Kan jag få kompensation för läckta personuppgifter hos min teleoperatör?

2019-09-07 i PUL/GDPR
FRÅGA
Hej. Jag är kund hos en teleoperatör och fick precis veta att mina personuppgifter har läckt hos dem. Jag tycker de har varit oaktsamma med mina uppgifter. Kan jag kräva kompensation för den integritetskränkningen, för att de har dålig säkerhet dessa säljregister?
SVAR

Hej och tack för att du vänder dig till oss på Lawline med din fråga!

Ansvar och eventuell skadeståndsskyldighet styrs i ditt fall av dataskyddsförordningen (GDPR) och lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.

Dataskyddsförordningen ställer vissa krav vid behandling av personuppgifter. I kraven ingår bland annat att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (Art. 5.1f GDPR). Enligt art 24 GDPR ska det ske en riskbaserad ansats avseende riskerna för att säkerställas att behandlingen utförs i enlighet med dataskyddsförordningen. Vilka åtgärder som ska tas varierar efter en avvägning av riskerna vs konsekvenserna. Om risken är låg bör det tas rätt långtgående åtgärder ändå, samtidigt innebär det att om sannolikheten för risken är låg/försumbar och dessutom de negativa konsekvenserna för den registrerade är små/försumbara behöver det inte tas lika långtgående åtgärder. Tanken med den riskbaserade metoden är att det ska finnas en flexibilitet.

Det du kan göra om du anser att din operatör inte behandlat dina personuppgifter i enlighet med GDPR i och med den läcka som uppstått är att du gör en anmälan till Dataskyddsinspektionen. Myndigheten kan granska företaget och även utdela höga sanktionsbelopp. Det finns även en möjlighet till civilrättsligt skadestånd i förordningen och dataskyddslagen. Varje person som lidit materiell eller immateriell skada till följd av en överträdelse av förordningen har rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Personuppgiftsansvarig är i det här fallet antagligen din operatör, medan ett personuppgiftsbiträde är sådan som behandlar personuppgifter åt den personuppgiftsansvarige (Art 82 GDPR och 7 kap. 1 § dataskyddslagen).

Det finns i förordningen inga bestämmelser eller riktlinjer för att bedöma skadeståndets storlek. Det innebär att bedömningen kommer att behöva göras enligt nationell rätt. Det finns ännu ingen prövning av skadestånd i förhållande till GDPR i Sverige. Däremot har HD fastslagit principer för mer eller mindre normerat skadestånd vid överträdelser av personuppgiftslagen (PUL). I rättsfallet betraktades skadeståndet av domstolen som en kränkningsersättning som ska kompensera känslor hos den skadelidande och ge upprättelse. Domstolen uttalade att i fall som inte är allvarliga bör ersättningen inte överstiga 5.000 kronor, i mindre allvarliga fall fastslog domstolen ett schablonbelopp om 3.000 kronor (jfr NJA 2013 s. 1046).

För att få skadestånd kan du i första hand höra av dig till din operatör och försöka komma överens. Det är den enklaste vägen då du slipper väntetid, att gå till domstol med förhoppning om att få rätt. Om ni inte kan komma överens är min rekommendation att du anlitar en jurist till hjälp som tittar närmre på ditt ärende. Om du behöver få kontakt med en av Lawlines för ändamålet och vill ha en offert samt boka tid, är du varmt välkommen att återkomma till mig per e-post på dennis.lavesson@lawline.se.

Med vänliga hälsningar,

Dennis Lavesson
Fick du svar på din fråga?
Relaterat innehåll
Senaste besvarade frågorna inom PUL/GDPR (156)
2019-10-29 Ladda upp dokument
2019-09-22 Ser ni IP-adressen till den som skickar in en fråga till er?
2019-09-19 Är det tillåtet att filma en annan elev i ett klassrum?
2019-09-07 Kan jag begära skadestånd för att min operatör haft dataintrång?

Alla besvarade frågor (74492)