Hoppa till innehåll

EU-domstolen: fruktan för att den registrerades personuppgifter eventuellt kan komma att missbrukas efter en personuppgiftsincident kan ge rätt till skadestånd

Utgivningsdatum 22.12.2023 9.48 | Publicerad på svenska 3.1.2024 kl. 12.38
Nyhet

Europeiska unionens domstol har tagit ställning till skäl av vilka en person som blivit föremål för en personuppgiftsincident kan begära skadestånd av en organisation. Fruktan för eventuellt missbruk av uppgifter som läckts vid en personuppgiftsincident kan utgöra en immateriell skada för vilken en organisation kan förpliktas att betala skadestånd.

Den bulgariska skattemyndighetens datasystem blev utsatt för en cyberattack under år 2019. Efter attacken publicerades personuppgifterna av miljontals människor på internet. Flera personer som blivit föremål för attacken väckte talan mot skattemyndigheten och yrkade på ersättning för ideell skada som orsakats av att deras uppgifter äventyrats.

Bulgariens högsta förvaltningsdomstol begärde ett förhandsavgörande av Europeiska unionens domstol om tolkningen av den personuppgiftsansvarigas skadeståndsansvar. EU-domstolen slår fast att en organisation kan förpliktas att betala skadestånd till personer som drabbats av en personuppgiftsincident och som fruktar att deras läckta eller stulna personuppgifter eventuellt kan missbrukas i framtiden.

Enligt EU-domstolen kan den fruktan som personer som blivit föremål för en personuppgiftsincident känner för att hens personuppgifter kan komma att missbrukas i framtiden i sig utgöra immateriell skada. Denna fruktan ska vara välgrundad för att den ska ge rätt till skadestånd. 

En organisation kan bli skadeståndsansvarig, om personuppgifter hamnar i fel händer till följd av en personuppgiftsincident. Organisationen är ansvarig för och ska kunna visa att den inte på något sätt är ansvarig för den händelse som orsakat skadan och att dess säkerhetsåtgärder har varit adekvata.

Det faktum att en utomstående part har fått obehörig åtkomst till personuppgifterna betyder inte ensamt att skyddsåtgärderna skulle ha varit otillräckliga. Eventuellt skadeståndsansvar ska bedömas av domstolar. När domstolar bedömer en organisations skadeståndsansvar ska de konkret granska huruvida de skyddsåtgärder som organisationen använt sig av har varit tillräckliga.

En person som lidit skada kan rikta ersättningsanspråk direkt till den organisation som brutit mot dataskyddsförordningen. Om organisationen inte går med på kraven kan man väcka talan i tingsrätten. Skadestånd kan inte krävas via dataombudsmannens byrå.

Mer information:

​​​​​​​​​​​​​Europeiska unionens domstols dom C-340/21 på domstolens webbplats

Europeiska unionens domstols meddelande på domstolens webbplats på engelska: Cybercrime: the fear of a possible misuse of personal data is capable, in itself, of constituting non-material damage (14.12.2023)

Tillbaka till toppen