Hva betyr personvernloven og GDPR for din virksomhet? Advokat Roy Nordli har siden 2017 holdt kurs i GDPR og personvern, og kommenterer her erstatningsansvaret for styret ved brudd på GDPR.
Konsekvensene av GDPR er omfattende for alle virksomheter. I denne artikkelen vil fokuset bli flyttet fra behandlingsansvarlig og dataansvarlig - til styret.
Det er skrevet svært mange artikler i senere tid om ansvar for databehandler og behandlingsansvarlig, men lite eller ingenting om styreansvaret!
Datatilsynet skriver også lite om styreansvaret, noe som naturligvis henger sammen med at styreansvaret er regulert i annen lovgivning, og derved faller utenfor Datatilsynets kompetanse- og ansvarsområde.
Styreansvaret er delvis regulert i aksjeloven og delvis gjennom rettspraksis, og det er følgelig bare domstolene i Norge som kan idømme et styre erstatningsansvar for brudd på aksjeloven
Styreansvaret følgelig er utenfor Datatilsynets sfære og ansvarsområde. Dette i motsetning til brudd på GDPR-forordningen, hvor lovgiver kan overlate til Datatilsynet å innkreve bøter.
GDPR-forordningen trer i kraft 25.mai 2018
Fra 25.mai 2018 trer GDPR-forordningen i kraft som ny "grunnlov" i Norge mht. personvern, og vil drastisk endre rettstilstanden for styreansvaret i aksjeselskaper. En kort oppsummering av styreansvaret i aksjeloven følger under.
Rettslig grunnlag for at styret kan risikere erstatningsansvar
Styreansvaret er nærmere regulert i aksjeloven § 17.1:
1) Selskapet, aksjeeier eller andre kan kreve at daglig leder, styremedlem, medlem av bedriftsforsamlingen, gransker eller aksjeeier erstatter skade som de i den nevnte egenskap forsettlig eller uaktsomt har voldt vedkommende.
(2) Selskapet, aksjeeier eller andre kan også kreve erstatning av den som forsettlig eller uaktsomt har medvirket til skadevolding som nevnt i første ledd. Erstatning kan kreves av medvirkeren selv om skadevolderen ikke kan holdes ansvarlig fordi han eller hun ikke har utvist forsett eller uaktsomhet.
Dersom styret i et aksjeselskap forsettelig eller utaktsomt bryter norsk lov, herunder bryter GDPR-forordningen, vil det kunne medføre et styreansvar.
Det er tilstrekkelig for skyld at man har opptrådt simpelt uaktsom eller grovt uaktsomt. Eksempel på grovt uaktsomt kan være at styret ikke har behandlet
Styret har både et forvaltningsansvar og tilsynsansvar
Styrets ansvar er nærmere regulert i aksjeloven, og omfatter både et forvaltningsansvar og tilsynsansvar.
Forvaltningsansvaret i aksjeloven vs. GDPR-forordningen:
Styrets forvaltningsansvar fremgår av aksjeloven § 6-12,hvor det fremgår at:
(1) Forvaltningen av selskapet hører under styret. Styret skal sørge for forsvarlig organisering av virksomheten.
Av artikkel 5 punkt 2 i GDPR-forordningen fremgår at:
Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at nr. 1 overholdes ("ansvar for personvernprinsippene overholdes").
Dette prinsoppet om ansvarlighet understreker ansvaret for å opptre i samsvar med prinsippene for behandling av personopplysninger og for å ivareta den registrertes rettigheter og friheter.
Ansvaret ligger på alle virksomheter som behandler personopplysninger. Det er ikke nok å bare ha ansvar - man må også vise at man tar ansvar. I siste omgang er også styret ansvarlig selv om gjennomføring i praksis er overlatt til administrerende direktør eller rådmannen i kommuner.
Dersom virksomheten er pålagt å ha et Personvernombud iht. GDPR-forordningen, men ikke har dette, er dette følgelig et brudd som styret kan holdes direkte ansvarlig for. Det samme kan skje dersom styret har unnlatt å skaffe til veie økonomiske ressurser til eksempelvis personvernombud eller GDPR-system som sikre at GDPR-forordningen etterleves.
Men hva dersom det er administrerende direktør eller rådmann som har sviktet ifm. gjennomføring av GDPR-forordningen. Kan da styret holdes ansvarlig iht. GDPR-forordningen for brudd? Ut i fra styrets tilsynsansvar i aksjeloven er svaret ja.
Styrets tilsynsansvar i aksjeloven vs. GDPR-forordningen:
Styrets tilsynsansvar fremgår av aksjeloven § 6-13, hvor det fremgår at:
(1) Styret skal føre tilsyn med den daglige ledelse og selskapets virksomhet for øvrig.
Tilsynsansvaret omfatter bl.a. å sikre at daglig ledelse ikke bryter norsk lov, herunder personvernlovgivningen og GDPR-forordningen.Styret har derfor det øverste ansvaret for å sette seg inn i alle plikter som gjelder for behandling av personopplysninger, hvordan personopplysninger sikres, risikovurderes, lagres og at rutiner er dokumentert og følges. Ved evt. brudd på GDPR-forordningen har styret det øverste ansvaret.
Dersom det kan sannsynliggjøres at styret har sviktet uaktsomt, kan de følgelig bli hold erstatningsansvarlig for svikt i sitt tilsynsansvar.
Dersom styret i et aksjeselskap har opptrådt uaktsomt ifm. mistanke om brudd på GDPR-forordningen og personvernreglene, vil en eventuell gransking tillegge styret, og er også lovfestet i aksjeloven § 6-12 (4), hvor det heter at:
Styret iverksetter de undersøkelser det finner nødvendig for å kunne utføre sine oppgaver. Styret skal iverksette slike undersøkelser dersom det kreves av ett eller flere styremedlemmer.
