankommer på EU-domstolen att uttolka. Enligt EU-domstolen utgör kraven på överträdelse och skada kumulativa krav, det vill säga att skadan måste utgöra en konsekvens av överträdelsen som kan särskiljas från överträdelsen som sådan (C-300/21). En överträdelse av reglerna i GDPR innebär således inte i sig en skada och medför inte heller en presumtion för skada (C-200/23 och C-526/24).

En ideell skada behöver inte vara av viss allvarlighetsgrad eller omfattning för att vara ersättningsgill (C-300/21). Med and ord behöver en ideell skada inte nå upp till en viss miniminivå, utan även en ringa ideell skada ska ersättas.

Det finns visserligen argument för att även personuppgiftsbiträden – inom ramen för sina mer begränsade skyldigheter – är underkastade ett presumtionsansvar motsvarande eller liknande det för personuppgiftsansvariga, men rättsläget får trots allt betraktas som osäkert.

Det följer dock av EU-domstolens praxis att den registrerade måste visa att det varit fråga om en ideell skada i GDPR:s mening (C-300/21, C-340/21 och C-456/22). I viss utsträckning har EU-domstolen klargjort vad som utgör en ideell skada i GDPR:s mening. Enligt EU-domstolen är det till exempel inte risken för ett framtida missbruk som utgör den ideella skadan, men däremot kan fruktan för sådant missbruk innebära en ideell skada (C-340/21). Det behöver således inte nödvändigtvis ännu ha förekommit något missbruk av personuppgifterna eller liknande konkreta negativa effekter för att en ideell skada ska uppkomma.

Med utgångspunkt i hittillsvarande praxis tycks med ideell skada framför allt avses olika typer av känslomässiga reaktioner (C-340/21, C-200/23, C-655/23 och C-526/24). Sådana känslomässiga reaktioner till följd av en förlorad kontroll eller ett spridande av personuppgifter efter dataintrång måste då framstå som välgrundade (C-340/21 och C-526/24). Det utesluter dock inte att även andra typer av faktiska konsekvenser för den registrerade utgör ideell skada i GDPR:s mening, vilket inte minst skäl 78 och 85 i GDPR antyder, men det återstår för EU-domstolen att utveckla sin praxis i det här avseendet.

Ersättning

Eftersom artikel 82 i GDPR saknar regler om ersättning, ska storleken på ersättningen fastställas enligt nationell rätt, med förbehåll för att principerna om likvärdighet och effektivitet då måste respekteras. Det innebär att ersättningsnivåerna blir en fråga för nationell rätt och de nationella domstolarna att fastställa. Några mer precisa uttalanden om ersättningsnivåer i beloppstermer kan därför inte förväntas från EU-domstolen. Dock har EU-domstolen i ett flertal domar gett vägledning om vilka krav effektivitetsprincipen innebär när nationell rätt ska tillämpas för att fastställa ersättningens storlek.

Av EU-domstolens praxis framgår att effektivitetsprincipen i det här sammanhanget framför allt innebär att ersättningen till den registrerade ska utgöra full kompensation för den faktiskt uppkomna skadan (C-300/21). I enlighet med det nyssnämnda har EU-domstolen betonat att ersättningen varken har en avskräckande eller bestraffande funktion (C-300/21 och C-667/21). Överträdelsens allvar eller graden av vållande saknar därför betydelse, liksom för övrigt de kriterier som tillämpas vid sanktionsavgifter enligt artikel 83 (C-667/21 och C-741/21). Av samma skäl är inte heller antalet överträdelser eller skadevållarens motiv relevant för ersättningens storlek (C-741/21 och C-507/23).

Eftersom även ringa skador ska ersättas finns det inte heller något som hindrar att ersättningen fastställs till ett ringa belopp, så länge ersättningen står i proportion till skadan och därför kan anses utgöra full kompensation (C-182/22 och C-189/22). Vid bedömningen av om den registrerade är fullt kompenserad kan även beaktas att denne erhållit icke-ekonomisk kompensation, till exempel i form av er ursäkt, men däremot inte att den personuppgiftsansvarige blivit föremål för ett förbudsföreläggande (C-507/23 och C-655/23).

Avslutning

Genom de förhållandevis många avgöranden EU-domstolen meddelat de senast tre åren har skadeståndsansvaret enligt artikel 82 blivit klarlagt i flera viktiga avseenden. Som förhoppningsvis framgått av den här redogörelsen för praxis så finns det emellertid i vissa delar alltjämt ett behov av vägledning från EU-domstolen.