Att yrka på skadestånd vid överträdelse av dataskyddsförordningen
Om en personuppgiftsansvarig eller ett personuppgiftsbiträde bryter mot EU:s allmänna dataskyddsförordning och detta orsakar materiell eller immateriell skada för den registrerade, har man rätt till ersättning för skadan.
Rikta anspråk på ersättning direkt till den personuppgiftsansvarige eller det personuppgiftsbiträde som bröt mot dataskyddsförordningen. Om den personuppgiftsansvarige inte tillmötesgår din begäran, kan du väcka talan i tingsrätten. För dataintrång eller andra brott kan skadeståndsanspråk avgöras i samband med det straffrättsliga förfarandet.
Att framställa skadeståndsanspråk mot den personuppgiftsansvarige eller personuppgiftsbiträdet
Rikta dina anspråk på ersättning för materiella eller immateriella skador i första hand till den personuppgiftsansvarige eller det personuppgiftsbiträde som bröt mot dataskyddsförordningen.
Med materiella skador avses ekonomiska förluster, såsom inkomstförluster och kostnader för vård av den skadelidande. Materiella skador kan vara till exempel kostnader som uppkommer till följd av en psykisk sjukdom eller dess förvärrande. Med immateriella skador avses sveda, värk eller olägenhet eller lidande som kränkningen av rättigheterna medfört.
Om den personuppgiftsansvarige eller personuppgiftsbiträdet inte tillmötesgår din begäran om skadestånd, kan du väcka talan mot den personuppgiftsansvarige eller personuppgiftsbiträdet i domstol med stöd av dataskyddsförordningen.
Läs mer om rätt till ersättning: dataskyddsförordningen artikel 82 (EUR-Lex)
Läs mer om skador om ersätts: 5 kap. 2 och 6 § i skadeståndslagen (Finlex)
En registrerad är den person som omfattas av en personuppgift. En personuppgift avser en uppgift utifrån vilken du kan identifieras. T.ex. personbeteckning och patientuppgifter är personuppgifter.
En personuppgiftsansvarig är en person eller organisation, som fastställer för vilket syfte och på vilket sätt personuppgifter behandlas. En personuppgiftsansvarig kan exempelvis vara en förening som samlar in uppgifter om sina medlemmar, ett sjukhus som behandlar patientuppgifter, en nätbutik eller en tjänst inom sociala medier.
Ett personuppgiftsbiträde är en person eller organisation, som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde kan vara exempelvis en marknadsföringsbyrå som sköter ett annat företags marknadsföring eller en IT-serviceleverantör med tillgång till den personuppgiftsansvariges personuppgifter. Med personuppgiftsbiträde avses inte anställda för en personuppgiftsansvarig som behandlar personuppgifter i sitt arbete.
Dataombudsmannens byrå hanterar inte anspråk på skadestånd som riktas mot personuppgiftsansvariga eller personuppgiftsbiträden. Dataombudsmannen verkar inte som ombud och kan inte yrka på skadestånd för din räkning.
Dataombudsmannens byrå har som uppgift att undersöka huruvida den personuppgiftsansvarige eller personuppgiftsbiträdet har handlat i strid med dataskyddsförordningen. Dataombudsmannens byrå kan vid behov använda korrigerande befogenheter, såsom påförande av administrativa påföljdsavgifter. Eventuella påföljdsavgifter ska betalas till staten och vid fastställning av beloppet på påföljdsavgiften är det möjligt att beakta bland annat den personuppgiftsansvariges åtgärder för att lindra de skador som de registrerade har lidit.
Skadeståndsanspråk för brott
För dataintrång, spridande av information som kränker privatlivet, dataskyddsbrott eller andra brott kan skadestånd yrkas i samband med det straffrättsliga förfarandet. I förundersökningen utreder polisen om målsägandena, dvs. de som gjorde en polisanmälan, har anspråk på skadestånd mot de brottsmisstänkta. Sådana anspråk kan avgöras i domstolen i samband med det straffrättsliga förfarandet.