Kommissionens överföring av personuppgifter till USA ledde till skadestånd

EU-tribunalen har ålagt EU-kommissionen att ersätta en person med 400 euro, den summa han yrkade, och hälften av hans rättegångskostnader, efter att hans personuppgifter överfördes till USA när han använde en login-tjänst som fanns på kommissionens webbsida.

Överföringarna skedde 2021 och 2022. Överföringarna skedde genom en login-tjänst på kommissionens webbplats ”Konferensen om Europa”, där man kunde identifiera sig bland annat med Facebook, vilket personen använde. Därmed överfördes framför allt hans IP-adress till Meta Platforms i USA.

Vid tidpunkten fanns inget giltigt adekvansavtal mellan EU och USA och det fanns inget beslut fattat av kommissionen som skulle påvisa att USA försäkrar en adekvat skyddsnivå för personuppgifter.

EU-tribunalen fann att kommissionens login-tjänst skapade förutsättningarna för att personuppgifter överfördes till Meta Platforms som är etablerat i USA. Överföringen var därför orsakad av kommissionen.

Den ideella skadan bestod av den osäkerhet som överföringen medförde för personen. Kommissionen dömdes att ersätta den ideella skadan och hälften av hans rättegångskostnader, och fick bära sina egna kostnader.

Halveringen av rättegångskostnaderna beror på att personen också yrkade ersättning för andra överföringar, som tribunalen ansåg att kommissionen inte var ansvarig för.

Domen fattades i enlighet med EU-institutionernas dataskyddsförordning (EU) 2018/1725, som inte nämnvärt avviker från vår dataskyddsförordning (EU) 2016/679.

Domen är komplex och intressant och finns här.

Vägledning

Med tredjelandsöverföringar avses alla överföringar utanför EU och EES. Tredjelandsöverföringar är tillåtna om mottagarlandet har en adekvat skyddsnivå eller lämpliga skyddsåtgärder har vidtagits. Syftet är att skydda EU-medborgarnas personuppgifter på samma höga nivå som i EU.

För närvarande (13.2.2025) finns det ett adekvansavtal EU-USA, som emellertid är i gungning dels för att det pågår ett domstolsärende om dess giltighet, dels för att Trump-administrationen har satt avtalet i farozonen. Schrems II-domen år 2020 begränsade användningen av SCC, standardkontraktsklausuler. Det föreligger en klar juridisk osäkerhet i fråga om överföringar av personuppgifter, särskilt till USA. Också avtalet EU-UK är under omförhandling, eftersom det går ut i sommar. EU-kommissionens beslut om länder som håller samma skyddsnivå för personuppgifter som EU finns här.

Skadestånd regleras i artikel 82 i dataskyddsförordningen. En överträdelse av förordningen som leder till skada ska ersättas. Det ska finnas ett orsakssamband mellan den personuppgiftsansvariges handlande/försummelse och skadan. Skadan ska vara reell, men den kan vara både materiell (kostnader) och immateriell, som den ideella skada som domen handlade om. Den ideella skadan var alltså den osäkerhet som personen led av att hans IP-adress exporterades till Meta Platforms i USA och den amerikanska lagstiftningen som möjliggör åtkomst av hans personuppgifter till exempel för underrättelsetjänsten.

Skadestånd dömdes ut för att kommissionens vållande (ansvar) och orsakssambandet mellan kommissionens vållande och skadan var bevisade. Skadeståndet dömdes ut till yrkat belopp. En persons skada à 400 euro kan vara försumbart, men 10, 100 eller 1000 personer som lider samma skada är mer kännbart. När en person vinner sin talan ersätts dessutom rättegångskostnaderna.

I en annan överföring till Amazon CloudFront fann tribunalen att personuppgifterna stannade i EU. I en tredje fann tribunalen att personuppgifterna överfördes till USA på grund av inställningar som personen själv gjort. Personen hade yrkat 800 euro i skadestånd för ideell skada för dessa överföringar, vilket förkastades och halverade ersättningen för rättegångskostnader.