I en serie med kronikker i tre deler vil advokat Kristian Foss fra Bull & Co Advokatfirma skrive om personvern og datasikkerhet som følge av de nye EU-reglene (GDPR).
I del 1 av denne artikkelserien så vi på hvilke juridiske krav som gjelder til sikkerhet ved behandling av personopplysninger. Her (del 2) skal vi se på hva konsekvensene kan bli av å ikke etterleve pliktene. Siste del kommer i løpet av de neste dagene.
– Redaksjonen
Tap er fellesnevneren for hva som kan skje dersom ditt firma ikke etterlever EUs nye personvernkrav. Vi kan dele tap som kan oppstå som følge av manglende sikkerhet inn i tre grupper:
-
Driftstap
-
Bøter
-
Erstatningskrav
Gruppe 1: Driftstap
Uansett om opplysninger din virksomhet behandler gjelder personer eller ikke, kan tap eller ødeleggelse av data medføre store økonomiske tap. Listen over mulige tapstyper er lang:
-
Varslingskostnader – ved varsel til personene som opplysningene gjelder (datasubjektene), som er et krav etter GDPR art. 34. Om elektroniske kanaler er kompromitert, kan fysiske brev være nødvendig. Innkommende telefoner og eposter fra tusenvis av kunder skal håndteres, slik at ekstra personell må leies inn. Undersøkelser viser totalkostnader for databrudd på USD 150 til 200 i gjennomsnitt per datasubjekt for sensitive og fortrolig informasjon. I den refererte undersøkelsen (Ponemon for IBM), var gjennomsnittlig kostnad USD 4 millioner.
-
Gjenoppretting og avhjelpstiltak – akutte tiltak når ulykken er ute. Innleie av spesialister blir fort svært kostbart. Dette utgjør i følge Ponemon-undersøkelsen en av de største postene.
-
Tap av renommé med tap av kunder – kan ikke kundene føle seg trygge, vil du tiltrekke deg færre. Ponemon-undersøkelsen viser at tapt omsetning er den største enkeltposten blant de tap selskaper utsatt for databrudd opplever. Tiltak for å gjenopprette tilliten må dermed iverksettes, for å begrense økonomiske konsekvenser over tid.
-
Avslørte bedriftshemmeligheter med tap av markedsposisjon – tapt konkurransefortrinn. Hemmelighetshold er den mest brukte vernemetoden for immaterielle rettigheter. Får konkurrentene innsyn i dine forretningshemmeligheter, vil din virksomhet kunne miste forspranget på konkurrentene.
-
Skade på driftsmiljø med redusert leveranseevne – nesten alle virksomheter er i dag avhengig av informasjonsteknologi for å for å levere varer og tjenester. Er du ikke forberedt kan resultatet bli konkurs.
-
Tap og skade på eiendom med tingenes internett – når mange ting kobles opp til internett vil mye bli sårbart for datainntrengning. Bare fantasien setter grenser for mulig skader og tap, både på eiendom og liv og helse. Produktansvar kan komme inn med full stryke.
Om virksomheten din overlever selve datatapet og får ryddet opp, kan du risikere reaksjoner fra Datatilsynet ihht. GDPR. Se tapsgruppe 2.
Gruppe 2: Administrative bøter
Adgangen for Datatilsynet til å gi gigantbøter under den nye EU-forordningen har fått mye oppmerksomhet, og satt personvern på styreagendaen. Det er på høy tid, men ikke på grunn av bøtene.
Risiko for tapene beskrevet over i gruppe 1, bør være mer motiverende for etterlevelse av personvernreglene, enn bøtene. Likevel, dersom virksomheten din virkelig ikke iverksetter et systematisk sikkerhets- og etterlevelsesarbeid, kan bøtene bli virkelighet.
Bøtene kan i verste fall bli ekstraordinært store: Opptil 4 % av årlig omsetning for hele konsernet, eller 20 MEUR om det utgjør mer. For mindre alvorlig brudd kan bøter utgjøre opp til 2 % av årlig konsernomsetning, eller 10 MEUR om det utgjør mer.
Ifølge fortalen (en slags forklarende innledning) til forordningen og europeisk rettspraksis skal et konsern anses å bestå av alle selskap et annet selskap har utøvende kontroll i. I praksis vil det oftest bety over 50 % eierandel. Kravet passer godt med kravene til konsern etter norsk rett.
GDPR art. 83 oppstiller 15 vurderingskriterier for fastsettelsen av administrative bøter. Vi vil kort nevne seks av dem:
-
type databrudd
-
alvorlighet av databruddet
-
varighet på databruddet
-
om databruddet var overlagt
-
hvilken grad av uaktsomhet var utvist
-
grad av ansvar for bruddet for databehandler og behandlingsansvarlig vurdert utfra iverksatte tekniske og organisatorisk tiltak etter art. 25 og 32
Som det fremgikk av artikkelseriens del 1 stiller GDPR art. 25 krav om innebygget personvern. GDPR art. 32 stiller krav til tilfredsstillende datasikkerhet.
Både art. 25 og 32 omfattes av 2%-regelen (se GDPR art. 83 nr. 4). Dette betyr imidlertid ikke at brudd på sikkerhetskravene tas lett på. Som det fremgikk av del 1, var krav til tilfredsstillende informasjonssikkerhet et av grunnprinsippene i GDPR, og listet opp i art. 5. Overtredelse av disse grunnprinsippene kan sanksjoneres med opp til det høyeste av 4 % av konsernomsetningen og 20 MEUR (se GDPR 83 nr 5).
