Artikkel 82. Rett til erstatning og erstatningsansvar

Sammendrag: Enhver som blir skadelidende – økonomisk eller på annen måte – kan kreve erstatning av behandlingsansvarlig eller databehandler ved brudd på GDPR. Krave kan rettes mot behandlingsansvarlig eller databehandler. Det kan kreve erstatning både for tap og skade man har hatt som har økonomisk betydning, men også for skade som ikke har hatt økonomiske virkninger.

Primære fortalepunkter

Erstatningsansvar*

146. Den behandlingsansvarlige eller databehandleren bør yte erstatning for enhver skade som en person kan bli påført som følge av behandling som er i strid med bestemmelsene i denne forordning. Den behandlingsansvarlige eller databehandleren bør fritas for erstatningsansvar dersom vedkommende kan bevise at vedkommende på ingen måte er ansvarlig for skaden. Begrepet «skade» bør tolkes vidt på bakgrunn av Domstolens rettspraksis og på en måte som fullt ut gjenspeiler målene i denne forordning. Dette berører ikke eventuelle krav om skadeserstatning som følge av overtredelse av andre bestemmelser i unionsretten eller medlemsstatenes nasjonale rett. Behandling som er i strid med bestemmelsene i denne forordning, omfatter også behandling som er i strid med bestemmelser i delegerte rettsakter og gjennomføringsrettsakter vedtatt i samsvar med denne forordning og medlemsstatenes nasjonale rett som presiserer bestemmelsene i denne forordning. De registrerte bør få full og effektiv erstatning for den skade de har lidd. Dersom behandlingsansvarlige eller databehandlere er involvert i den samme behandlingen, bør den enkelte behandlingsansvarlige eller databehandler holdes ansvarlig for hele skaden. Dersom de er involvert i samme rettergang i samsvar med medlemsstatenes nasjonale rett, kan erstatningen imidlertid fordeles i henhold til den enkelte behandlingsansvarliges eller databehandlers ansvar for skaden som behandlingen har forvoldt, forutsatt at den registrerte som har lidd skaden, er sikret full og effektiv erstatning. Enhver behandlingsansvarlig eller databehandler som har betalt full erstatning, kan deretter gjøre regress gjeldende mot andre behandlingsansvarlige eller databehandlere som har vært involvert i samme behandling.
*ikke offisiell overskrift

Andre aktuelle fortalepunkter

Begrensninger i de registrertes rettigheter etter nasjonal lov*

73. Særlige prinsipper og retten til informasjon, innsyn i og retting eller sletting av personopplysninger, retten til dataportabilitet, retten til å protestere, avgjørelser basert på profilering samt underretning av en registrert om brudd på personopplysningssikkerheten og visse tilhørende forpliktelser som påhviler de behandlingsansvarlige, kan begrenses av unionsretten eller medlemsstatenes nasjonale rett i den grad det i et demokratisk samfunn er nødvendig og forholdsmessig av hensyn til den offentlige sikkerhet, herunder vern av menneskeliv, særlig som følge av naturkatastrofer eller menneskeskapte katastrofer, forebygging, etterforskning og straffeforfølging av straffbare forhold eller iverksetting av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, eller brudd på yrkesetiske regler i lovregulerte yrker, andre viktige mål i allmennhetens interesse i Unionen eller en medlemsstat, særlig en viktig økonomisk eller finansiell interesse for Unionen eller en medlemsstat, føring av offentlige registre i allmennhetens interesse, viderebehandling av arkiverte personopplysninger for å framlegge særlig informasjon om politisk atferd under tidligere totalitære regimer eller vern av den registrerte eller andres rettigheter og friheter, herunder sosial trygghet, folkehelse og humanitære formål. Nevnte begrensninger bør være i samsvar med kravene fastsatt i pakten og i Den europeiske konvensjon om beskyttelse av menneskerettighetene og de grunnleggende friheter.
*ikke offisiell overskrift

Personvernbrudd og varsling*

85. Et brudd på personopplysningssikkerheten kan, dersom det ikke håndteres på egnet måte og i rett tid, påføre fysiske personer fysisk, materiell eller ikke-materiell skade, f.eks. tap av kontroll over egne personopplysninger eller begrensning av egne rettigheter, forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, uautorisert oppheving av pseudonymisering, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper for den berørte fysiske personen. Så snart den behandlingsansvarlige får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten, bør vedkommende melde nevnte brudd til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til det, med mindre vedkommende i samsvar med ansvarlighetsprinsippet kan påvise at nevnte brudd på personopplysningssikkerheten sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom nevnte melding ikke kan gis innen 72 timer, bør årsaken til forsinkelsen oppgis i meldingen, og informasjonen kan gis trinnvis uten videre ugrunnet opphold.
*ikke offisiell overskrift

