JUSS OG SAMFUNN

Kan du som medlem eller leder av et styre bli ansvarlig for personvernrettslige brudd?

Direktør ble dømt i Tyskland. Hvordan er loven i Norge?

Advokat John E. Nilsen og advokat/partner Mathias T. Gebremichael i Ecit advokatfirma.
Advokat John E. Nilsen og advokat/partner Mathias T. Gebremichael i Ecit advokatfirma. Foto: Agnete Brun
Advokat John E. Nilsen og advokat/partner Mathias T. Gebremichael i Ecit advokatfirma.
19. mars 2022 - 19:00

I en nylig dom fra Tyskland ble en selskapsdirektør holdt personlig ansvarlig for brudd på personvernforordningen. Etter vårt syn kan selskap i Norge “ryke på samme smellen”. Denne artikkelen har til formål å belyse enkelte fallgruverne som et selskapsstyre må passe seg for i sin behandling av personopplysninger.

Flere typetilfeller hvor styreansvar kan utløses

Etter at personvernforordningen trådte i kraft har det vært mye fokus på hvilke forpliktelser og ansvar som påligger en “Behandlingsansvarlig” og en “Databehandler” etter denne.  Spørsmålet om et styremedlem kan holdes personlig ansvarlig for personvernrettslig brudd,  er derimot i liten grad vært diskutert.

Slik vi ser det er det to grupper med overordnede typetilfeller hvor styreansvar kan utløses. For det første hvor styret har unnlatt å følge reglene i personvernforordningen på vegne av selskapet etter aksjeloven. For det andre hvor styret initierer en behandling av personopplysninger utover det som er formålet med behandlingen etter forordningen.

Advokat Hanna Beyer Olaussen, advokat/partner Kristian Foss og Advokatfullmektig Tara Årøe i Bull & Co Advokatfirma anbefaler i denne kronikken norske virksomheter å vurdere allerede nå om de er omfattet av den norske digitalsikkerhetsloven, selv om det fortsatt er uklart når loven trer i kraft,
Les også

Norsk lov om digital sikkerhet henger langt etter EU – men snart er tiden inne

Personvernbrudd kan utløse ansvar etter aksjeloven

Utgangspunktet etter aksjeloven er at den enkelte aksjonæren ikke blir erstatningsansvarlig for selskapets handlinger. Imidlertid kan styret bli ansvarlig dersom de påfører selskapet eller tredjeparter et økonomisk tap i egenskap av sin rolle. Styret har det overordnede ansvaret for å sette seg inn i alle plikter som gjelder for behandling av personopplysninger, eksempelvis hvordan personopplysninger sikres, risikovurderes, lagres og at rutiner er dokumentert og følges. Ved et evt. brudd på forordningen har styret det overordnede ansvaret.

Personvernbrudd vil ikke nødvendigvis utløse styreansvar. Med mindre det er tale om brudd, som skyldes handlinger eller unnlatelser som resulterer i et økonomisk tap.

Etter vårt syn kan styreansvar utløses i en rekke tilfeller. Eksempelvis at et styremedlem personlig opptrer (ved en handling eller unnlatelse) utover, eller i strid med,  en fullmakt eller instruks som er tildelt styremedlemmet fra styret ved et styrevedtak eller på annen måte. Det kan også oppstå tilfeller hvor styret fatter avgjørelse om å overvåke arbeidstakeres e-postkasse (PVN-2021-03) eller arbeidsstedet uten rettslig grunnlag.

Et annet eksempel er hvor styret unnlater å fastsette rammer og rutiner for behandling av personopplysninger, hvor dette resulterer i at det behandles flere opplysninger enn nødvendig for å oppfylle det opprinnelige formålet med behandlingen. Eksempelvis hvor behandlingen kun trenger å omfatte navn og adresse, men det behandles både nasjonalitet, fødselsdato/-nummer, etnisitet, etc. Eller at det blir foretatt kredittvurdering uten saklig behov(PVN-2019-15).