Selv om manglende sikkerhet kan rammes av 4% boten, skal en virksomhet trolig håndtere både sikkerhet og etterfølgende databrudd usedvanlig klossete om full bot skal komme til utbetaling. Signalene fra Datatilsynet tyder heller ikke på at håndhevingen vil være aggressiv. Men dette betyr ikke at bøter på et lavere nivå, men likevel av betydelig størrelse, må kunne påregnes.
Gruppe 3: Erstatningsansvar
Den tredje gruppen av konsekvenser er erstatningsansvar. Ansvaret kan ramme virksomheten, eller ledende personell i virksomheten personlig.
Ansvar for virksomheten
Dersom en person lider et tap som følge av at noen av reglene i GDPR er overtrådt, kan personen kreve erstatning fra både behandlingsansvarlig og databehandler. Erstatningsplikten i art. 82 er streng: Bare dersom virksomheten kan vise at den på 'ingen måte' («not in any way») er ansvarlig for årsaken til tapet, slipper den ansvar. Det vil si et objektivt ansvar (ansvar uten skyld) med omvendt bevisbyrde.
Grunnen til at ansvaret er så strengt, er at en privatperson i praksis vil ha små muligheter til å klare å godtgjøre («bevise») at en databehandler eller behandlingsansvarlig har gjort feil. Derfor snus bevisbyrden.
Etter sin ordlyd er bestemmelsen noe strengere enn personopplysningsloven § 49. Nyvinningen ligger imidlertid primært i det solidariske ansvaret mellom behandlingsansvarlig og databehandler som er innført. Det vil si at en person kan rette sitt krav mot bare en av dem, uansett hvem som reelt sett var ansvarlig. I neste omgang må den part som har betalt ut mer enn egen skyld skulle tilsi, kreve den andre parten for beløpet.
For den krenkede personen betyr ordningen en forenkling. For virksomheten betyr solidaransvaret i GDPR art. 82 økt risiko. Det samme gjør skjerpingen av ansvaret. Selv om tapene i for den enkelte ikke nødvendigvis er store, vil et databrudd kunne ramme mange personer. Dermed vil erstatningene i sum kunne bli betydelige.
Personlig ansvar for styre og daglig leder
Saker for domstolen med krav om personlig ansvar for styre og daglig leder, har i de siste årene økt voldsomt. Av drøye 100 slike saker for norske domstoler, er omkring 50 % fra de siste 6-7 årene.
Den mest praktiske ansvarsregelen står i aksjeloven § 17, og sier:
(1) Selskapet, aksjeeier eller andre kan kreve at daglig leder, styremedlem, medlem av bedriftsforsamlingen, gransker eller aksjeeier erstatter skade som de i den nevnte egenskap forsettlig eller uaktsomt har voldt vedkommende.
Bestemmelsen kan ramme både manglende datasikkerhet generelt, og
overtredelse av GDPR spesielt, dersom daglig leder, styremedlemmer eller visse andre om vært uaktsomme.
Uaktsomhet betyr at noen, for eksempel styremedlemmer eller daglig leder, har
-
gjort noe de ikke burde har gjort, eller
-
unnlatt å gjøre noe de burde ha gjort.
Det sentrale er at ansvarlige har fraveket en handlingsnorm.
I profesjonelle forhold er det generelt sett strenge handlingsnormer.
I profesjonelle forhold er det generelt sett strenge handlingsnormer. Får man betalt for å levere en tjeneste, og driver man en virksomhet som berører (mange) andre mennesker, skal man være varsom. Dermed blir kravene strenge.
Med EUs nye personvernforordning gjøres handlingsnormen hva angår datasikkerhet og krav til organisering av virksomheten, klarere. Dermed vil et avvik fra disse kunne medføre at daglig leder og styremedlemmer raskere blir ansvarlige. Dette kan typisk gjelde dersom ledelsen ikke har iverksatt de systematiske tiltakene som forordningen krever, og fulgt disse opp over tid.
Tapene ledelsen kan bli ansvarlig for, er typiske tap aksjonærer kan lide. Hvis for eksempel virksomheten går på store kostnader som følge av et databrudd (se tapsgruppe 1 over) eller blir ilagt en administrativ bot (tapsgruppe 2), kan virksomheten tape mye penger. Dette tapet vil aksjonærer ha en sterk interesse av å få dekket av daglig leder og styrets medlemmer personlig.
Oppsummeringsvis kan vi si at passivitet leder til ansvar, dersom skade skulle oppstå. I artikkelseriens del 3 ser vi på hva hvilke aktiviteter du kan gjennomføre for å redusere risiko, og unngå ansvarsgivende passivitet.
Artikkelen er den andre i en kortserie på tre:
-
Del 1: Krav til sikkerhet og organisasjon i EUs nye personvernregler
-
Del 2: Konsekvenser av å sove i timen
-
Del 3: Reduksjon av personvernrisiko
Artikkelserien er bygget på et foredrag som ble holdt 26. januar 2016 på Mesh Tordenskioldsgate 3 i Oslo, i samarbeid med Norsk sikkerhetsmyndighet, AIG Forsikring og Cltre AS. Se alle opptakene her.
Les også: Nye EU-regler – de som ikke har stålkontroll på disse 5 tingene, risikerer gigantbøter » (Digi Ekstra)