Ved mistanke om brudd på GDPR-forordningen, er det styret som har det overordnede ansvaret jf. aksjeloven § 6-13. Denne bestemmelsen må igjen sees i sammenheng med styreansvaret etter aksjeloven § 17-1.
Styremedlemmer kan holdes personlig erstatningsansvarlig dersom de har opptrådt uaktsomt i forbindelse med mistanke om brudd på GDPR-forordningen, og unnlatt å iverksette tiltak etter aksjeloven § 6-12 (4).
I forbindelse med konkurser vil bostyrer kunne fremme krav om erstatning av styremedlemmer for unnlatelse av å etterfølge GDPR-forordningen, og det er bare et tidsspørsmål før bostyrer vil bruke muligheten til å saksøke styremedlemmer på dette grunnlag! Dette som en naturlig følge av rettspraksis på området for styreansvar etter 2008 i Norge.
Dersom databehandler ikke har inngått lovlig databehandleravtale, og sensitive personopplysninger etc. kommer på avveie til utenforstående, eller det ikke er gjennomført lovpålagte risikovurderinger, kan følgelig styret risikere å bli holdt økonomisk ansvarlig.
Eventuelle brudd på GDPR forordningen, evt. manglende kontroll med etterlevelse av forordningen, er en risiko som styret "bør ta inn over seg", og iverksette tiltak. Dersom styret ikke har "tatt det inn over seg" kan det ifølge rettspraksis medføre økt erstatningsansvar.
Hvilke beløp kan styret holdes erstatningsansvarlig for?
Det følger av Skadeserstatningsloven § 4-1 at erstatning for tingskade og annen formuesskade skal dekke den skadelidtes økonomiske tap.
Dette forutsetter igjen at for eksempel den registrerte er påført et tap. Eksempelvis at 10.000 personer har blitt frastjålet sensitive opplysninger, som igjen koster hver enkelt kr. 10.000,- i advokathjelp. Det samlede tap vil da kunne utgjøre 10 millioner kroner.
Erstatning til personer for både materiell eller ikke materiell skade
Av artikkel 82 i GDPR-forordningen, fremgår at:
1. Enhver person som har lidd materiell eller ikke-materiell skade som følge av en overtredelse av denne forordning, skal ha rett til å motta erstatning fra den behandlingsansvarlige eller databehandleren for den forvoldte skaden.
2. Enhver behandlingsansvarlig som vært involvert i behandlingen, skal være ansvarlig for skaden forårsaket av behandling som er i strid med denne forordning. En databehandler skal være ansvarlig for en skade forårsaket av behandling bare dersom vedkommende ikke har oppfylt forpliktelsene i denne forordning som særlig er rettet mot databehandlere, eller dersom vedkommende har opptrådt utenfor eller i strid med databehandlerens lovlige instrukser.
Ved at styret derved også kan holdes ansvarlig for ikke-materiell skade, kan det eks. innebære at en person blir varig ufør pga. at sensitive opplysninger om ham er lekket ut i media, har lidt et økonomisk tap og ikke-økonomisk tap som da inngår i erstatningsberegningen.
Erstatningsansvar til offentlige myndigheter og EU for brudd på GDPR
Styret risikerer også å bli holdt erstatningsansvarlig overfor offentige myndigheter for manglende betaling av brudd på GDPR.
Av artikkel 83 i GDPR-forordningen fremgår at tilsynsmyndighetene kan ilegge en virksomhet inntil 20 millioner Euro i gebyr for brudd, dvs. nærmere 200 millioner kroner.
Dersom styret har opptrådt grovt uaktsomt, kan man følgelig risikere at styremedlemmene holdes personlig erstatningsansvarlig for hele eller deler av gebyret. Dette på lik linje med at styret kan holdes erstatningsansvarlig for bøter ilagt ifm. brudd på skattelovgivningen etc. Det er ingen prinsipiell forskjell her, og er noe domstolene før eller siden vil måtte ta stilling til etter at GDPR-forordningen er trådt i kraft den 25.mai 2018.
Oppsummering
Siden styret er øverste ansvarlige også for at den øverste ledelse overholder GDPR-forordningen, kan de enkelte styremedlemmer derved risikere å bli holdt solidarisk erstatningsansvarlige for selskapets brudd på GDPR-forordningen. Det uavhengig av en eventuell konkurs.
I tillegg kan styret risikere å bli holdt ansvarlig overfor enhver person som har lidd materiell eller ikke-materiell skade som følge av overtredelse av forordningen, og styret eksempelvis har opptrådt uaktsomt.
Ovennevnte illustrerer at styret ut i fra økonomiske hensyn bør sette GDPR i høysetet dersom dette ikke allerede er gjort. Det innebærer foruten å gjennomgå GDPR-forordningen også å sørge for at virksomheten har tilstrekkelige ressurser og evt. oppnevner lovpålagt personvernombud.
I tillegg oppfordres styret til å sørge for at virksomheten har et GDPR-system som fungerer, og at alle nødvendige databehandleravtaler er inngått.
Styremedlemmene bør også vurdere å tegne en styreansvarsforsikring som står i forhold til risikoen!
Eksterngransking tilbyr foruten lovpålagt kurs i GDPR også rådgivere innen GDPR som bl.a. kan redegjøre nærmere for erstatningsansvaret i forhold til GDPR. I tillegg har Eksterngransking avtale med forretningsadvokater med spisskompetanse i GDPR, og som evt. kan bistå med rettslige prosesser.