Verneting ved domstolsprøving*

145. Når det gjelder saker mot en behandlingsansvarlig eller databehandler, bør saksøkeren ha valget mellom å bringe saken inn for domstolene i medlemsstatene der den behandlingsansvarlige eller databehandleren har en virksomhet, eller der den registrerte er bosatt, med mindre den behandlingsansvarlige er en offentlig myndighet i en medlemsstat som handler innenfor rammen av sin offentlige myndighet.
*ikke offisiell overskrift

Allmenne bestemmelser om domsmyndighet har ikke betydning for særlige bestemmelser i GDPR*

147. Når denne forordning inneholder særlige bestemmelser om domsmyndighet, særlig når det gjelder saker om adgang til rettsmidler, herunder for å oppnå erstatning, mot en behandlingsansvarlig eller databehandler, bør allmenne bestemmelser om domsmyndighet, f.eks. bestemmelsene i europaparlaments- og rådsforordning (EU) nr. 1215/2012, ikke berøre anvendelsen av nevnte særlige bestemmelser.
*ikke offisiell overskrift

Engelsk tekst

Article 82. Right to compensation and liability

1. Any person who has suffered material or non-material damage as a result of an infringement of this Regulation shall have the right to receive compensation from the controller or processor for the damage suffered.

2. Any controller involved in processing shall be liable for the damage caused by processing which infringes this Regulation. A processor shall be liable for the damage caused by processing only where it has not complied with obligations of this Regulation specifically directed to processors or where it has acted outside or contrary to lawful instructions of the controller.

3. A controller or processor shall be exempt from liability under paragraph 2 if it proves that it is not in any way responsible for the event giving rise to the damage.

4. Where more than one controller or processor, or both a controller and a processor, are involved in the same processing and where they are, under paragraphs 2 and 3, responsible for any damage caused by processing, each controller or processor shall be held liable for the entire damage in order to ensure effective compensation of the data subject.

5. Where a controller or processor has, in accordance with paragraph 4, paid full compensation for the damage suffered, that controller or processor shall be entitled to claim back from the other controllers or processors involved in the same processing that part of the compensation corresponding to their part of responsibility for the damage, in accordance with the conditions set out in paragraph 2.

6. Court proceedings for exercising the right to receive compensation shall be brought before the courts competent under the law of the Member State referred to in Article 79 (2).

1. Enhver person som har lidd materiell eller ikke-materiell skade som følge av en overtredelse av denne forordning, skal ha rett til å motta erstatning fra den behandlingsansvarlige eller databehandleren for den forvoldte skaden.

2. Enhver behandlingsansvarlig som vært involvert i behandlingen, skal være ansvarlig for skaden forårsaket av behandling som er i strid med denne forordning. En databehandler skal være ansvarlig for en skade forårsaket av behandling bare dersom vedkommende ikke har oppfylt forpliktelsene i denne forordning som særlig er rettet mot databehandlere, eller dersom vedkommende har opptrådt utenfor eller i strid med behandlingsansvarliges lovlige instrukser.

3. En behandlingsansvarlig eller databehandler skal fritas for erstatningsansvar i henhold til nr. 2 dersom vedkommende godtgjør at vedkommende på ingen måte er ansvarlig for hendelsen som førte til skaden.

4. Dersom flere enn én behandlingsansvarlig eller databehandler eller både en behandlingsansvarlig og en databehandler er involvert i samme behandling, og dersom de i henhold til nr. 2 og 3 er ansvarlige for eventuelle skader som forårsakes av behandlingen, skal hver behandlingsansvarlig eller databehandler holdes ansvarlig for hele skaden for å sikre at den registrerte mottar effektiv erstatning.

5. Dersom en behandlingsansvarlig eller databehandler i samsvar med nr. 4 har betalt full erstatning for den forvoldte skaden, skal nevnte behandlingsansvarlig eller databehandler fra de andre behandlingsansvarlige eller databehandlere som har vært involvert i samme behandling, ha rett til å kreve tilbake den delen av erstatningen som svarer til deres del av ansvaret for skaden, i samsvar med vilkårene fastsatt i nr. 2.

6. Retterganger med henblikk på utøvelse av retten til å motta erstatning, skal bringes inn for domstolene som har kompetanse i henhold til nasjonal rett i medlemsstaten nevnt i artikkel 79 nr. 2.

< Artikkel 81 | Artikkel 83 >

Kurs i GDPR