Fredrik Sandberg

Foto: Privat

VERKTYG

»

Tipsa en vän

E-postadress att skicka till
Ditt namn
Skicka

EU-förordningen GDPR (General Data Protection Regulation), på svenska kallad Dataskyddsförordningen, trädde i kraft 25 maj 2018. I en ny avhandling från Juridiska fakulteten vid Stockholms universitet undersöker doktoranden Fredrik Sandberg nu grunden för rätten till skadestånd för den som drabbas av felaktig hantering av personuppgifter och hur ersättningen till drabbade bör bedömas.

– Jag var nyfiken på hur informationssamhället påverkar skadeståndsrätten, alltså i vad mån och hur juridiken hanterar de samhällsförändringar som följt på den tekniska utvecklingen. Ämnet öppnar även upp för spännande frågor om relationen mellan EU-rätten och nationell skadeståndsrätt, liksom hur de skadeståndsrättsliga traditionerna i medlemsstaterna liknar och skiljer sig från varandra. En annan sak som drog mig till ämnet var en undran kring vilka slags risker för negativa effekter det egentligen är som gett upphov till den särskilda rätten till dataskydd, förklarar Fredrik Sandberg i en intervju på universitets hemsida.

Ska skydda enskildas rätt till integritet

Avhandlingen, som läggs fram den 23 maj, handlar om skadeståndsansvaret och rätten till ersättning enligt EU:s dataskyddsförordning, GDPR. Den innehåller en fördjupad analys av bestämmelserna om skadestånd i förordningen och vad som krävs för att få ersättning, både ekonomisk och ideell.

– Det som krävs för att det ska kunna vara aktuellt med ersättning är att en oaktsam överträdelse faktiskt har medfört en ekonomisk eller ideell skada i det enskilda fallet. Ett exempel från praxis rör dataintrång till följd av bristande säkerhetsåtgärder och den befogade oro de flesta skulle uppleva för att läckta uppgifter om oss kan komma att missbrukas. I ett senare skede kan de drabbade i en sådan situation även lida ekonomiska förluster om uppgifterna används för bedrägeri eller identitetsstöld. En annan situation är olägenheter eller ekonomiska konsekvenser när oriktiga uppgifter leder till felaktiga beslut, till exempel om någon nekas krediter eller tjänster på grund av en kreditvärdering på bristfälligt underlag, säger Fredrik Sandberg.

Han understryker att även mindre allvarliga fall kan ge rätt till ersättning, såsom lättare obehag till följd av att personuppgifter hanterats felaktigt. Avhandlingen visar att detta utgör en skillnad mellan GDPR och hur ideell skada hanteras traditionellt i svensk rätt.

Svensk rätt sätter ramarna för ersättning

En central del av arbetet har bestått i att reda ut hur svensk skadeståndsrätt fungerar som komplement till EU-reglerna – något som är avgörande för den som vill väcka talan i Sverige.

– Skadeståndsbestämmelsen i GDPR reglerar det mesta, men inte allt. Framför allt saknar GDPR närmare regler för hur ersättningen ska fastställas. Även om EU-rätten uppställer vissa villkor och utgångspunkter, ska därför svensk skadeståndsrätt i huvudsak tillämpas med avseende på hur ersättning fastställs och ersättningsnivåer för ideell skada, berättar Fredrik.

I praktiken innebär det att den som kräver ersättning i Sverige får förhålla sig till de nivåer som gäller enligt svensk rätt för liknande typer av skador. Det går alltså inte att förvänta sig högre belopp än de som normalt utdöms vid exempelvis kränkning genom brott eller överträdelser av grundläggande rättigheter enligt skadeståndslagen.

Olika rättstraditioner – gemensamma utmaningar

Avhandlingen har också ett komparativt perspektiv, där Fredrik Sandberg analyserar hur skadeståndsansvaret enligt GDPR förhåller sig till de olika rättstraditionerna i EU:s medlemsstater. Det gäller inte minst frågor om orsakssamband, bevisbörda och ansvar vid flera skadevållare.

– Det mest överraskande är kanske hur komplicerat samspelet är mellan EU-rätten och nationell rätt på det här området. Det framträder inte minst när svensk skadeståndsrätt ska tillämpas vid ersättning enligt GDPR. Dessutom kan reglerna om ideella skador enligt GDPR i vissa avseenden sägas vara strängare för den skadelidande i jämförelse med hur rent ideella skador hanteras i svensk skadeståndsrätt.

Mot en tydligare och mer enhetlig rättstillämpning

Fredrik Sandberg hoppas att hans forskning kan bidra till en mer förutsebar och enhetlig rättstillämpning – och på sikt påverka hur både lagstiftare och domstolar arbetar med skadeståndsfrågor kopplade till personuppgifter.

– Inom relaterade områden kommer det sannolikt att fortsätta övervägas lagstiftning, både på unionsrättslig och nationell nivå. Genom att tydliggöra det ansvar och den rätt till ersättning som redan finns genom GDPR kan avhandlingen kanske bidra till att undvika onödig fragmentisering och överlappande regler. Förhoppningsvis kan avhandlingen även förmedla några av lärdomarna från framtagandet av GDPR och därigenom undvika en upprepning av vissa tillkortakommanden. Skadeståndsansvaret enligt GDPR har i flera delar varit både oklart och svåröverskådligt. Min förhoppning är naturligtvis att min avhandling kan bidra till bättre enhetlighet och förutsägbarhet i rättstillämpningen, konstaterar Fredrik Sandberg avslutningsvis.

Läs mer om avhandlingen här.