I en nylig dom fra Tyskland ble en selskapsdirektør holdt personlig ansvarlig for brudd på personvernforordningen. Etter vårt syn kan selskap i Norge “ryke på samme smellen”. Denne artikkelen har til formål å belyse enkelte fallgruverne som et selskapsstyre må passe seg for i sin behandling av personopplysninger.
Flere typetilfeller hvor styreansvar kan utløses
Etter at personvernforordningen trådte i kraft har det vært mye fokus på hvilke forpliktelser og ansvar som påligger en “Behandlingsansvarlig” og en “Databehandler” etter denne. Spørsmålet om et styremedlem kan holdes personlig ansvarlig for personvernrettslig brudd, er derimot i liten grad vært diskutert.
Slik vi ser det er det to grupper med overordnede typetilfeller hvor styreansvar kan utløses. For det første hvor styret har unnlatt å følge reglene i personvernforordningen på vegne av selskapet etter aksjeloven. For det andre hvor styret initierer en behandling av personopplysninger utover det som er formålet med behandlingen etter forordningen.
Datatilsynet kan ha brutt loven i over 200 saker
Personvernbrudd kan utløse ansvar etter aksjeloven
Utgangspunktet etter aksjeloven er at den enkelte aksjonæren ikke blir erstatningsansvarlig for selskapets handlinger. Imidlertid kan styret bli ansvarlig dersom de påfører selskapet eller tredjeparter et økonomisk tap i egenskap av sin rolle. Styret har det overordnede ansvaret for å sette seg inn i alle plikter som gjelder for behandling av personopplysninger, eksempelvis hvordan personopplysninger sikres, risikovurderes, lagres og at rutiner er dokumentert og følges. Ved et evt. brudd på forordningen har styret det overordnede ansvaret.
Personvernbrudd vil ikke nødvendigvis utløse styreansvar. Med mindre det er tale om brudd, som skyldes handlinger eller unnlatelser som resulterer i et økonomisk tap.
Etter vårt syn kan styreansvar utløses i en rekke tilfeller. Eksempelvis at et styremedlem personlig opptrer (ved en handling eller unnlatelse) utover, eller i strid med, en fullmakt eller instruks som er tildelt styremedlemmet fra styret ved et styrevedtak eller på annen måte. Det kan også oppstå tilfeller hvor styret fatter avgjørelse om å overvåke arbeidstakeres e-postkasse (PVN-2021-03) eller arbeidsstedet uten rettslig grunnlag.
Et annet eksempel er hvor styret unnlater å fastsette rammer og rutiner for behandling av personopplysninger, hvor dette resulterer i at det behandles flere opplysninger enn nødvendig for å oppfylle det opprinnelige formålet med behandlingen. Eksempelvis hvor behandlingen kun trenger å omfatte navn og adresse, men det behandles både nasjonalitet, fødselsdato/-nummer, etnisitet, etc. Eller at det blir foretatt kredittvurdering uten saklig behov(PVN-2019-15).
Et tredje eksempel vil være hvor styret legger seg på en praksis hvor selskapet unnlater å ha rutiner for retting, sletting og andre rettigheter som den registrerte måtte ha. Eksempelvis hvor selskapet ikke har rutiner for at opplysninger slettes når de ikke lenger behøves for å oppfylle formålet med behandlingen(PVN-2019-16).
Etter forordningen kan det synes som at ethvert brudd på forordningen vil utløse et erstatningsansvar. Men for at et erstatningsansvar skal utløses må det foreligge et økonomisk tap hos den registrerte. I de sakene som har gått for retten, har retten kommet frem til at det må ha oppstått en skade, typisk et økonomisk tap, for at erstatningsansvar (TBERG-2016-206673 og LB-2007-121782) skal utløses. Det samme gjelder for at personlig erstatningsansvar for et styremedlem skal utløses.
Det må derfor antas at det kan oppstå erstatningsansvar for styret. Men kun i tilfeller hvor styret har fattet beslutninger, eller unnlatt å fatte beslutninger, som strider med den registrertes rettigheter. Det samme gjelder om opplysninger har blitt behandlet i strid med prinsippene for behandling etter forordningen eller sikkerhetsbrudd. Dersom behandlingen får negative konsekvenser, som økonomisk tap, for den registrerte, vil dette kunne utløse et styreansvar etter aksjelovens regler.
Personvernforordningen gjelder også for styret
Personvernforordningen oppstiller et erstatnings- og oppreisningsansvar for skade som oppstår ved brudd på forordningen. Dette gjelder både databehandler og behandlingsansvarlig.
“Behandlingsansvarlig” er enten en fysisk eller juridisk person, etc. som enten alene eller sammen med andre bestemmer formålet med behandlingen, er ansvarlig for behandlingen av den registrertes personopplysninger og at behandlingen er lovlig.
EU-domstolen har uttalt ved flere anledninger at begrepet “behandlingsansvarlig” må gis et vidt innhold. Dette innebærer at flere enn det som naturlig antas kan regnes for å være behandlingsansvarlig, inkludert et styre, aksjonærer, etc. I den forbindelse har domstolen også uttalt at det ikke er et vilkår for å konstatere behandlingsansvar at man har eller har hatt tilgang til de aktuelle personopplysningene.
En “databehandler” på den andre siden kan også være en fysisk eller juridisk person, offentlig myndighet, etc. som behandler personopplysninger på vegne av den behandlingsansvarlige.
