Europaparlamentets och Rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR) har nu gällt i nästan två och ett halvt år. Tillsynsmyndigheterna i de olika EU-länderna har hunnit genomföra ett stort antal tillsynsärenden där många av ärendena har lett till […]
Europaparlamentets och Rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR) har nu gällt i nästan två och ett halvt år. Tillsynsmyndigheterna i de olika EU-länderna har hunnit genomföra ett stort antal tillsynsärenden där många av ärendena har lett till sanktionsavgifter. I vissa fall har myndigheterna påfört höga avgiftsbelopp, inte minst i Storbritannien. Även i Sverige har ett fall med en till beloppet hög sanktionsavgift förekommit. Datainspektionen påförde Google en sanktionsavgift om 75 miljoner kronor (se Datainspektionens beslut 2020-03-10, dnr DI-2018-9274). Beslutet har överklagats till Förvaltningsrätten där någon dom ännu inte meddelats.
För den enskilde registrerade som anser sig ha fått sina personuppgifter behandlade på ett sätt som strider mot GDPR finns i princip två möjligheter att agera. Den registrerade kan anmäla behandlingen till Datainspektionen och hoppas på att myndigheten inleder en tillsyn mot den personuppgiftsansvarige. Därtill kan den registrerade vid allmän domstol (tingsrätt) väcka skadeståndstalan mot den personuppgiftsansvarige för att få ekonomisk kompensation för den skada som behandlingen medfört. Den registrerade kan naturligtvis även vända sig direkt till den personuppgiftsansvarige och begära att behandlingen upphör eller korrigeras, vilket bör vara en naturlig första åtgärd att vidta. Men om detta inte hjälper återstår det för den registrerade att göra en anmälan till Datainspektionen eller att väcka skadeståndstalan. Den fråga som då inställer sig är om det egentligen är någon idé att vidta dessa åtgärder, eller om möjligheterna att anmäla behandlingen och väcka talan om skadestånd i praktiken inte har något värde för den registrerade och rentav endast är ett spel för galleriet.
Att anmäla behandlingen till Datainspektionen – en meningslös åtgärd?
Om den registrerade väljer att göra en anmälan till Datainspektionen måste denna innehålla tillräcklig information för att myndigheten bland annat ska kunna bedöma vilka personuppgifter som behandlats, arten och omfattningen av behandlingen, på vilket sätt behandlingen skett i strid med GDPR, när behandlingen har skett, vem som ska anses ansvarig för behandlingen och vilka åtgärder från myndighetens sida som behandlingen bör föranleda. Detta kräver en ganska stor arbetsinsats från den registrerade för att denne ska lyckas åstadkomma en tillräckligt utförlig anmälan. Det är troligt att den registrerade kan komma att behöva ta hjälp för att samla in och sammanställa den dokumentation som behövs och att utforma innehållet i anmälan, en hjälp som inte sällan kommer att medföra kostnader för den registrerade. Om den registrerade ska känna att det kan vara meningsfullt att lägga ner en sådan arbetsinsats och att kanske ådra sig kostnader är det av stor betydelse att vederbörande kan räkna med en viss sannolikhet för att Datainspektionen kommer att inleda ett ärende med anledning av anmälan. Om det framstår som osannolikt att anmälan kommer att leda till något resultat blir det ju mer eller mindre meningslöst för den registrerade att engagera sig i att göra någon anmälan.
Därför blir det intressant att titta närmare på hur stor chans den registrerade egentligen har att få gehör för sin anmälan till Datainspektionen. I Datainspektionens årsredovisningar finns statistik bland annat över anmälningar som inkommer från de registrerade och hur många tillsynsärenden som myndigheten genomför. I årsredovisningen för 2018 anges att om tillsyn ska inledas beror på om det är fråga om systematiska brister i behandlingen av personuppgifter, om behandlingen rör många registrerade eller känsliga personuppgifter, eller om rättsläget är oklart och behöver klargöras (sid. 27 i årsredovisningen för 2018). Av årsredovisningen för 2018 kan konstateras att antalet klagomål enligt GDPR (och enligt brottsdatalagen) under året uppgått till totalt 1 420, medan endast 72 tillsynsärenden inleddes (sid. 27 f. i årsredovisningen för 2018). Det betyder att klagomålen under 2018 ledde till tillsyn endast i 5 % av fallen. Enligt Datainspektionens årsredovisning för 2019 är sannolikheten för att en anmälan ska leda till att myndigheten inleder tillsyn ännu lägre. Antalet klagomål uppgick under 2019 till 3 519, medan tillsyn inleddes i 51 ärenden (sid. 61 i årsredovisningen för 2019). Det betyder att klagomålen under 2019 ledde till tillsyn endast i knappt 1,5 % av fallen, alltså en ännu lägre siffra än för 2018.
