Skadeståndskrav för brott mot GDPR blir vanligare – vad gäller?
Förutsättningar för skadestånd
Personer som anser sig ha drabbats av en överträdelse av GDPR har rätt att kräva ersättning för den uppkomna skadan av antingen den personuppgiftsansvarige eller det personuppgiftsbiträde som deltagit i behandlingen. Det kan till exempel röra sig om situationer där personuppgifter har delats på ett olagligt sätt eller att det saknas rättslig grund för behandlingen.
För att skadeståndsskyldighet ska föreligga måste tre kriterier uppfyllas:
Överträdelse. Det måste konstateras föreligga en överträdelse av GDPR (eller i förekommande fall annan tillämplig dataskyddslagstiftning).
Faktisk skada. Den enskilda måste kunna visa att denne faktiskt lidit skada, antingen materiell skada (dvs. ekonomisk skada) eller immateriell skada (dvs. ideell skada, en slags kränkningsersättning). Om det skett en överträdelse, men den enskilde inte har lidit någon skada föreligger alltså ingen skadeståndsskyldighet.
Det måste finnas ett orsakssamband mellan överträdelsen av dataskyddslagstiftningen och den lidna skadan.
Integritetsskyddsmyndigheten (IMY) driver inte skadeståndstalan åt enskilda personer. Enskilda är istället hänvisade till att väcka talan i domstol, vilket de alltid har rätt att göra. Det är därför ytterst domstolen som avgör om och hur stort skadestånd som ska utgå.
Hur stort kan skadeståndet bli?
De skadeståndsnivåer som gäller enligt svensk rättspraxis ligger normalt mellan 3 000 - 5 000 kronor avseende ideell skada, men har i några enstaka fall varit på nivåerna 15 000 – 35 000 kronor. En enskild har rätt till ersättning även för materiella skador som denne lidit på grund av överträdelsen, t.ex. om denne utsatts för identitetsstöld eller bedrägeri, men denna typ av skadestånd är mycket ovanliga.
Skadestånden i utländska domstolar kan ligga högre. Till exempel har tyska domstolar i flera fall satt skadeståndet för ideell skada till ca 2 000 euro.
Även om skadeståndsnivåerna i enskilda fall alltså är låga, kan beloppen bli stora om det rör sig om en stor mängd drabbade personer eller om överträdelsen leder till materiella skador.
Vem ska betala skadeståndet?
Som framgått ovan har enskilda personer i princip rätt att kräva ersättning antingen av den personuppgiftsansvariga eller personuppgiftsbiträdet.
Utgångspunkten är att det är personuppgiftsansvariga som ansvarar för skador som orsakas genom överträdelser av förordningen. Ett personuppgiftsbiträde ansvarar endast för skada som uppkommit till följd av behandlingen om denne inte har fullgjort sina skyldigheter som personuppgiftsbiträde eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar
Är det flera personuppgiftsansvariga eller personuppgiftsbiträden som är involverade i samma behandling, exempelvis genom en IT-drift eller en gemensam databas, är utgångspunkten att den registrerade har rätt att kräva ersättning för hela skadan från vilken som helst av dessa aktörer. Dessa aktörer får sedan reglera ansvaret för skadan sinsemellan genom den regressrätt som ges i GDPR. En förutsättning för skadeståndsskyldighet är dock att den aktör som krävs på skadestånd åtminstone delvis är ansvarig för den händelse som orsakade skadan.
Dessa ansvarsfördelningsprinciper förtydligas, kompletteras eller modifieras ofta mellan dessa aktörer om det finns ett personuppgiftsbiträdesavtal eller annat avtal som reglerar ansvaret för gemensam personuppgiftshantering. Se därför alltid till att ha ett avtal som är anpassat för personuppgiftshanteringen i er verksamhet och i era samarbeten!

Prenumerera på Lindahls nyhetsbrev
Håll dig uppdaterad om aktuella nyheter, juridiska insikter och kommande seminarier med våra experter.
Vill du veta mer? Kontakta:
Gabriel Miller
Senior Associate | AdvokatMikael Olsson
Senior Associate | AdvokatLisa Liljekvist
Senior Associate | AdvokatIda Karlsson
Specialist Counsel | AdvokatPontus Etéus
Senior Associate | AdvokatIda Hjorth
Associate | AdvokatCarousel items
-
Event
2025-10-16
Algoritmer & annonser – säkerställ ansvarsfull marknadsföring med AI
Välkommen på ett webbinarium som utforskar de juridiska och etiska utmaningarna kring AI-drivna marknadsföringskampanjer. Vi ses den 16 oktober klockan 10.00 - 10.45.
-
Insikter
2025-06-24
Frågor och svar: Arbetsgivarens skyldigheter i semestertider
Här har vi sammanställt de vanligaste frågorna vi brukar få från arbetsgivare inför semestern.
-
Nyheter
2025-06-23
Lindahl en av Sveriges ledande patentbyråer enligt The Patent Lawyer Magazine 2025
Lindahl har utsetts till en av Sveriges tio främsta advokatbyråer inom patenträtt av The Patent Lawyer Magazine. Utmärkelsen lyfter byråer som utmärker sig genom kvalitet, affärsnytta och engagemang inom området.
-
Porträtt
2025-06-23
20 år på Lindahl: ”Det är ett gott betyg, man utvecklas hela tiden”
Johan Tollgerdt Ronnell har varit en del av Lindahl i snart 20 år. ”Det är ett gott betyg, här har hela tiden funnits bra och nya karriärs- och utvecklingsmöjligheter.”
-
Uppdrag
2025-06-16
Lindahl rådgivare vid Swecos offentliga uppköpserbjudande på konsultkoncernen Projektengagemang
Lindahl rådger, tillsammans med Nord Advokater, Sweco Sverige AB i samband med dess rekommenderade uppköpserbjudande till aktieägarna i Projektengagemang Sweden AB (publ).
-
Fler nyheter, event & insikter?