Skadestånd vid GDPR-överträdelser - En studie i hur GDPR förhåller sig till den svenska skadeståndsregleringen i fråga om skadeståndsansvar och arbetstagares skydd från skadeståndsskyldighet

The General Data Protection Regulation, GDPR, trädde i kraft den 25 maj 2018. GDPR innebar ökade krav på personuppgiftsbehandlingen inom EU och EES. För att säkerställa regelefterlevnad infördes kraftiga sanktioner och långtgående skadeståndsansvar vid överträdelser av GDPR. Denna uppsats handlar huvudsakligen om hur de svenska reglerna kring principalansvar och arbetstagares skydd mot skadestånd förhåller sig till skadeståndsregleringen i GDPR. Genom att använda rättdogmatisk metod syftar uppsatsen till att utreda vad som är gällande rätt i frågor som rör skadestånd vid GDPR-överträdelser.

Skadeståndsansvaret regleras i artikel 82 i GDPR och kan jämföras med vad som i svensk rätt kallas strikt ansvar. Artikel 82 gör ingen skillnad mellan arbetsgivarens och arbetstagarens ansvar. I en situation där en arbetsgivare har betalat skadestånd på grund av att en arbetstagare vållat en skada i tjänsten kan reglerna om principalansvar i 3:1 SKL användas som utfyllnad i regressfrågor. Utöver culpaansvar följer även ansvar för att minimera skaderiskerna av principalansvaret. Liknande ansvar följer inte av just artikel 82 men kan återfinnas i andra bestämmelser i GDPR

Arbetstagare kan endast bli skadeståndsskyldiga för skador som de vållat i tjänsten om det föreligger synnerliga skäl. 4:1 SKL inskränker arbetsgivarens möjligheter att begära utbetalat skadestånd i regress av sina anställda. Kravet på synnerliga skäl bör tolkas som att huvudregeln är att arbetstagaren ska undgå skadeståndsansvar. Enligt min undersökning finns det inget som tyder på att kravet på synnerliga skäl skulle vara lägre eller högre ställt när det gäller skadestånd på grund av GDPR-överträdelser. Om en arbetstagare skulle bli skyldig att betala skadestånd till sin arbetsgivare kan summan fortfarande jämkas enligt 6:2 SKL. Sammanfattningsvis anser jag att arbetstagares skydd mot skadestånd är starkt.


Övriga problem som kan uppstå inom ramen för skadestånd vid GDPR-överträdelser är bland annat att en överträdelse kan bli omfattande och drabba tusentals personer. Dessutom kan överträdelser ske utan att de berörda märker detta. Vid överträdelser är skadelidande berättigade ersättning för både ideella och ekonomiska skador. Problemet med ideella skador är att de är svåra att skilja från ekonomiska skador och inte kan mätas i pengar. I min undersökning har jag funnit att det finns vägledning för att lösa dessa problem i form av uttalanden från Justitiekanslern och avgöranden från Högsta domstolen.

Avslutningsvis kan jag konstatera att det i dagsläget fortfarande är mycket som är oklart i fråga om hur GDPR ska tillämpas och tolkas eftersom det inte hunnit utvecklas doktrin och praxis. Jag menar att det ligger i rättsutvecklingens riktning att behandling av känsliga personuppgifter kommer att betraktas som en riskfylld verksamhet. Frågor som rör ansvarsfördelningen mellan arbetsgivare och arbetstagare kommer först att kunna besvaras med säkerhet när det finns mer praxis på området. Jag bedömer att opinionsutvecklingen inom rättspolitiken kommer ha stort inflytande på hur GDPR kommer att tolkas och tillämpas i framtiden.