Personuppgiftsbehandling kränkning innebär att en organisation eller person behandlar dina personuppgifter på ett sätt som bryter mot GDPR eller dataskyddsförordningen, vilket kan ge dig rätt till skadestånd och ersättning.
Vad är personuppgiftsbehandling kränkning?
En kränkning av personuppgiftsbehandling inträffar när en personuppgiftsansvarig eller personuppgiftsbiträde behandlar dina personuppgifter på ett sätt som strider mot GDPR (dataskyddsförordningen). Detta kan ske genom att de inte följer grundläggande principer för personuppgiftsbehandling, inte har laglig grund för behandlingen, eller på annat sätt bryter mot dina rättigheter.
Enligt GDPR artikel 82 har du rätt till ersättning för materiell och immateriell skada som orsakats av en överträdelse av dataskyddsförordningen. Det betyder att du kan kräva skadestånd även för känslomässig stress, förödmjukelse eller annat obehag som kränkningen orsakat.
Personuppgiftsbehandling omfattar alla former av hantering av personuppgifter - insamling, registrering, organisering, strukturering, lagring, anpassning, ändring, framtagning, konsultering, användning, utlämning, spridning, sammankoppling, begränsning, radering eller förstöring av personuppgifter.
Vanliga typer av kränkningar
Olaglig insamling och lagring
En av de vanligaste formerna av kränkning är när organisationer samlar in personuppgifter utan laglig grund eller fortsätter att lagra uppgifter längre än nödvändigt. Detta kan inkludera att företag samlar in mer information än vad som behövs för det angivna syftet, eller att de inte raderar uppgifter när de inte längre behövs.
Exempel på olaglig insamling kan vara när ett företag kräver att du lämnar personnummer eller andra känsliga uppgifter för en tjänst där dessa uppgifter inte är nödvändiga. Det kan också handla om att företag använder så kallade "dark patterns" för att lura dig att samtycka till mer databehandling än vad du egentligen vill.
Bristande säkerhet och dataintrång
Organisationer har enligt GDPR en skyldighet att skydda dina personuppgifter med lämpliga tekniska och organisatoriska åtgärder. Om de inte gör det och det leder till ett dataintrång eller annan säkerhetsincident, kan detta utgöra en kränkning.
Bristande säkerhet kan innefatta svaga lösenord, otillräcklig kryptering, brist på åtkomstkontroll eller att personuppgifter lagras på osäkra platser. När sådana brister leder till att obehöriga får tillgång till dina personuppgifter, har du rätt att kräva ersättning för den skada detta orsakar.
Överföring till tredje part utan samtycke
Det är vanligt att företag delar personuppgifter med partners, leverantörer eller andra tredje parter. Detta är endast tillåtet under vissa förutsättningar, och om det sker utan laglig grund utgör det en kränkning av dina rättigheter.
Särskilt problematiskt är när personuppgifter överförs till länder utanför EU/EES utan adekvat skyddsnivå. GDPR ställer strikta krav på sådana överföringar, och om dessa inte följs kan du ha rätt till skadestånd.
Dina rättigheter vid kränkning
Rätt till ersättning och skadestånd
Enligt GDPR artikel 82 har du rätt till ersättning för både materiell och immateriell skada som orsakas av en kränkning av dataskyddsförordningen. Materiell skada kan vara direkta ekonomiska förluster, medan immateriell skada inkluderar känslomässig stress, förödmjukelse, förlorad kontroll över personuppgifter eller diskriminering.
För att få ersättning behöver du visa att en kränkning har ägt rum och att du har lidit skada till följd av denna kränkning. Du behöver inte bevisa uppsåt eller vårdslöshet från organisationens sida - det räcker att bevisa att en överträdelse har skett.
Ersättningsbeloppet varierar beroende på skadans omfattning och kränkningens allvar. I Sverige har Integritetsskyddsmyndigheten och domstolarna börjat utveckla praxis för hur sådana ersättningar ska beräknas.
Rätt att få kränkningen upphörd
Du har rätt att kräva att den personuppgiftsansvarige omedelbart upphör med den olagliga behandlingen av dina personuppgifter. Detta kan innebära att de måste sluta använda uppgifterna för ett visst ändamål, begränsa behandlingen eller helt radera uppgifterna.
Om organisationen vägrar att rätta till kränkningen kan du vända dig till Integritetsskyddsmyndigheten (IMY) som kan utfärda förelägganden och sanktionsavgifter för att tvinga organisationen att följa lagen.
