Logga in

Glömt ditt lösenord?

Företag skadeståndsskyldigt efter sent utlämnande av registerutdrag

En person begärde ut ett registerutdrag från en livsmedelskedja. Utlämnandet kom att dröja över en månad, vilket står i strid med GDPR. Tingsrätten bedömer att personen har lidit ideell skada i form av kränkning till följd av att livsmedelskedjan inte gav honom ett registerutdrag i tid. Vår jurist och redaktör Jonatan Nordlander analyserar avgörandet i ljuset av EU-domstolens praxis och svensk skadeståndsrätt. 

Bakgrund 

En medlem i en livsmedelskedjas kundklubb skickade en begäran att få veta om livsmedelskedjan behandlade hans personuppgifter och i så fall få tillgång till dem och till den kompletterande informationen i enlighet med artikel 15 i förordning (EU) 2016/679 (GDPR). Begäran skickades den 18 juli 2023. Livsmedelskedjan skickade ett registerutdrag till kundklubbsmedlemmen den 12 januari 2024, som han enligt mottagningsbevis mottog den 18 januari. På grund av ett misstag i livsmedelskedjans handläggning innehöll registerutdraget inte rätt adressuppgifter. Därför skickades ett nytt registerutdrag ut i december 2024.  

Frågan i målet är om kundklubbsmedlemmen har lidit en sådan skada som berättigar honom till skadestånd samt i så fall hur stort skadestånd som ska utgå. 

Tingsrätten  
                         

Rättsliga utgångspunkter 

Enligt artikel 12.3 i GDPR ska ett registerutdrag med den information som stadgas i artikel 15 lämnas ut utan onödigt dröjsmål och senast inom en månad från det att den personuppgiftsansvarige har mottagit begäran. Av artikel 82.1 i GDPR följer att varje person som lidit materiell eller immateriell skada till följd av en överträdelse av förordningen ska ha rätt till ersättning från den personuppgiftsansvarige för den uppkomna skadan.  

Tingsrätten konstaterar att den personuppgiftsansvarige ska kunna visa att dataskyddsförordningen har följts vid en behandling av personuppgifter (se artikel 5.2 och 24.1 i GDPR). Vidare konstaterar domstolen att den som kräver skadestånd har full bevisbörda för att hans eller hennes personuppgifter faktiskt har behandlats, att han eller hon till följd av behandlingen har lidit en skada samt storleken av denna skada. 

Tingsrättens bedömning 

Tingsrätten konstaterar att livsmedelskedjan inte har tillhandahållit ett registerutdrag i tid och därmed inte följt bestämmelserna i GDPR. Livsmedelskedjans invändning om att artikel 82 enligt sin ordalydelse kräver att personuppgifter har behandlats underkänns av domstolen. Enligt tingsrätten innebär såväl lagring som nekad utlämning av personuppgifter en behandling. Domstolen konstaterar att rätten till ett registerutdrag är en förutsättning för att den registrerade ska kunna bevaka sina rättigheter enligt GDPR och att käranden i det aktuella fallet är skadeståndsberättigad ifall han kan styrka sin skada.  

Kundklubbsmedlemmen har gjort gällande att han drabbats av en immateriell, det vill säga ideell, skada. Han har uppgett att han känt oro, upprördhet, irritation och maktlöshet över att inte kunnat utöva sina rättigheter enligt GDPR. Tingsrätten finner ingen anledning att ifrågasätta hans uppgifter och bedömer att han lyckats visa att han har lidit ideell skada i form av kränkning. Livsmedelkedjans invändning om att de flesta av hans personuppgifter funnits att se vid inloggning på livsmedelkedjans hemsida underkänns av domstolen, eftersom samtliga personuppgifter inte står att finna där. Det kan inte heller krävas av kundklubbsmedlemmen att han skulle ha kontaktat fler personer hos livsmedelskedjan för sin begäran, utan livsmedelskedjan borde själv ha skickat begäran till rätt person.  

Tingsrätten bedömer att den begärda ersättningen om 3 000 kronor är skälig och ska utgå. 

Analys 

Det här är ett av få svenska avgöranden hittills vad gäller skadestånd för GDPR-överträdelse. Det är därför intressant att analysera hur denna tingsrättsdom överensstämmer med EU-domstolens GDPR-praxis och svensk skadeståndspraxis. 

