För en vecka sedan kunde vi rapportera om de högsta viten som hitills delats ut under GDPR i Portugal. Tvärtemot vad många trott berördes ett offentligt sjukhus, och gällde bristande kontroll på ostrukturerad data.

https://aigine.se/dla-piper-tar-gdpr-temperaturen-pa-europa/dataskyddsforordningen/

Och visst, viten under GDPR kan vara förödande, men potentiellt värre är rätten till skadestånd under artikel 82, som gäller även icke-materiell skada. Detta innebär att det inte finns något krav att visa en faktisk ekonomisk skada under GDPR; kränkningen i sig räcker.

Ross McKean har skrivit en intressant artikel om situationen i UK, och drar några slutsatser vi tycker är värda att nämna.

The quantum of damage for distress is far from a settled area of law and unlike personal injury claims where guidelines for the assessment of damages are readily available, the jurisprudence considering damages for distress arising from breach of data protection laws is sparse and ambivalent.

Detta är sant, men för EU-länder kommer vi se en harmonisering mellan nationella lagstiftningar. Och precis som Ross McKean nämner så har skadestånd för vanliga spam legat på tusentals pund. Det är troligt att skadestånden för brott mot personlig integritet kommer ligga högre.

Osäkerheten kring skadeståndsnivåerna kommer därför, i det korta perspektivet, antagligen innebära att antalet grupptalan blir begränsat, men en saker är säker:

“…the potential upsides of a successful claim where hundreds of thousands or millions of sensitive records are compromised in a breach mean that data protection group litigation is likely to be here to stay”

https://www.linkedin.com/pulse/how-real-threat-data-protection-group-litigation-uk-ross-mckean/