LUP Student Papers

Skadestånd vid GDPR-överträdelser - En studie i hur GDPR förhåller sig till den svenska skadeståndsregleringen i fråga om skadeståndsansvar och arbetstagares skydd från skadeståndsskyldighet

• Mark

Abstract

The General Data Protection Regulation, GDPR, was implemented the 25th of May 2018. GDPR entailed a legal framework that strengthened the protection for personal information within EU and EES. High penalties and burdensome rules about compensation was introduced to make sure that everyone complied with the new regulation. This thesis focuses mainly on how the Swedish rules about the vicarious liability and employees´ protection from compensation claims relates to the right to compensation in GDPR. I have used the legal dogmatic method to investigate established law regarding questions about compensation for breaching GDPR.

The right to compensation is found in article 82 in GDPR and can be compared to what in the Swedish legal system is... (More)

The General Data Protection Regulation, GDPR, was implemented the 25th of May 2018. GDPR entailed a legal framework that strengthened the protection for personal information within EU and EES. High penalties and burdensome rules about compensation was introduced to make sure that everyone complied with the new regulation. This thesis focuses mainly on how the Swedish rules about the vicarious liability and employees´ protection from compensation claims relates to the right to compensation in GDPR. I have used the legal dogmatic method to investigate established law regarding questions about compensation for breaching GDPR.

The right to compensation is found in article 82 in GDPR and can be compared to what in the Swedish legal system is called a no-fault liability. Article 82 does not make any difference between the employer´s and employee´s liability. The rules in 3:1 SKL can therefore be used as complementary rules in a situation where an employer demands recourse for compensation the employer have paid for damages caused by its employee. The vicarious liability also means that the employer must organise their workplace in a way that minimises all risks of potential damage. A similar responsibility can be found in GDPR, but not article 82 specifically.

Employees can only be liable for damages they have caused in relation to their work if exceptional reasons exist. 4:1 SKL restricts the employer´s possibility to recourse compensations from its employees. The demand on exceptional reasons indicates that employees only should be held liable in exceptional cases. My investigation suggests that the demand on exceptional reasons should not be higher nor lower when it comes to compensations for breaching GDPR. The compensation can be apportioned according to 6:2 SKL if an employee is found liable. My conclusion is therefore that employees have a strong protection from liability and recourse.

Other issues that might occur within the frame of GDPR-related compensations is that a single breach can affect thousands of people. A breach can also occur without it being noticed by the concerned parties. The compensation for breaching GDPR is for material and non-material damages. The problem with non-material damages is that non-material damages can be difficult to separate from material damages. Non-material damages are also hard to convert into money. I have in my investigation found that guidance to solve these problems can be found in statements from the Chancellor of justice and precedent from the supreme court.

My conclusion is that there still are many unclarities surrounding the implementation and interpretation of GDPR since more precedent and doctrine have yet to be developed. I believe that it is in the direction of the current judicial enquiry that processing sensitive personal information will be put under no-fault liability. Questions concerning the liability between employers and employees can be answered with more certainty when there is more precedent. My belief is that the future of the implementation and interpretation of GDPR is in the hands of the judicial enquiry. (Less)

Abstract (Swedish)

The General Data Protection Regulation, GDPR, trädde i kraft den 25 maj 2018. GDPR innebar ökade krav på personuppgiftsbehandlingen inom EU och EES. För att säkerställa regelefterlevnad infördes kraftiga sanktioner och långtgående skadeståndsansvar vid överträdelser av GDPR. Denna uppsats handlar huvudsakligen om hur de svenska reglerna kring principalansvar och arbetstagares skydd mot skadestånd förhåller sig till skadeståndsregleringen i GDPR. Genom att använda rättdogmatisk metod syftar uppsatsen till att utreda vad som är gällande rätt i frågor som rör skadestånd vid GDPR-överträdelser.

Skadeståndsansvaret regleras i artikel 82 i GDPR och kan jämföras med vad som i svensk rätt kallas strikt ansvar. Artikel 82 gör ingen skillnad... (More)

The General Data Protection Regulation, GDPR, trädde i kraft den 25 maj 2018. GDPR innebar ökade krav på personuppgiftsbehandlingen inom EU och EES. För att säkerställa regelefterlevnad infördes kraftiga sanktioner och långtgående skadeståndsansvar vid överträdelser av GDPR. Denna uppsats handlar huvudsakligen om hur de svenska reglerna kring principalansvar och arbetstagares skydd mot skadestånd förhåller sig till skadeståndsregleringen i GDPR. Genom att använda rättdogmatisk metod syftar uppsatsen till att utreda vad som är gällande rätt i frågor som rör skadestånd vid GDPR-överträdelser.

Skadeståndsansvaret regleras i artikel 82 i GDPR och kan jämföras med vad som i svensk rätt kallas strikt ansvar. Artikel 82 gör ingen skillnad mellan arbetsgivarens och arbetstagarens ansvar. I en situation där en arbetsgivare har betalat skadestånd på grund av att en arbetstagare vållat en skada i tjänsten kan reglerna om principalansvar i 3:1 SKL användas som utfyllnad i regressfrågor. Utöver culpaansvar följer även ansvar för att minimera skaderiskerna av principalansvaret. Liknande ansvar följer inte av just artikel 82 men kan återfinnas i andra bestämmelser i GDPR

Arbetstagare kan endast bli skadeståndsskyldiga för skador som de vållat i tjänsten om det föreligger synnerliga skäl. 4:1 SKL inskränker arbetsgivarens möjligheter att begära utbetalat skadestånd i regress av sina anställda. Kravet på synnerliga skäl bör tolkas som att huvudregeln är att arbetstagaren ska undgå skadeståndsansvar. Enligt min undersökning finns det inget som tyder på att kravet på synnerliga skäl skulle vara lägre eller högre ställt när det gäller skadestånd på grund av GDPR-överträdelser. Om en arbetstagare skulle bli skyldig att betala skadestånd till sin arbetsgivare kan summan fortfarande jämkas enligt 6:2 SKL. Sammanfattningsvis anser jag att arbetstagares skydd mot skadestånd är starkt.


Övriga problem som kan uppstå inom ramen för skadestånd vid GDPR-överträdelser är bland annat att en överträdelse kan bli omfattande och drabba tusentals personer. Dessutom kan överträdelser ske utan att de berörda märker detta. Vid överträdelser är skadelidande berättigade ersättning för både ideella och ekonomiska skador. Problemet med ideella skador är att de är svåra att skilja från ekonomiska skador och inte kan mätas i pengar. I min undersökning har jag funnit att det finns vägledning för att lösa dessa problem i form av uttalanden från Justitiekanslern och avgöranden från Högsta domstolen.

Avslutningsvis kan jag konstatera att det i dagsläget fortfarande är mycket som är oklart i fråga om hur GDPR ska tillämpas och tolkas eftersom det inte hunnit utvecklas doktrin och praxis. Jag menar att det ligger i rättsutvecklingens riktning att behandling av känsliga personuppgifter kommer att betraktas som en riskfylld verksamhet. Frågor som rör ansvarsfördelningen mellan arbetsgivare och arbetstagare kommer först att kunna besvaras med säkerhet när det finns mer praxis på området. Jag bedömer att opinionsutvecklingen inom rättspolitiken kommer ha stort inflytande på hur GDPR kommer att tolkas och tillämpas i framtiden. (Less)