Slutsatsen härav torde endast kunna bli en, nämligen att det utifrån den registrerades perspektiv är i princip meningslöst att lägga ner arbete och dra på sig kostnader för att göra en anmälan till Datainspektionen.
Att väcka talan vid domstol – en värdelös möjlighet?
Datainspektionen kan och får inte ikläda sig en roll som innebär att myndigheten i praktiken blir ett juridiskt biträde åt den registrerade. Detta skulle rentav kunna innebära ett åsidosättande av de krav på opartiskhet och objektivitet som åvilar myndigheterna. Därför blir det intressant att titta närmare på vilka förutsättningar den registrerade står inför när denne överväger att väcka talan vid domstol mot den personuppgiftsansvarige. I en rättegång kan den registrerade räkna med att den personuppgiftsansvarige kommer att företrädas av någon med juridisk kompetens, antingen en anställd eller möjligen en utomstående jurist. Samtidigt kommer den registrerade sannolikt att behöva anlita jurist för att samla in och sammanställa den dokumentation som behövs och för att utforma stämningsansökan. Den registrerade kan räkna med att i domstolen möta en företrädare för den personuppgiftsansvarige som har en sådan juridisk kompetens som den registrerade inte kan matcha utan att anlita eget biträde. Detta innebär att den registrerade oftast blir tvungen att anlita juridiskt biträde, vilket kommer att medföra kostnader för biträdet.
Därför måste den registrerade bedöma inte bara chansen till framgång i rättegången, utan även vilka möjligheter denne har att få betalt för sina ombudskostnader. Enligt den rättspraxis som utvecklats blir skadeståndsbeloppens storlek vid lagstridig behandling av personuppgifter ytterst begränsade, 3 000 – 5 000 kronor (se Högsta domstolens dom 2013-12-06, T 2807-12). Till följd av reglerna om ersättning för kostnader i tvistemål som rör mindre värden (”småmål”) är det samtidigt i praktiken uteslutet för de registrerade att få ersättning för sina kostnader för juridiskt biträde (se 18 kap. 8 a § rättegångsbalken). Om den registrerade vinner framgång med sin talan och tilldöms 3 000 – 5 000 kronor i skadestånd, kommer detta inte att räcka för att betala ombudskostnaderna. När den registrerade knappast kan tillvarata sin rätt utan hjälp från jurist och inte kommer att få betalt för sina kostnader för juristen, blir det en Phyrrusseger och Ebberöds bank att driva en framgångsrik rättegång mot den personuppgiftsansvarige. Enligt artikel 82 och skäl 146 i GDPR bör full och effektiv ersättning utgå för den skada som lidits. Det bör därför kunna ifrågasättas om de skadeståndsnivåer som gäller enligt rättspraxis och som ligger mellan 3 000 – 5 000 kronor kan anses vara förenliga med GDPR.
Slutsatsen härav torde också endast kunna bli en, nämligen att det utifrån den registrerades perspektiv även är i princip meningslöst att lägga ner arbete och dra på sig kostnader för att väcka skadeståndstalan mot den personuppgiftsansvarige.
Det kan därför ifrågasättas om inte effekten av nuvarande regler och rättspraxis är att den enskilde effektivt avskräcks från att hävda sina rättigheter, medan staten med stöd av de nya reglerna får ytterligare ett verktyg för att styra och kontrollera företag. Frågan är därför kanske snarast om de nya lagarna totalt sett ökar eller minskar friheten i samhället och hur vi tycker att det ska vara. Datainspektionens vision, Ett tryggt informationssamhälle – tillsammans värnar vi den personliga integriteten, vad är den egentligen värd för den enskilde registrerade och bryr sig samhället egentligen om vår personliga integritet om vi utgår ifrån de signaler vi får?
Conny Larsson, ordförande för Sig Security och advokat, Advokatfirman Singularity Law AB
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