Rätt till information och transparens
När en kränkning har ägt rum har du rätt att få fullständig information om vad som hänt, vilka personuppgifter som berörs och vilka åtgärder organisationen vidtar för att rätta till situationen. Detta inkluderar rätt att få veta om dina uppgifter har spridits till tredje parter.
Organisationen ska också informera dig om vilka rättigheter du har och hur du kan utöva dessa, inklusive din rätt att lämna klagomål till tillsynsmyndigheten och att väcka talan i domstol.
Så går du tillväga vid kränkning
Dokumentera kränkningen
Det första steget är att noggrant dokumentera vad som hänt. Spara alla relevanta dokument, e-postmeddelanden, skärmdumpar och annan bevisning som visar att en kränkning har ägt rum. Anteckna också datum, tidpunkter och vilka personer du har haft kontakt med.
Om kränkningen rör ett dataintrång eller säkerhetsincident, be organisationen om en detaljerad redogörelse för vad som hänt och vilka åtgärder de vidtagit. Denna information kan vara avgörande för att kunna bevisa din rätt till ersättning.
Kontakta den personuppgiftsansvarige
Kontakta först organisationen som är ansvarig för personuppgiftsbehandlingen. Beskriv tydligt vilken kränkning du anser har ägt rum och vad du kräver för rättelse. Många kränkningar kan lösas på denna nivå utan att behöva involvera myndigheter eller domstolar.
Ge organisationen en rimlig tid att svara och åtgärda problemet. Enligt GDPR ska de svara på din begäran inom en månad, men i komplicerade fall kan denna tid förlängas med ytterligare två månader.
Anmäl till Integritetsskyddsmyndigheten
Om organisationen inte åtgärdar kränkningen eller om du inte är nöjd med deras svar, kan du lämna ett klagomål till Integritetsskyddsmyndigheten (IMY). IMY är den svenska tillsynsmyndigheten för dataskydd och kan utreda kränkningar och utfärda sanktioner.
Ett klagomål till IMY kostar ingenting och kan lämnas elektroniskt via deras webbplats. IMY kan inte döma ut skadestånd till dig, men deras utredning kan vara värdefull om du senare väljer att väcka talan i domstol.
För mer omfattande juridiska ärenden kan det vara värt att överväga att söka juridisk rådgivning gratis för att förstå dina möjligheter.
Praktiska exempel på kränkningar
Exempel 1: E-handelsföretag läcker kunduppgifter
Maria handlar regelbundet från en svensk e-handelsbutik och har skapat ett kundkonto med sina personuppgifter inklusive namn, adress, telefonnummer och e-postadress. I januari 2026 upptäcker butiken att deras databas har hackats och att kunduppgifter för 50 000 kunder, inklusive Marias, har stulits av cyberbrottslingar.
Butiken informerar dock inte Maria om dataintrånget förrän tre månader senare, trots att GDPR kräver att kunder informeras utan onödigt dröjsmål när det finns en hög risk för deras rättigheter och friheter. Under tiden använder brottslingarna Marias uppgifter för identitetsstöld och hon får flera fakturor för tjänster hon aldrig beställt.
Maria kan i detta fall kräva ersättning från e-handelsbutiken för både den materiella skadan (kostnader för att rätta till identitetsstölden) och den immateriella skadan (stress, oro och förlorad tid). Butiken har brutit mot flera GDPR-krav: bristande säkerhet, sen anmälan och bristande information till drabbade.
Exempel 2: Arbetsgivare övervakar anställd olagligt
Johan arbetar på ett mindre företag där chefen installerat övervakningsprogram på alla arbetsdatorer. Programmet registrerar inte bara arbetstid och vilka program som används, utan också all text som skrivs, besökta webbsidor och till och med aktiverar webbkameran för att fotografera de anställda.
Företaget har inte informerat de anställda om denna omfattande övervakning och har inte gjort en intresseavvägning för att visa att övervakningen är nödvändig och proportionell. Johan upptäcker övervakningen och kräver att få veta vilka uppgifter som samlats in om honom, men företaget vägrar att ge ut informationen.
Detta utgör flera kränkningar av GDPR: olaglig behandling av personuppgifter, bristande transparens, överträdelse av informationsskyldigheten och förnekande av Johans rätt till tillgång till sina personuppgifter. Johan kan både kräva att övervakningen upphör och begära skadestånd för kränkningen av hans integritet och personliga sfär. Han kan också behöva juridisk rådgivning online för att hantera situationen mot sin arbetsgivare.
