Rätten till ersättning för ideella skador enligt GDPR : En analys av rätten till ersättning, grupptalan samt rättsutvecklingens konsekvenser på dataskyddet i EU / The right to compensation for non-material damages according to the GDPR

Persson, Enar

January 2023

The Court of Justice of the European Union (CJEU) recently clarified some fundamental questions regarding the right to compensation under Article 82 of the General Data Protection Regulation (GDPR). The CJEU emphasised the cumulative conditions for the right to compensation, namely, damage resulting from a data breach and a causal link between the two. There are a number of ways in which the GDPR provides a more detailed framework for what should typically constitute damage, how the control of personal data can facilitate the assessment of the concept of damage and how the burden of proof can be interpreted in the light of the purpose of the Regulation. There is no automatic right to compensation and a more detailed assessment must be made under all of the criteria set out in Article 82. In the absence of further case law, I have tried to clarify the applicable law by interpreting the GDPR and the two judgements from the CJEU on the right to compensation. From a procedural point of view, a future with more litigation in the form of representative actions as a result of the Representative Action Directive is likely. The Directive does not change the Swedish representative action rules in any major way, but what is worth noting are the differences between opt-in and opt-out. An opt-in system, such as the Swedish one, may see some increase in the number of representative actions, but in an opt-out system, like the one in the Netherlands, it is likely to see many more representative actions. Uncertainties remain as to whether the opt-out system is compatible with the GDPR, and the CJEU will have to clarify the legal status in the near future. When evaluating the consequences of the legal developments, a potential over- regulation is a risk, while information security is likely to improve. As I see it, the CJEU has two choices to counteract any over-regulation that may arise as a result of legal developments. Either the CJEU can clarify that Article 80 of the GDPR does not allow for an opt-out system, or the CJEU can clarify where the upper limit of the amount of damages in representative actions lies, for example through the principle of proportionality.

dataskydd

GDPR

rätten till ersättning

skadestånd

artikel 82

grupptalandirektivet

grupptalan

Law and Society

Juridik och samhälle

Ersättning för ideell skada enligt GDPR : En undersökning av artikel 82 i en svensk kontext / Compensation for non-material damage according to GDPR : An examination of article 82 in a Swedish context

Rudén, Fanny

January 2019

The new General Data Protection Regulation (GDPR) imposes new challenges for both authorities and private actors in ensuring the protection of individuals personal data. With stricter rules comes more responsibility and the risk offacing a civil action for damages. Article 82 in GDPR gives the data subject aright to receive compensation from the controller or processor for any material or non-material damage suffered as a result of an infringement of the regula-tion. The study examines what could constitute a compensable non-material damage and how the compensation could be determined according to Swedish law and EU-law. This is done through the legal dogmatic method. The study finds that a lot of discretion is left up to the member states themselves when it comes to assessing damage. However, “damage” is to be interpreted accordingto the principles laid down by the European Court of Justice and the member states also need to take into account the principles of equivalence and effectiveness. The data subject also has the right to full compensation for the damage suffered and the compensation needs to be proportionate in relation to the damage. It is found that there is no scope for a punitive damage nor is it either possible to delimit the amount of compensation available without regard to the circumstances in each case. When it comes to awarding damages for non-material damage however, it becomes necessary to use flat-rates as long as they are related in a way that takes into consideration the circumstances of each individual case.

GDPR

Non-material damage

EU-law

Compensation

Article 82

GDPR

Ideell skadda

EU-rätt

Skadestånd

Kompensation

Artikel 82

Law

Juridik

Rådets förordning 1/2003 : ett hot mot rättssäkerheten för företag inom den europeiska gemenskapen? / Council Regulation 1/2003 : a threat to the legal certainty for companies within the European Community?

Callendal, Andreas

January 2003

<p>Council Regulation 1/2003 regulates the application of the competition rules set out in Articles 81 and 82 of the EC-treaty and establishes a reform of the European Competition Law. The purpose of this paper is to illustrate the complex of problems that the regulation leads to concerning the legal certainty for companies within the European Community.</p>

Law

Förordning 1/2003

artikel 81

artikel 82

rättssäkerhet

EG:s konkurrensrätt

decentralisering

gruppundantag

kommissionen

risk management

RÄTTSVETENSKAP/JURIDIK

LAW/JURISPRUDENCE

RÄTTSVETENSKAP/JURIDIK

Rådets förordning 1/2003 : ett hot mot rättssäkerheten för företag inom den europeiska gemenskapen? / Council Regulation 1/2003 : a threat to the legal certainty for companies within the European Community?

