Diarienr: 2023/4835 / Beslutsdatum: 20 nov 2023

Staten är skadeståndsskyldig på grund av Försäkringskassans behandling av personuppgifter

Justitiekanslerns beslut

  1. Justitiekanslern tillerkänner AA ersättning med 31 000 kr.
  2. Justitiekanslern tillerkänner BB ersättning med 20 000 kr.
  3. Försäkringskassan ansvarar för att ersättningen i punkterna 1 och 2 betalas ut till sökandena.

Ärendet

Bakgrund

I juni 2022 skickade Försäkringskassan en förfrågan till två av AA:s före detta arbetsgivare för att kontrollera uppgifter om frånvaro från jobbet. I skrivelsen angavs AA:s personnummer och hennes nya namn. Vid tiden för utskicket bodde AA på ett skyddat boende och hade sekretesskyddade personuppgifter hos Försäkringskassan (s.k. SID-markering).

Anspråket

AA har begärt skadestånd av staten med 386 000 kr på den grunden att Försäkringskassan har behandlat hennes personuppgifter felaktigt. Av beloppet avser 250 000 kr ersättning för lidande, 125 000 kr förlorad arbetsinkomst och 11 000 kr flyttkostnader. Till stöd för anspråket har hon anfört bl.a. följande. Det inträffade ledde till att hon har var tvungen säga upp sig från sitt jobb och flytta till en annan ort för att söka skydd. Till följd av den hotbild som finns mot henne har hon inte kunnat få jobb på den nya orten. Det inträffade har även orsakat henne och hennes familj stort psykiskt lidande.

BB, som är AA:s minderåriga son, har på samma grund begärt skadestånd med 250 000 kr för lidande.

Försäkringskassan har yttrat sig över anspråket och tillstyrkt att ersättning ska utgå till AA för kränkning men i övriga delar avstyrkt hennes anspråk.

Försäkringskassan har avstyrkt att någon ersättning ska utgå till BB.

Justitiekanslerns bedömning

Rättsliga utgångspunkter

Av 1 kap. 1 § skadeståndslagen framgår att bestämmelserna i den lagen ska tillämpas endast om inte annat är särskilt föreskrivet. Sådana föreskrifter finns bl.a. i EU:s dataskyddsförordning (EU) 2016/679, som aktualiseras vid behandling av personuppgifter i Försäkringskassans verksamhet.

Enligt artikel 5.1 i dataskyddsförordningen ska personuppgifter bl.a. behandlas lagligt, korrekt och på ett sätt som säkerställer lämplig säkerhet för personuppgifterna. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet till bl.a. obehörigt röjande av de personuppgifter som överförts, lagrats eller på annat sätt behandlats (artikel 32.2).

Varje person som har lidit en materiell skada (t.ex. ekonomisk skada eller personskada) eller immateriell skada (t.ex. kränkning) till följd av en överträdelse av dataskyddsförordningen har enligt artikel 82 i förordningen rätt till ersättning från den personuppgiftsansvarige (se Sören Öman, Dataskyddsförordningen (GDPR) m.m. – en kommentar, Juno, version 2A, kommentaren till artikel 82). För att ha rätt till ersättning enligt dataskydds-förordningen krävs det således att tre villkor är uppfyllda; att det har förekommit en överträdelse av förordningen, att det har uppkommit en skada och att det finns ett orsakssamband mellan skadan och överträdelsen (se EU-domstolens dom den 4 maj 2023 i mål nr C-300/21, Österreichische Post, EU:C:2023:370, p. 32).

Det framgår av EU-domstolens fasta praxis att ersättningens storlek ska bestämmas med tillämpning av nationella regler, under förutsättning att dessa inte är mindre förmånliga än dem som reglerar liknande nationella situationer (likvärdighetsprincipen) eller medför att det i praktiken blir omöjligt eller orimligt svårt att utöva rättigheter som följer av unionsrätten (effektivitetsprincipen), se vidare EU-domstolens dom den 4 maj 2023 i mål nr C-300/21, Österreichische Post, EU:C:2023:370, p. 59. Det är alltså som utgångspunkt svenska regler som ska tillämpas när det gäller fastställandet av ersättningens storlek.

I förarbetena till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning anges det att motiven till den tidigare gällande personuppgiftslagen och den praxis som därvid utvecklats borde kunna vara vägledande även vid prövning av rätten till ersättning enligt dataskyddsför-ordningen (se SOU 2017:39 s. 304). Det är också så som Justitiekanslern har tillämpat rätten till ersättning enligt förordningen (se exempelvis Justitiekanslerns beslut den 15 mars 2022 i ärende nr 2020/7177).

Det innebär att ersättningen för den kränkning som uppkommit till följd av en överträdelse av dataskyddsförordningen får uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet. Vid den bedömningen ska bl.a. beaktas sådana faktorer som eventuell risk för otillbörlig spridning av känsliga eller felaktiga uppgifter och om den registrerade på grund av den felaktiga behandlingen har blivit utsatt för beslut eller åtgärder som kunnat innebära något negativt för honom eller henne (se prop. 1997/98:44 s. 142).

