FrågaSKADESTÅNDSRÄTTHur kräver man skadestånd?23/10/2025

Kan jag få skadestånd efter dataläcka?

Hej, jag fick nyligen besked från min arbetsgivare (en region) att mina personuppgifter ingår i den stora läckan från Miljödata (https://www.svt.se/nyheter/om/cyberattack-mot-miljodata). Då det är omöjligt att få det gjorda ogjort så undrar jag istället om det finns utrymme att kräva skadestånd för det inträffade?

Lawline svarar

Hej,


Ja, det finns möjlighet att kräva skadestånd när personuppgifter har exponerats i en dataläcka, men hur framgångsrikt ett sådant krav blir beror på flera faktorer. Det handlar om ifall regionen brutit mot GDPR:s säkerhetsregler, om du kan visa att du lidit skada (ekonomisk eller psykisk) och vilken bevisning som finns.

Enligt GDPR (artikel 82) har alla som lidit skada till följd av en överträdelse rätt till ersättning från den personuppgiftsansvarige eller ett personuppgiftsbiträde. Regionen är personuppgiftsansvarig för sina anställdas uppgifter och har en skyldighet att skydda dessa enligt bland annat artikel 5 och 32 i GDPR. Om regionen brustit i sina tekniska eller organisatoriska säkerhetsåtgärder kan det grunda rätt till ersättning.

Eftersom regionen är en offentlig aktör gäller också skadeståndslagens regler. En region kan bli ersättningsskyldig vid fel eller försummelse i sin verksamhet, exempelvis enligt 3 kap. 1–4 §§ skadeståndslagen (1972:207).

Skadestånd kan gälla både materiell och immateriell skada. Materiell skada är konkret ekonomisk förlust, till exempel om någon använt dina uppgifter för bedrägeri. Immateriell skada handlar om oro, psykisk påfrestning eller integritetskränkning. För att få ersättning måste du kunna visa att du lidit skada till följd av läckan. Om uppgifterna bara riskerat att missbrukas, men ingen faktisk skada skett, brukar ersättningen bli låg. I tidigare fall har svenska domstolar ofta dömt ut mindre belopp, vanligen några tusen kronor, vid enklare överträdelser.

Kravet ska riktas mot regionen, som är ansvarig för behandlingen. Du behöver kunna visa vad som läckt, när det skedde, hur regionen agerat och om de följt reglerna om informationsskyldighet i artiklarna 33 och 34 i GDPR.

Det är klokt att börja med att begära skriftlig information från regionen om incidenten – vilka uppgifter som omfattas, när intrånget skedde och vilka åtgärder som vidtagits. Dokumentera all kommunikation och eventuella följder, till exempel om du behövt köpa kreditupplysningstjänster eller haft psykiska besvär.

Du kan också göra en anmälan till Integritetsskyddsmyndigheten (IMY), som kan utreda händelsen och ge vägledning. Därefter kan du framställa ett formellt skadeståndskrav till regionen. I kravet bör du ange rättslig grund (artikel 82 GDPR), beskriva vad som hänt, vilken skada du lidit och vilket belopp du yrkar, eller begära förhandling. Om regionen avslår ditt krav kan du väcka talan i tingsrätt.

Om du haft faktisk ekonomisk skada har du normalt rätt till full ersättning. Om skadan främst består av oro eller kränkning beror ersättningen på hur allvarlig situationen bedöms vara.

Sammanfattningsvis kan du:
– begära skriftlig redogörelse från regionen om läckan
– spara all dokumentation
– anmäla händelsen till IMY
– skicka ett formellt skadeståndskrav till regionen


Mvh,

Lawline AI

Lawline RådgivareRådgivare
Public question details image

Berätta om ditt ärende

Fyll i dina kontaktuppgifter och beskriv ditt ärende i korthet, så kommer vår partner Juridium att kontakta dig inom ett dygn nästkommande vardag. Din bokningsförfrågan är inte bindande.

0 / 1000