Callendal, Andreas

January 2003

Council Regulation 1/2003 regulates the application of the competition rules set out in Articles 81 and 82 of the EC-treaty and establishes a reform of the European Competition Law. The purpose of this paper is to illustrate the complex of problems that the regulation leads to concerning the legal certainty for companies within the European Community.

Law

Förordning 1/2003

artikel 81

artikel 82

rättssäkerhet

EG:s konkurrensrätt

decentralisering

gruppundantag

kommissionen

risk management

RÄTTSVETENSKAP/JURIDIK

LAW/JURISPRUDENCE

RÄTTSVETENSKAP/JURIDIK

Försäkringsskydd för skadeståndsansvar vid dataskyddsöverträdelser : En undersökning av försäkringsvillkorens omfattning och eventuella begränsningar i förhållande till art. 82 GDPR och grupptalan / Insurance coverage for liability in case of data protection breaches : An investigation into the extent and potential limitations of insurance terms in relation to art. 82 GDPR and class action lawsuits

Nahlbom, Robin

January 2024

I uppsatsen utreds försäkringsskyddet för skadeståndsansvar vid dataskyddsöverträdelser. GDPR är den centrala regleringen för personuppgiftsbehandling och fastställer ett antal principer som måste upprätthållas för att den ansvarige ska få behandla personuppgifter. Bryter den ansvarige mot förordningens principer har den registrerade rätt att kräva skadestånd enligt art. 82.1 GDPR. Förordningen fastställer tre kumulativa krav som måste vara uppfyllda för att skadeståndsskyldighet ska föreligga. Det innefattar att en överträdelse av GDPR har skett, att materiell eller immateriell skada till följd av denna överträdelse har uppstått och att det föreligger ett orsakssamband mellan skadan och överträdelsen. Förordningen innehåller även en bestämmelse som tar över medlemsstaternas nationella skadeståndsrättsliga bestämmelser, vilket innebär att GDPR ska tillämpas enligt sin ordalydelse och att de kumulativa kraven enligt art. 82.1 GDPR måste följas. Det innebär att nationella skadeståndsrättsliga begrepp inte bör jämställas med begrepp som framgår av art. 82.1 GDPR eftersom begreppen har tillkommit i en helt annan kontext. Exempelvis översätts i vissa fall materiella och immateriella skador till ekonomiska och ideella skador. Begreppen är inte synonyma och bör inte tillställas samma betydelse eftersom terminologin i art. 82.1 GDPR kan misstolkas. Försäkringsvillkoren som reglerar skadeståndsskyldigheten för dataskyddsöverträdelser och som även hänvisar till art. 82.1 GDPR, innehåller i vissa fall nationella skadeståndsrättsliga begrepp och även andra begrepp som inte framgår av förordningen. Det kan leda till att kongruensen mellan villkorens utformning och förordningens ordalydelse medför tolkningsproblematik vid bedömning om skadeståndsskyldighet föreligger. Därför bör försäkringsvillkoren endast innehålla sådan terminologi som framgår av art. 82.1 GDPR. Dataskyddsöverträdelser medför oftast att en stor grupp människor lider skada varför förordningen tillåter registrerade att föra grupptalan med hjälp av en ideell organisation enligt art. 80 GDPR. Teoretiskt sett kan skadeståndsbeloppen bli högre än försäkringsbeloppen varför det i sådana fall saknas ett försäkringsskydd för grupptalan för den personuppgiftsansvarige. Försäkringsvillkoren anger däremot ingenting om att försäkringen inte täcker ett sådant anspråk. Därmed ställs försäkringsbolagen inför utmaningen att hantera sådana anspråk, varför försäkringen bör uppdateras för att möta skadestånd i en grupptalan vid dataskyddsöverträdelser. / The essay investigates insurance coverage for liability for damages in the event of data protection breaches. GDPR is the central regulation for the processing of personal data and establishes a number of principles that must be upheld for the data controller to process personal data. If the data controller breaches the principles of the regulation, the data subject has the right to claim damages under Art. 82.1 GDPR. The regulation sets out three cumulative requirements that must be met for liability for damages to arise. This includes that a breach of the GDPR has occurred, that material or immaterial damage as a result of this breach has arisen, and that there is a causal link between the damage and the breach. The regulation also includes a provision that supersedes the national tort law provisions of Member States, which means that the GDPR shall be applied according to its wording and that the cumulative requirements under Art. 82.1 GDPR must be followed. This means that national tort law concepts should not be equated with concepts as set out in Art. 82.1 GDPR as the concepts have arisen in a completely different context. For example, in some cases, material and immaterial damages are translated into economic and non-economic damages. The concepts are not synonymous and should not be attributed the same meaning as the terminology in Art. 82.1 GDPR can be misinterpreted. The insurance terms and conditions that regulate liability for damages in the event of data protection breaches and also refer to Art. 82.1 GDPR, in some cases contain national tort law concepts and other concepts that are not evident in the regulation. This may lead to a lack of congruence between the wording of the terms and conditions and the wording of the regulation, resulting in interpretation issues when assessing whether liability for damages exists. Therefore, the insurance terms and conditions should only contain terminology as set out in Art. 82.1 GDPR. Data protection breaches usually result in harm to a large group of people, which is why the regulation allows data subjects to bring a collective action with the assistance of a not-for-profit organization under Art. 80 GDPR. Theoretically, damages awarded may exceed insurance coverage, which means there is no insurance coverage for collective actions for the data controller in such cases. However, the insurance terms and conditions do not specify that the insurance does not cover such a claim. Therefore, insurance companies are faced with the challenge of handling such claims, which is why the insurance should be updated to cover damages in a collective action in the event of data protection breaches.