En typisk konstellasjon mellom behandlingsansvarlig og databehandler, i lys av IT-leveranser, vil være følgende. En person kjøper en programvare av et selskap. Personen får tilgang til programvaren via skyen. Tilgangen til denne programvaren leveres dermed av skyleverandøren. I denne konstellasjonen vil selskapet være behandlingsansvarlig, skyleverandøren vil være databehandler og personen er den registrerte.
Et annet eksempel, fra arbeidslivet, vil være forholdet mellom en arbeidsgiver og en ansatt. For sine ansatte vil arbeidsgiver være behandlingsansvarlig og ha ansvar for behandlingen av personopplysninger på vegne av sine ansatte, som er den registrerte. Disse opplysningene vil typisk deles med øvrige databehandlere. Eksempelvis et lønns-, CRM- eller ERP-system.
Som utgangspunkt er det selskapet som vil bli ansvarlig for personvernbrudd som behandlingsansvarlig eller databehandler. Det kan likevel oppstå tilfeller hvor styret svarer for en potensielt ulovlig behandling som en selvstendig behandlingsansvarlig eller databehandler.
Tapte mot staten: Konsulent hevdet saken hans var «lagt i en skuff» og glemt
Styre eller styremedlem kan være en selvstendig databehandler eller behandlingsansvarlig
I den tyske saken kom retten frem til at Direktøren av et selskap var personlig ansvarlig for personvernsbrudd. Direktøren hyrte inn en privatetterforsker for å etterforske om et medlem av selskapet hadde kriminelt rulleblad. Dette ble ansett for å utløse et behandlingsansvar for direktøren utover selskapets formål.
Utover at det må foreligge en overtredelse av forordningen, må det som nevnt foreligge en skade. Etter forordningen kan skaden både være av materiell og ikke-materiell karakter og skadebegrepet må tolkes vidt etter rettsutviklingen fra EU-domstolen.
Selv om det kan tenkes tilfeller hvor et styre eller et styremedlem kan være databehandler, er det etter vårt syn størst sannsynlighet at et styreansvar utløses hvor styret eller dets medlemmer er behandlingsansvarlig. Etter forordningen kan den eller de behandlingsansvarlige holdes ansvarlig for enhver skade forårsaket av behandlingen som er i strid med forordningen. Selv om det ikke klart følger av forordningen så må det legges til grunn at både passive og aktive handlinger kan utløse ansvar.
Personvernnemnda (Eks. PVN-2014-19) har tidligere uttalt at den som er behandlingsansvarlig er den som har bestemmelsesrett over personopplysningene og behandlingen av disse. Ekspertgruppen har også uttalt at en person ansatt i et selskap kan anses for å være behandlingsansvarlig, dersom denne behandler data for egne formål utover, eller i strid med, selskapets formål (Opinion 1/2010 on the concepts of «controller» and «processor», s 17).
Etter vårt syn gjelder dette også for et styre. Hvis en daglig leder eller et styremedlem / styreleder behandler personopplysninger for eget formål og dette er utover, eller i strid med, selskapets formål med behandlingen, vil dette medføre at styremedlemmet er behandlingsansvarlig. Dersom det eksempelvis ikke foreligger et lovlig grunnlag for behandlingen, så vil denne holdes erstatningsansvarlig, forutsatt at dette har forårsaket en skade.
Solidaransvar kan få virkninger overfor styret
Forordningen etablerer et solidaransvar når flere enheter er involvert i behandlingen. Formålet med dette er å sikre at den skadelidte parten, så enkelt som mulig, kan motta erstatning for skaden denne har lidt. Solidaransvar i et nøtteskall innebærer at involverte parter svarer for det fulle tapet alene mot den skadelidte, altså “én for alle og alle for én”.
Etter forordningen kan solidaransvar utløses der flere behandlingsansvarlige eller databehandlere er involvert i samme behandling. Det samme gjelder hvor det kun er en behandlingsansvarlig og en databehandler. I tillegg stilles det krav at disse er selvstendig ansvarlig. Altså ansvarlig i egenskap av sin rolle.
Vi mener at bestemmelsen anvendes også i de tilfellene hvor det er to eller flere behandlingsansvarlige, men disse er ikke å regne som felles behandlingsansvarlig. Typisk i det tilfellet hvor et styremedlem, daglig leder eller andre behandler personopplysninger for egen vinning og utover, eller i strid med, selskapets formål med behandlingen.
Avsluttende bemerkninger
Slik redegjort for, mener vi at personvernbrudd kan utløse styreansvar både etter aksjeloven og etter personvernforordningen.
Etter aksjeloven kan det synes som at styreansvaret mer typisk kan utløses ved passive handlinger. Eksempelvis ved unnlatelse av å følge personvernreglene, hvor unnlatelsen leder til en økonomisk skade/tap.
Etter personvernforordningen kan blant annet styreleder, styremedlem eller daglig leder bli ansvarlige som selvstendige ansvarssubjekter. De blir behandlingsansvarlige) eller databehandler(e), dersom de behandler personopplysninger av egne interesser og disse er utover, eller i strid med, selskapets opprinnelige formål med behandlingen.
Dagens utvikling innad i EU og den rettspraksisen som har kommet viser viktigheten av å opptre i samråd med personvernforordningen.
Nå gjelder EUs nye KI-lov