Et tredje eksempel vil være hvor styret legger seg på en praksis hvor selskapet unnlater å ha rutiner for retting, sletting og andre rettigheter som den registrerte måtte ha. Eksempelvis hvor selskapet ikke har rutiner for at opplysninger slettes når de ikke lenger behøves for å oppfylle formålet med behandlingen(PVN-2019-16).

Etter forordningen kan det synes som at ethvert brudd på forordningen vil utløse et erstatningsansvar. Men for at et erstatningsansvar skal utløses må det foreligge et økonomisk tap hos den registrerte. I de sakene som har gått for retten, har retten kommet frem til at det må ha oppstått en skade, typisk et økonomisk tap, for at erstatningsansvar (TBERG-2016-206673 og LB-2007-121782) skal utløses. Det samme gjelder for at personlig erstatningsansvar for et styremedlem skal utløses.  

Det må derfor antas at det kan oppstå erstatningsansvar for styret. Men kun i tilfeller hvor styret har fattet beslutninger, eller unnlatt å fatte beslutninger, som strider med den registrertes rettigheter. Det samme gjelder om opplysninger har blitt behandlet i strid med prinsippene for behandling etter forordningen eller sikkerhetsbrudd. Dersom behandlingen får negative konsekvenser, som økonomisk tap, for den registrerte, vil dette kunne utløse et styreansvar etter aksjelovens regler.

Personvernforordningen gjelder også for styret

Personvernforordningen oppstiller et erstatnings- og oppreisningsansvar for skade som oppstår ved brudd på forordningen. Dette gjelder både databehandler og behandlingsansvarlig.

“Behandlingsansvarlig” er enten en fysisk eller juridisk person, etc. som enten alene eller sammen med andre bestemmer formålet med behandlingen, er ansvarlig for behandlingen av den registrertes personopplysninger og at behandlingen er lovlig.

EU-domstolen har uttalt ved flere anledninger at begrepet “behandlingsansvarlig” må gis et vidt innhold. Dette innebærer at flere enn det som naturlig antas kan regnes for å være behandlingsansvarlig, inkludert et styre, aksjonærer, etc. I den forbindelse har domstolen også uttalt at det ikke er et vilkår for å konstatere behandlingsansvar at man har eller har hatt tilgang til de aktuelle personopplysningene.

En “databehandler” på den andre siden kan også være en fysisk eller juridisk person, offentlig myndighet, etc. som behandler personopplysninger på vegne av den behandlingsansvarlige.

En typisk konstellasjon mellom behandlingsansvarlig og databehandler, i lys av IT-leveranser, vil være følgende. En person kjøper en programvare av et selskap. Personen får tilgang til programvaren via skyen. Tilgangen til denne programvaren leveres dermed av skyleverandøren. I denne konstellasjonen vil selskapet være behandlingsansvarlig, skyleverandøren vil være databehandler og personen er den registrerte.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
På trappene til internasjonal suksess
På trappene til internasjonal suksess

Et annet eksempel, fra arbeidslivet, vil være forholdet mellom en arbeidsgiver og en ansatt. For sine ansatte vil arbeidsgiver være behandlingsansvarlig og ha ansvar for behandlingen av personopplysninger på vegne av sine ansatte, som er den registrerte. Disse opplysningene vil typisk deles med øvrige databehandlere. Eksempelvis et lønns-, CRM- eller ERP-system.

Som utgangspunkt er det selskapet som vil bli ansvarlig for personvernbrudd som behandlingsansvarlig eller databehandler. Det kan likevel oppstå tilfeller hvor styret svarer for en potensielt ulovlig behandling som en selvstendig behandlingsansvarlig eller databehandler.

Meta vil trene sin KI på dine data fra blant annet Facebook.
Les også

Kontroversiell KI-trening: Slik vil Facebook bruke bildene og innleggene dine

Styre eller styremedlem kan være en selvstendig databehandler eller behandlingsansvarlig

I den tyske saken kom retten frem til at Direktøren av et selskap var personlig ansvarlig for personvernsbrudd. Direktøren hyrte inn en privatetterforsker for å etterforske om et medlem av selskapet hadde kriminelt rulleblad. Dette ble ansett for å utløse et behandlingsansvar for direktøren utover selskapets formål.