GDPR

General Data Protection Regulation

protection

Insurances

breach

insurance

Class action lawsuit

terms and conditions

Personal data

Personal data protection

Registered

Privacy protection Insurance

coverage

sum insured

Damages

compensation

Tort law

Material damages

Immaterial damages

Violation

Economic loss

Insurance company

European Union

Personal Data Act

Data integrity

Confidentiality

Confidentiality protection

Information protection

Personal data protection

Insurance contract

Liability for damages

Data controller

DPO

Data processor

Compensation for damages

Claim for damages

Insurance coverage

Principles

Data protection principles

Compliance

Insurance compensation

Tort law Regulation

Directive

Law

Swedish Authority for Privacy Protection

Data protection officer

European Data Protection Board

Article 29 workgroup

Article

Article 82

Data controller responsibility

Sanctions

Administrative fines

Data Protection Directive

Artikel 82

GDPR

Dataskydd

Försäkring

Försäkringar

Databrottsförsäkring

Grupptalan

Försäkringsvillkor

Personuppgift

Personuppgifter

Personuppgiftsskydd

Registrerad

Registrerade

Integritetsskydd

Försäkringsbelopp

Skadestånd

Skadeståndslag

Materiell

Immateriell

Kränkning

Förmögenhetsskada

Försäkringsbolag

Dataskyddsförordningen

EU

Personuppgiftslag

Dataintegritet

Sekretess

Sekretessskydd

Informationsskydd

Personuppgiftsskydd

Försäkringsavtal

Skadeståndsskyldighet

Skadeståndsansvar

Personuppgiftsansvarig

Personuppgiftsbiträde

Skadeståndsersättning

Skadeståndskrav

Försäkringsskydd

Principer

Dataskyddsprinciper

Regelefterlevnad

Försäkringsersättning

Skadeståndslagen

Förordning

Direktiv

Lag

Integritetsskyddsmyndigheten

IMY

Dataskyddsombud

Data

EDPB

Artikel

82

Personuppgiftsansvar

Sanktioner

Sanktionsavgifter

Dataskyddsdirektivet

DPO

Artikel 82 GDPR

Artikel 82

Europeiska unionen

Law and Society

Juridik och samhälle