Skadeståndsanspråk på grund av överträdelser av GDPR föreligger endast om en skada faktiskt har uppstått. Det beslutade EU-domstolen i en dom den 4 maj 2023 (Az. C-300/21).
Företag hanterar stora mängder känsliga personuppgifter. Detta ställer höga krav på dataskyddet och överträdelser av dataskyddsförordningen (GDPR) kan leda till höga böter och skadeståndsanspråk, förklarar advokatbyrån MTR Legal, som också ger rådgivning till sina klienter inom IT-rätt och dataskydd.
EU-domstolen har nu beslutat att skadeståndsanspråk på grund av överträdelser av GDPR endast föreligger när en skada faktiskt har uppstått. Domarna i Luxemburg satte dock ribban för skadans inträde inte alltför högt. Det är inget villkor att skadan ska vara av betydande omfattning.
Fallet vid EU-domstolen handlade om ett fall i Österrike. Här hade en man stämt Österrikes post för ideellt skadestånd. Orsaken var att posten med hjälp av en algoritm och underliggande sociala och demografiska egenskaper hade samlat in information om partipreferenser. Dessa uppgifter publicerades inte, men var avsedda för partiernas valkampanjsyften. För mannen resulterade detta i en benägenhet mot ett visst parti. Detta gillade han inte. Han stämde enligt art. 82 GDPR för ideellt skadestånd.
Den österrikiska högsta domstolen överlämnade fallet till EU-domstolen och den beslutade att enbart en överträdelse av GDPR inte räcker för ett skadeståndsanspråk. Rätten till skadestånd är kopplad till tre förutsättningar: Först måste det finnas en överträdelse av GDPR. Dessutom måste en materiell eller ideell skada ha uppstått och överträdelsen av GDPR vara orsaken. Därmed leder inte varje överträdelse av GDPR automatiskt till skadeståndsanspråk.
Dock föreligger rätten till ideellt skadestånd inte endast vid en viss betydande omfattning. Det finns inga bagatellfall. Kriterier för väsentligheten av skadan anges inte av GDPR, vilket är medlemsstaternas ansvar. Dessa måste dock säkerställa att fullständigt och effektivt skadestånd för uppkommen skada är säkrad, enligt EU-domstolen.
Vid behandling av personuppgifter krävs hög noggrannhet enligt EU-domen. Advokater med erfarenhet av IT-rätt ger rådgivning hos MTR Legal i frågor om dataskydd.