Utover at det må foreligge en overtredelse av forordningen, må det som nevnt foreligge en skade. Etter forordningen kan skaden både være av materiell og ikke-materiell karakter og skadebegrepet må tolkes vidt etter rettsutviklingen fra EU-domstolen.

Selv om det kan tenkes tilfeller hvor et styre eller et styremedlem kan være databehandler, er det etter vårt syn størst sannsynlighet at et styreansvar utløses hvor styret eller dets medlemmer er behandlingsansvarlig. Etter forordningen  kan den eller de behandlingsansvarlige holdes ansvarlig for enhver skade forårsaket av behandlingen som er i strid med forordningen. Selv om det ikke klart følger av forordningen så må det legges til grunn at både passive og aktive handlinger kan utløse ansvar.

Personvernnemnda (Eks. PVN-2014-19) har tidligere uttalt at den som er behandlingsansvarlig er den som har bestemmelsesrett over personopplysningene og behandlingen av disse. Ekspertgruppen har også uttalt at en person ansatt i et selskap kan anses for å være behandlingsansvarlig, dersom denne behandler data for egne formål utover, eller i strid med, selskapets formål (Opinion 1/2010 on the concepts of «controller» and «processor», s 17).

Etter vårt syn gjelder dette også for et styre. Hvis en daglig leder eller et styremedlem / styreleder behandler personopplysninger for eget formål og dette er utover, eller i strid med, selskapets formål med behandlingen, vil dette medføre at styremedlemmet er behandlingsansvarlig. Dersom det eksempelvis ikke foreligger et lovlig grunnlag for behandlingen, så vil denne holdes erstatningsansvarlig, forutsatt at dette har forårsaket en skade.

Solidaransvar kan få virkninger overfor styret

Forordningen etablerer et solidaransvar når flere enheter er involvert i behandlingen. Formålet med dette er å sikre at den skadelidte parten, så enkelt som mulig, kan motta erstatning for skaden denne har lidt. Solidaransvar i et nøtteskall innebærer at involverte parter svarer for det fulle tapet alene mot den skadelidte, altså “én for alle og alle for én”.

Etter forordningen kan solidaransvar utløses der flere behandlingsansvarlige eller databehandlere er involvert i samme behandling. Det samme gjelder hvor det kun er en behandlingsansvarlig og en databehandler. I tillegg stilles det krav at disse er selvstendig ansvarlig. Altså ansvarlig i egenskap av sin rolle.

Vi mener at bestemmelsen anvendes også i de tilfellene hvor det er to eller flere behandlingsansvarlige, men disse er ikke å regne som felles behandlingsansvarlig. Typisk i det tilfellet hvor et styremedlem, daglig leder eller andre behandler personopplysninger for egen vinning og utover, eller i strid med, selskapets formål med behandlingen.

Avsluttende bemerkninger

Slik redegjort for, mener vi at personvernbrudd kan utløse styreansvar både etter aksjeloven og etter personvernforordningen.

Etter aksjeloven kan det synes som at styreansvaret mer typisk kan utløses ved passive handlinger. Eksempelvis ved unnlatelse av å følge personvernreglene, hvor unnlatelsen leder til en økonomisk skade/tap.

Etter personvernforordningen kan blant annet styreleder, styremedlem eller daglig leder bli ansvarlige som selvstendige ansvarssubjekter. De blir behandlingsansvarlige) eller databehandler(e), dersom de behandler personopplysninger av egne interesser og disse er utover, eller i strid med, selskapets opprinnelige formål med behandlingen.

Dagens utvikling innad i EU og den rettspraksisen som har kommet viser viktigheten av å opptre i samråd med personvernforordningen.

Politidirektoratet og politiets IKT-tjenester holder til i bygget med den mørke glassfasaden, like ved Colosseum kino på Majorstua i Oslo.
Les også

Varslet i 2020: Nå må Politiets IT-tjeneste rydde opp

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.