EU-domstolen har konstaterat tre kumulativa villkor för rätten till skadestånd enligt GDPR: förekomst av GDPR-överträdelse, förekomst av en skada som har lidits samt att det ska finnas ett orsakssamband mellan skada och överträdelse (EU-domstolen 2024-01-25, C-687/21 p. 58). En registrerad som gör gällande immateriell skada till följd av en GDPR-överträdelse måste visa att konsekvenserna av överträdelsen utgör en skada, även om den är obetydlig. Enbart en överträdelse av förordningens bestämmelser räcker inte för att ge rätt till ersättning (p. 60). 

Skadestånd enligt artikel 82 aktualiseras både för materiella och immateriella skador. Begreppet immateriell skada ska enligt EU-domstolen ges en självständig och enhetlig definition som är specifik för unionsrätten (C-687/21, p. 64). Domstolen har fastställt att begreppet ska ges en vid innebörd. Redan fruktan för att den registrerades personuppgifter kan komma att missbrukas i framtiden till följd av en överträdelse av dataskyddsförordningen kan innebära immateriell skada (se EU-domstolen 2023-12-14, C-340/21).

I skäl 146 tredje meningen i GDPR anges att ”[b]egreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål”. Mot bakgrund av det och förordningens syfte att säkerställa en hög skyddsnivå för dataskydd i unionen har EU-domstolen bedömt att en tröskelnivå av allvarlighet för rätt till ersättning för immateriell skada inom nationell rätt är oförenlig med GDPR (EU-domstolen 2023-05-04, C-300/21).  

Vad gäller ersättningens storlek har EU-domstolen konstaterat att artikel 82 i GDPR inte har en bestraffande utan en kompenserande funktion (C-687/21 p. 47). Till följd av det har domstolen fastslagit att graden av allvar av den överträdelse av förordningen som skadan uppkommit genom inte påverkar storleken på det skadestånd som ska utgå (p. 48). Vid beräkningen av skadeståndet ska de nationella domstolarna tillämpa varje medlemsstats interna bestämmelser om den ekonomiska ersättningens omfattning, under förutsättning att de unionsrättsliga principerna om likvärdighet och effektivitet iakttas (p. 53). Vidare ska beloppet fullt ut kompensera för den skada som faktiskt uppkommit till följd av överträdelsen (p. 54).  

Ersättning för kränkning enligt 2 kap. 3 § skadeståndslagen (SkL) bestäms efter vad som är skäligt med hänsyn till handlingens art och varaktighet och på ett sätt som även innebär att den kränkte får upprättelse för angreppet (5 kap. 6 § SkL). Vid bedömningen tar domstolarna i regel vägledning av schabloner från Högsta domstolen (HD) och Brottsoffermyndigheten. I det aktuella fallet har käranden tilldömts ersättning för immateriell skada i form av kränkning. Ordningen att käranden har att bevisa förekomsten av en immateriell skada skiljer sig från vad som gäller för kränkningsersättning inom svensk rätt. Vid bedömningen av skadan vid kränkningsersättning är den ansvarsutlösande gärningen och omständigheterna kring denna som är primärt avgörande (se NJA 2007 s. 540). Inom svensk rätt kan till exempel ett brottsoffer tillerkännas kränkningsersättning även om den berörde inte är medveten om den kränkande handlingen.  

I jämförelse med den mer objektiverade bedömning som gäller för kränkningsersättningen inom svensk rätt kan det tyckas krystat att, i enlighet med den ordning som gäller enligt GDPR, fastställa om en immateriell skada kan anses vara påvisad och bedöma att skadeståndet fullt ut kompenserar för denna skada. När EU-domstolen själv prövat ersättning för immateriell skada verkar förekomsten av skada dock presumerats (se tribunalen 2025-01-08, T-354/22, Bindl mot kommissionen). I det här målet hade visserligen skada uppstått på grund av att den registrerade försatts i en osäker situation vad gäller behandlingen av sina personuppgifter genom att personuppgifter överförts till tredje land. Detta är en av de typsituationer som EU-domstolen tidigare bedömt kunna utgöra grund för immateriell skada (se C-687/21 p. 65 och 66). 

