GDPR, risiko, dartpiler

Artikkel

Nye personvernregler – hvem har ansvaret og hva ligger i foretak?

Den nye personvernlovgivningen trådte i kraft 20. juli i Norge og innebærer flere nye plikter for virksomheter som behandler opplysninger om enkeltpersoner. Videre vil det etter det nye personvernregelverket kunne ilegges betydelige overtredelsesgebyr ved manglende etterlevelse av regelverket. Men hvem kan egentlig holdes ansvarlig? Og hva ligger til grunn for utmåling av sanksjonene?

En rekke medieoppslag har fokusert på adgangen til å gi bøter på inntil fire prosent av virksomhetens omsetning. Vær imidlertid klar over at ansvaret går lengre enn kun å ramme det enkelte selskapet som bryter bestemmelsene.

Ansvarssubjektet etter personvernregelverket

Etter personvernregelverket er det i hovedsak den behandlingsansvarlige som holdes ansvarlig ved brudd på regelverket.

Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysningene og hvilke midler som skal benyttes. Eksempelvis vil en arbeidsgiver være behandlingsansvarlig for håndteringen av opplysninger om selskapets egne ansatte. En databehandler er en tredjepart som håndterer opplysninger på vegne av behandlingsansvarlig.

Den behandlingsansvarlige har ansvaret for at personopplysninger behandles i samsvar med personvernregelverket. Tidligere var det etablert praksis at den behandlingsansvarlige måtte ha sivilprosessuell partsevne, altså måtte kunne stilles til ansvar i retten på virksomhetens vegne.

Personlig ansvar

Hvem som kan holdes ansvarlig og være mottaker av et overtredelsesgebyr kan trekkes videre enn en tradisjonell oppfatning av behandleransvaret. Det vil eksempelvis kunne foretas en personlig ansvarliggjøring av ledende ansatte og styre. I et aksjeselskap vil det være styret som har ansvaret for forsvarlig drift av selskapet og det vil være styret som har ansvaret for iverksettelse av tilfredsstillende tiltak for etterlevelse av personvernregleverket.

Ved brudd på regelverket vil det derfor også kunne være aktuelt å ilegge styremedlemmer og daglig leder ansvar. Se aksjelovens § 17-1 hvor ansvaret er forbeholdt forsettlige eller uaktsomme handlinger, noe som kan tenkes å være tilfelle hvor selskapets styre eller ledelse bevisst har unnlatt å påse tilfredsstillende tiltak i henhold til personvernreglene.

For hvor mye skal egentlig til før styremedlemmer og daglig leder kan ilegges ansvar?

Generelt vil det kunne være vanskelig å pålegge ansvar hvor daglig leder eller styret aktivt har forsøkt å sørge for at virksomheten etterlever personvernreglene. I dette ligger eksempelvis at virksomhetens øverste ledelse tar innover seg hva personvernforordningen medfører av ansvar for deres virksomhet og kan dokumentere at det er iverksatt tiltak for å møte disse kravene. På den annen side vil risikoen for ansvar øke ved unnlatelse. For eksempel vil manglende oppnevnelse av personvernombud hvor dette er påbudt øke risikoen for å havne i ansvar.

Les mer om våre tjenester her. 

Ansvar i konsernforhold – paralleller til konkurransereglene

Etter det nye personvernregelverket kan «foretak» ilegges gebyr for overtredelser av en rekke bestemmelser, men bøter opptil fire prosent av foretakets omsetning.

Hva ligger i foretak? I forarbeidene til det nye personvernregelverket kommer det frem at dersom et foretak ilegges overtredelsesgebyr, «bør et foretak for disse formål forstås som et foretak i henhold til artikkel 101 og 102 i TEUV». I TEUV (også kjent som Lisboa-traktaten) reguleres konkurranseregler for foretak. I dette ligger at man også må se til rettspraksis fra konkurranseretten. Foretaksbegrepet er utviklet av EU-domstolen som tilsier at foretakets morselskap og datterselskap inngår i beregningen ved utmåling av bøtene, da begrenset til fire prosent av omsetningen og ikke ti prosent av omsetningen som er rammene etter konkurranseretten. For at andre foretaks omsetning enn det overtredende foretak skal inngå i beregningen, må foretakene inngå i overtredende foretaks «økonomisk enhet».

EU-domstolen har flere ganger lagt til grunn at et morselskap og et datterselskap vil anses som en økonomisk enhet dersom morselskapet har mulighet til å utøve avgjørende innflytelse over datterselskapet, og faktisk benytter seg av denne muligheten. Det er også fastslått at det foreligger en presumsjon for slik innflytelse når selskapet eier 100 % av aksjene i et selskap. Det vil altså kunne tenkes tilfeller hvor et selskap kan havne i ansvar for et datterselskaps brudd på personvernreglene, slik tilsvarende kan skje i konkurranseretten.

Kort oppsummert vil altså bøtene kunne reflektere hele konsernforholdet, og ikke bare ta hensyn til det overtredende selskaps omsetning.

Selv om det nye personvernregelverket åpner for en mer skjønnsmessig utmåling enn etter konkurranseretten, er det ikke utenkelig at EU-kommisjonens metodikk også vil benyttes ved brudd på personvernregelverket, gitt den nære tilknytningen til konkurranseretten.

Felles for både konkurranseretten og personvernforordningen er at det også kan avstedkomme et personlig ansvar.

Les Deloittes GDPR-undersøkelse blant norske virksomheter her.

Oppsummering

I og med at det trekkes paralleller til konkurranseretten, og det kan føre til personlig ansvar både ved brudd på konkurranseretten og det nye personvernregelverket, er det etter vår oppfatning svært relevant at ledende personer i enhver virksomhet har tenkt gjennom hvordan virksomheten skal minimere risikoen for brudd på regelverket. Handlingsnormen har med personvernregelverket blitt klarere og kanskje har det aldri vært mer aktuelt med styreansvarsforsikring og god dokumentasjon på at personvernregelverket etterleves.

Var denne siden nyttig?