Högsta domstolen har i rättsfallet NJA 2013 s. 1046 uttalat att ersättningen ska bestämmas utifrån en bedömning av den kränkning som typiskt sett kan anses ha uppkommit och ersättningsnivån bör i fall som inte kan anses allvarliga ligga under 5 000 kr. Ersättning för kränkningar som är att bedöma som mindre allvarliga, om än inte helt obetydliga, bör normalt bestämmas till ett schablonbelopp på 3 000 kr.

Bedömningen i det här fallet

AA:s ersättningsanspråk

Den skadegörande handlingen har i detta fall bestått i att Försäkringskassan har röjt AA:s nya namn till två av hennes tidigare arbetsgivare genom att i en skrivelse till arbetsgivarna ange hennes personnummer och namn. Agerandet har stått i strid med artikel 5.1 dataskyddsförordningen då Försäkringskassan genom det inträffade inte har uppfyllt förordningens krav om att säkerställa en lämplig säkerhet för personuppgiften (artikel 5.1.f i dataskyddsförordningen). AA har därför rätt till ersättning för det inträffade.

Vid tiden för utskicket bodde AA på ett skyddat boende, hade sekretes-skyddade personuppgifter hos Försäkringskassan och hade bytt namn till följd av ett hot mot henne. Det saknas skäl att ifrågasätta AA:s uppgift om att hon flyttade som en följd av personuppgiftsincidenten. Med hänsyn till de riskbedömningar som kommunen har gjort framstår flytten som skäligen påkallad i den uppkomna situationen. Det finns alltså ett orsakssamband mellan personuppgiftsincidenten och flyttkostnaderna. AA har därför rätt till begärd ersättning om 11 000 kr avseende kostnader för flytten.

Den utredning som AA har gett in ger inte tillräckligt stöd för hon har förlorat arbetsinkomst som en följd av det inträffade. Anspråket i den delen ska alltså avslås. Det är inte heller visat att AA till följd av personupp-giftsincidenten har lidit en ersättningsgill personskada.

AA har däremot rätt till ersättning för den kränkning som uppkommit till följd av röjandet. Vid bedömningen av kränkningsersättningens storlek gör Justitiekanslern följande överväganden. Mot bakgrund av den information som Försäkringskassan hade tillgång till vid tiden för personuppgifts-incidenten står det klart att uppgiften om AA:s nya namn var klart skyddsvärd. Även om det inte är visat att uppgiften om namnet har spridits till fler än till AA:s tidigare arbetsgivare har det inträffade likväl inneburit en risk för spridning till obehöriga på ett sätt som utgjort en fara för AA:s säkerhet. Som angetts har det inträffade fått till följd att AA har tvingats att flytta till en annan ort. Det finns inte anledning att betvivla att det som inträffat även har innefattat stora påfrestningar för AA, inte minst i form av oro, otrygghet och psykisk press. Mot den bakgrunden bedömer Justitiekanslern att ersättningen till AA för kränkning ska bestämmas till skäliga 20 000 kr (Jämför Justitiekanslerns beslut den 6 augusti 2020 i ärende 2019/7435, beslut den 25 mars 2021 i ärende nr 2020/2215 och beslut den 10 december 2021 i ärende nr 2021/3164. Se även Justitiekanslerns beslut den 1 juni 2023 i ärende nr 2021/7985).

AA ska alltså sammantaget tillerkännas skadestånd med 31 000 kr.

BB:s ersättningsanspråk

Utifrån ordalydelsen i artikel 82 är rätten till ersättning inte begränsad till den registrerade personen, utan den gäller för ”varje person som har lidit materiell eller immateriell skada” till följd av en överträdelse av förord­ningen. Det förhållandet att det i det här fallet inte var BB:s personuppgifter som röjdes utesluter därmed inte att även BB kan ha en rätt till ersättning enligt förordningen om han har lidit en skada till följd av det inträffade (se Justitiekanslerns beslut den 22 juni 2023 i ärende nr 2022/2916). Det saknas skäl att ifrågasätta att röjandet av AA:s namn även har drabbat BB som också hade skyddad folkbokföring och sammanbodde med AA. BB har därmed rätt till ersättning enligt förordningen med anledning av personuppgiftsincidenten.

Det är inte visat att BB har lidit en ersättningsgill personskada till följd av det inträffade.

BB har däremot rätt till ersättning för kränkning. När det gäller kränknings-ersättningens storlek tar Justitiekanslern utgångpunkt i att det inträffade ytterst får antas ha påverkat BB på ett liknande sätt som AA (se Justitie-kanslerns beslut den 6 augusti 2020 i ärende 2019/7435 och Justitiekan-slerns beslut den 25 mars 2021 i ärende nr 2020/2215). BB ska därmed tillerkännas 20 000 kr i ersättning för kränkning.