Illustrasjon.
Illustrasjon. (Foto: Colourbox / Markus Mainka)

Hvem bør ta den forretningsmessige risikoen med GDPR?

Datatilsynet kan ilegge store gebyrer ved overtredelse av GDPR, samtidig som den som personopplysningene angår kan få rett til erstatning for økonomisk tap og tort/svie fra partene i et avtaleforhold hvor behandling av personopplysninger inngår.

  • Debatt

Statens standard avtaler har stort sett løst dette ved at gebyrene blir liggende hos den parten som blir ilagt gebyret, mens avtalene har etablert et ubegrenset ansvar for regresskrav hvor en rettighetshaver har holdt en part solidarisk ansvarlig for den andres brudd. Er dette ubegrensete ansvaret rimelig i alle situasjoner?

Advokat Jostein Ramse, Advokatfirmaet Føyen Torkildsen AS.
Advokat Jostein Ramse, Advokatfirmaet Føyen Torkildsen AS. Foto: Føyen Torkildsen

Hva som er rimelig er jo høyst subjektivt. Ofte vil ansvarsbestemmelser i en avtale i realiteten være fastsatt ut fra styrkeforholdet mellom kunde og leverandør. Dette vil være avgjørende uansett hvor urimelig eller rimelig en part mener bestemmelsene er.

Artikkel 82 i GDPR (regelverket om behandling av personopplysninger) innebærer at partene i angitte avtaleforhold kan bli solidarisk ansvarlig for erstatningskrav fra den registrerte. Solidaransvaret oppstår i utgangspunktet bare hvis begge parter har begått en feil. Dermed kan den ene partens feil føre til et større ansvar for den andre parten enn om den første ikke hadde gjort noen feil. Risikoen ligger ikke nødvendigvis i at kravet fra den enkelte registrerte vil være stort, men fordi det samlede kravet kan bli stort når det er mange registrerte som berøres av en feil.

I offentlige anskaffelser er det kunden som fastlegger ansvarsbestemmelsene ved å bruke Statens standard avtaler (SSA-avtalene). Hvis leverandøren i tilbudsfasen tar forbehold mot ansvarsreglene foreligger det fort grunnlag for avvisning. Leverandørens eneste virkemiddel vil være å unnlate å levere tilbud. I Norge er det imidlertid vanskelig for leverandører å leve av ikke å gi tilbud til det offentlige på betingelser som følger av SSA-avtalene. Dermed fremstår kunden ofte som den sterke part og får det slik kunden ønsker.

De som har utarbeidet SSA-avtalene har nok ment at ansvarsbestemmelsene i SSA-avtalene er rimelige og at ansvarsreglene ikke bare er fastsatt ut fra det offentliges sterke posisjon i markedet. Når kunden henvender seg til et marked med veldig få leverandører eller et marked med bare sterke leverandører, aksepterer imidlertid kundene ytterligere begrensninger på leverandørens ansvar for i det hele tatt å få tilbydere. Det viser med all tydelighet at det er makten som rår.

Når kunden henvender seg til et marked med veldig få leverandører eller et marked med bare sterke leverandører, aksepterer imidlertid kundene ytterligere begrensninger på leverandørens ansvar for i det hele tatt å få tilbydere

Argumentet for ansvarsbestemmelsene i SSA-avtalen er at GDPR-reguleringen har en helt spesifikk regulering med hensyn til solidaransvar og regress hos den andre part. Da er det ikke riktig, ja man kan kanskje si ikke rimelig, å fravike lovens utgangspunkt i SSA-avtalene ved å legge begrensninger på kundens adgang til å kreve regress når kravets omfang skyldes den andre.

Historisk, har det imidlertid etablert seg en praksis hvor det i avtaleforhold innarbeides beløpsmessig tak på det ansvaret som leverandøren har. Dette er også SSA-avtalenes utgangspunkt i andre sammenhenger enn i forhold til GDPR. Det er ikke tvil om at levererandøren gjennom sin manglende kontraktoppfyllelse, gjennom sine feil osv. kan påføre kunden et langt høyere tap enn den beløpsmessige grensen som fastsettes. Poenget med ansvarsbestemmelsene i avtaler er imidlertid å redusere leverandørens ansvar i forhold til hva som ellers ville gjelde etter norsk rett slik at ansvaret står i et rimelig forhold til verdien av den ytelsen som leverandøren leverer.  

Hvorfor skal det være så rimelig at det ikke gjelder en beløpsmessig begrensning for leverandøren i forhold til GDPR?

Ut fra dette – hvorfor skal det da være så rimelig at det ikke gjelder en beløpsmessig begrensning for leverandøren i forhold til GDPR? Stiller dette seg egentlig annerledes enn annet mislighold? Veldig ofte har ikke leverandøren noen interesse av personopplysningene. Det er kunden som har den store gevinsten i å utnytte disse. Hvorfor skal ikke kunden da ta den forretningsmessige risikoen for at det oppstår feil på tilsvarende måte som i forhold til andre skader leverandøren kan påføre kunden? Det vil fortsatt gjelde et ansvar for leverandøren utover den beløpsmessige ansvarsbegrensningen dersom kunden har opptrådt grovt uaktsomt eller forsettlig. I mange situasjoner kan også forsikringsordninger hjelpe kunden.

Rimelighet kan derfor vanskelig begrunne det ene eller andre. Det offentlige benytter sin markedsmakt ved å fastsette ansvarsreglene i SSA-avtalene. Tilsvarende gjelder store kunder innenfor det private markedet. Leverandøren må vurdere hvorvidt dette gir en akseptabel risikoprofil på avtalen, om leverandøren skal avstå fra å gi tilbud eller om leverandøren skal benytte sin markedsmakt til å definere spillereglene når man har mulighet til det.

Men for all del – løsningen er ikke bare å sløyfe den spesifikke regelen i SSA-avtalene som opphever ansvarsbegrensningen for krav fra de registrerte ved brudd på GDPR. Det vil innebære at leverandøren også begrenser sin rett til refusjon når leverandøren blir solidarisk ansvarlig for kundens feil. Det er ikke slik at alle ansvars- og erstatningsregler i en avtale bør være gjensidige.

Kommentarer (3)

Kommentarer (3)
Til toppen