EU-domstolen har slagit fast att fruktan för framtida skada kan ligga till grund för skadestånd enligt GDPR

I ett nyligen dömt mål (C-340/21) tog EU-domstolen ställning till frågan om fruktan för framtida skada kan räknas som immateriell skada inom ramen för skadestånd i GDPR och därmed ligga till grund för ett skadeståndsanspråk. I domen förtydligades även vad kraven på att vidta lämpliga säkerhetsåtgärder innebär för personuppgiftsansvariga.

Domstolen fastslog först och främst att ett obehörigt röjande av personuppgifter till följd av tredje parts IT-angrepp inte per automatik innebär att de tekniska och organisatoriska åtgärder som den personuppgiftsansvarige har vidtagit för skyddet av personuppgifterna inte var ”lämpliga” enligt GDPR. Lämpligheten av åtgärderna måste bedömas i en konkret bedömning som utgår från de identifierade riskerna som personuppgiftsbehandlingen medför och om åtgärdernas art, innebörd och genomförande är anpassade till dessa risker med hänsyn till den senaste utvecklingen inom teknik- och säkerhetsområdet. 

Gällande skadeståndsanspråket klargjorde domstolen att en första förutsättning för rätten till skadestånd är att det föreligger en överträdelse av GDPR. Det faktum att det obehöriga röjandet sker på grund av en tredje parts agerande innebär inte att den personuppgiftsansvarige undgår skadeståndsansvar, utan den personuppgiftsansvarige måste visa att denne inte är ansvarig för den skadevållande händelsen. Ytterligare en förutsättning är att den drabbade personen har lidit skada som orsakats av överträdelsen. I det aktuella målet menade en av de drabbade personerna av personuppgiftsläckan att den immateriella skadan hon lidit av bestod i att hon kände fruktan för att hennes läckta uppgifter skulle komma missbrukas i framtiden eller att hon själv skulle komma att utsättas för utpressning, våldshandlingar eller till och med bortförande. Domstolen slog fast att begreppet ”skada” i GDPR redan inkluderar den omständigheten att den drabbade har ”förlorat kontrollen” över sina personuppgifter, även om personuppgifterna ännu inte har missbrukats. I GDPR ska det inte göras någon skillnad på om den immateriella skada som den drabbade påstår sig ha lidit har något samband med att personuppgifterna redan har missbrukats eller om skadan endast är knuten till den fruktan som den drabbade känner. Domstolen förklarade dock att den drabbade personens fruktan måste anses objektivt välgrundad under de omständigheter som föreligger i det enskilda fallet. 

EU-domstolens bedömning belyser dels betydelsen av personuppgiftsansvarigas säkerhet för personuppgifter, dels omfattningen av skadeståndsansvaret vid en överträdelse till följd av bristande säkerhetsåtgärder, där endast fruktan för framtida skada kan ligga till grund för ett skadeståndsanspråk. 

Källa: EU-domstolens dom i mål C-340/21 VB v Natsionalna agentsia za prihodite