Sammanfattningsvis kan vissa skillnader mellan skadestånd för GDPR-överträdelse och kränkningsersättning enligt SkL observeras. Att tingsrätten konstaterar en ”ideell skada i form av kränkning” kan tyda på en hopblandning av systemen. Enligt EU-domstolens praxis är det, som konstaterats ovan, skadan som är utgångspunkten för bedömningen av om en skada vållats och inte den ansvarsutlösande gärningen. Detta gör att konstaterandet om kränkning blir överflödigt. En annan orsak till begreppsförvirringen kan tänkas komma från personuppgiftslagen (1998:204) 48 § 1 st. som stadgade att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat.  

De negativa känslor av oro och maktlöshet och så vidare som tingsrätten anser vara påvisade ligger i linje med vad EU-domstolen bedömt kunna utgöra immateriell skada. EU-domstolen har dock uttalat att den nationella domstolen måste pröva om sådana känslor kan anses välgrundade under de omständigheter som föreligger i det aktuella fallet och med hänsyn till den registrerade (C-340/21 p. 85). Vidare har domstolen uttalat att dess tolkning av begreppet immateriell skada inte innebär att en registrerad som berörs av en GDPR-överträdelse är utan bevisbörda för att dessa konsekvenser utgör en immateriell skada (C-300/21 p. 50). I det aktuella målet bedömer tingsrätten att det saknas anledning att ifrågasätta kärandens uppgifter om den oro, upprördhet och irritation han känt. Enligt min mening kan det dock ifrågasättas ifall dessa negativa känslor kan anses vara välgrundade i en situation som den aktuella där endast en försening av utlämnande av registerutrdag föreligger och det saknas indikationer på risk för att den registrerades personuppgifter kan komma att missbrukas eller hamna hos tredje part. En sådan tillämpning skulle minska risken för att registrerade sätter i system att begära ut registerutdrag och begära skadestånd vid försening, som annars kan bli en belastning för domstolsväsendet.

Frågan om orsakssamband mellan det försenade registerutdraget och den immateriella skadan tas inte upp i tingsrättens domskäl. Vid bedömningen att en skada föreligger kan dock orsakssambandet anses vara självklart.  

Vad gäller ersättningens storlek i det aktuella avgörandet är tingsrätten bunden av kärandens yrkande i tvistemål. Ersättningen på 3 000 kronor ligger dock i paritet med den ersättning som tribunalen utdömde i Bindl-målet och de schabloner som fastställts av HD vid överträdelse av den tidigare dataskyddslagstiftningen (NJA 2013 s. 1046). 

Analys av Göteborgs tingsrätt 2025-03-37, mål nr FT 20891-23.

Ursprungligen publicerad i JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 22 maj 2025

Jonatan Nordlander

Jurist, redaktör

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Fördjupningskurs i GDPR
Fördjupningskurs i GDPR
GDPR och patientdatalagen inom vården
GDPR och patientdatalagen inom vården
Utbildning av dataskyddsombud, dataskyddssamordnare och dataskyddsansvarig
Utbildning av dataskyddsombud, dataskyddssamordnare och dataskyddsansvarig
Se alla kurser inom it och dataskydd

Tjänster

Se alla tjänster inom it och dataskydd

Nyheter

IMY riktar kritik mot tre företag för brister i kakbanners
IT och dataskydd

Integritetsskyddsmyndigheten (IMY) har granskat tre företags användning av kakbanners efter inkomna klagomål – och riktar kritik mot samtliga.

22 maj 2025

Vad behöver arbetsgivare tänka på ur dataskyddssynpunkt när anställda använder Microsoft Copilot?
IT och dataskydd

Vår dataskyddsrådgivare och jurist Mari Heidenberg Östholm förklarar vad som gäller.

20 maj 2025

Kan man begära ett registerutdrag för sitt barn?
IT och dataskydd

Vår dataskyddsrådgivare och jurist Ebba Holm svarar på frågan.

17 apr 2025

Se alla nyheter inom it och dataskydd

JP Infonets webbplatser använder cookies för att fungera på ett bra sätt. Du kan när som helst ändra ditt samtycke till kakor.

Läs mer om kakor (cookies)

Dölj detaljer Visa detaljer Hantera kakor