Bevisning och rättsprocessen
Bevisbörda och beviskrav
När du kräver ersättning för en kränkning av personuppgiftsbehandling måste du kunna bevisa två huvudsakliga element: att en kränkning har ägt rum och att du har lidit skada till följd av kränkningen. Bevisbördan ligger på dig som kärande, men GDPR ställer inte krav på att du ska bevisa uppsåt eller vårdslöshet från organisationens sida.
För att bevisa att en kränkning ägt rum kan du använda dokumentation som e-postmeddelanden, avtal, integritetspolicyer, vittnesuppgifter eller teknisk bevisning som loggar och systemutskrifter. Om Integritetsskyddsmyndigheten redan har utrett ärendet kan deras beslut vara stark bevisning för att en kränkning har skett.
När det gäller skadebeviset är det viktigt att dokumentera alla konsekvenser som kränkningen medfört. För materiell skada kan detta inkludera kvitton, fakturor, lönebesked och andra dokument som visar ekonomiska förluster. För immateriell skada kan du behöva läkarintyg, vittnesmål eller annan dokumentation som visar påverkan på ditt välbefinnande.
Preskription och tidsfrister
Det finns viktiga tidsfrister att hålla koll på när du överväger att kräva ersättning för personuppgiftsbehandling kränkning. I Sverige gäller den allmänna preskriptionstiden på tre år för skadeståndstalan enligt skadeståndslagen, räknat från den dag du fick kännedom om skadan och vem som är ersättningsskyldig.
För klagomål till Integritetsskyddsmyndigheten finns inga specifika tidsfrister i GDPR, men det är viktigt att agera inom rimlig tid efter att du upptäckt kränkningen. Ju längre du väntar, desto svårare kan det bli att bevisa din sak och få gehör för dina krav.
Om du överväger att väcka talan i domstol är det viktigt att planera processen noggrant. Kostnaderna för rättegång kan vara betydande, och du bör överväga om det finns möjlighet till rättsskydd genom din hemförsäkring eller om ärendet är lämpligt för grupptalan.
Förebyggande åtgärder
Skydda dina personuppgifter proaktivt
Den bästa strategin för att undvika att drabbas av personuppgiftsbehandling kränkningar är att vara proaktiv i hur du delar och skyddar dina personuppgifter. Läs alltid integritetspolicyer och användarvillkor innan du registrerar dig för tjänster eller delar personuppgifter med organisationer.
Var restriktiv med vilka uppgifter du delar och kontrollera regelbundet vilka organisationer som har tillgång till dina personuppgifter. Använd din rätt att begära information om vilka uppgifter som lagras om dig och begär radering av uppgifter som inte längre behövs.
Använd starka, unika lösenord för alla dina konton och aktivera tvåfaktorsautentisering där det är möjligt. Detta minskar risken för att dina konton komprometteras även om en organisation du har konto hos drabbas av dataintrång.
Håll dig uppdaterad om dina rättigheter
GDPR och dataskyddslagstiftningen utvecklas kontinuerligt genom nya rättsfall, tillsynsbeslut och vägledning från myndigheter. Håll dig uppdaterad om dina rättigheter och hur de tolkas i praktiken.
Följ Integritetsskyddsmyndighetens webbplats och prenumerera på deras nyhetsbrev för att få information om nya beslut och riktlinjer. Delta i utbildningar eller webbinarier om dataskydd om du arbetar i en bransch där personuppgiftsbehandling är central.
Om du driver företag eller arbetar med personuppgiftsbehandling professionellt, se till att ha rutiner för att hålla dig uppdaterad om regelverket och för att hantera eventuella klagomål från registrerade personer.
Viktiga slutsatser
- Du har rätt till ersättning för både materiell och immateriell skada när dina personuppgifter behandlas i strid med GDPR, även utan att behöva bevisa uppsåt från organisationens sida.
- Dokumentera alltid kränkningar noggrant och kontakta först den personuppgiftsansvarige innan du vänder dig till myndigheter eller domstol för att lösa konflikten.
- Integritetsskyddsmyndigheten kan utreda kränkningar kostnadsfritt, men för skadestånd måste du väcka talan i allmän domstol eller försöka förhandla fram en uppgörelse.
- Vanliga kränkningar inkluderar olaglig insamling av uppgifter, bristande säkerhet, dataintrång och överföring till tredje part utan laglig grund.
- Agera inom rimlig tid efter att du upptäckt en kränkning, då preskriptionstiden för skadestånd är tre år och bevisen kan bli svårare att samla in över tid.