Hopp til innhold

Daglig leder og styremedlemmer kan bli personlig ansvarlig ved alvorlige personvernbrudd

Vi gjør oppmerksom på at denne artikkelen er mer enn ett år gammel og innholdet kan være utdatert.

Krigen i Ukraina øker trusselen for dataangrep mot norske virksomheter som fører til risiko for at personopplysninger kommer på avveie. Norske virksomheter bør derfor ha særlig søkelys på personvern i disse tider. I en nylig tysk dom ble en direktør erstatningsansvarlig for brudd på personvernforordningen. Dommen kan føre til at også norske daglige ledere og styremedlemmer etter hvert ilegges personlig ansvar ved personvernbrudd. I denne artikkelen gir vi en oversikt over når personlig ansvar kan komme på tale.

Vet du hvilke plikter personvernforordningen stiller, hvordan personopplysninger må sikres og hvilken personverndokumentasjon som kreves? Hvis du trenger en oversikt, anbefaler vi at du melder deg på vårt LiveKurs om personvern 11. mai.

Høy bevissthet om personvern, men personvernarbeidet har dabbet av

Bevisstheten om personvern er høy i befolkningen og Datatilsynet har aldri gitt flere bøter enn de gjør nå. Samtidig ser vi at stadig flere norske virksomheter blir rammet av dataangrep som medfører at personopplysninger kommer på avveie. Datatilsynet har advart mot at krigen i Ukraina øker trusselen for dataangrep mot norske virksomheter. 

Parallelt med dette ser vi at personvernarbeidet har dabbet av. Det er uheldig. Ikke bare hensett til at Datatilsynet har intensivert sin tilsynsvirksomhet og forventningen blant borgerne om at deres personvern blir tatt på alvor, men også på grunn av nyere europeiske dommer som går i retning av et strengere ansvar ved personvernbrudd for daglig leder og styremedlemmer. 

Riktignok er hovedregelen at det er virksomheten, i kraft av å være behandlingsansvarlig, som blir ilagt overtredelsesgebyr av nasjonale myndigheter hvis virksomheten blir utsatt for dataangrep. Selv om styret er ansvarlig for at virksomheten har rutiner for å sikre personopplysninger og daglig leder skal sørge for at sikkerhetsrutiner følges og tiltak iverksettes, er regelen at daglig leder og styremedlemmer ikke blir personlig ansvarlig for personvernbøter. Daglig ledere og styremedlemmer kan imidlertid få et personlig erstatningsansvar for personvernbrudd dersom de er å bebreide. 

Les også: Kravene i GDPR må dokumenteres

Ny tysk dom ilegger personlig ansvar for direktør ved personvernbrudd 

I en nylig tysk dom ble en direktør ilagt erstatningsansvar for brudd på personvernforordningen. I saken ble direktøren ansett som behandlingsansvarlig sammen med selskapet og ilagt erstatningsansvar for overvåkning som ble regnet som et personvernbrudd.
Saksforholdet i dommen var som følger: Direktøren ba en privatetterforsker å etterforske om en som hadde sendt inn en medlemsforespørsel til virksomheten, hadde vært involvert i kriminelle handlinger. Medlemsforespørselen ble avslått da etterforskeren avslørte at den som ønsket å bli medlem hadde vært involvert i kriminalitet. Domstolen konkluderte med at overvåkningen var et brudd på personvernforordningen, og personen som var overvåket ble gitt 5000 euro i erstatning. 

Dommen kan få betydning for norske direktører og styremedlemmer

Saken fra Tyskland kan føre til en rettsutvikling her til lands som medfører at også norske direktører og styremedlemmer blir ilagt erstatning ved personvernbrudd. I den forbindelse er det verdt å merke seg at Datatilsynet i sine vedtak har begynt å skrive at enkeltpersoner har opptrådt uansvarlig og i noen tilfeller forsettlig, uten at det ennå har utløst erstatningsansvar. 

Les også: Slik får din virksomhet bedre informasjonssikkerhet og Dataangrep koster virksomheter millioner

Når kan direktører og styremedlemmer bli erstatningsansvarlige? 

I hvilke tilfeller kan så personlig ansvar for direktører og styremedlemmer komme på tale? 

Personlig erstatningsansvar for daglig leder og styremedlemmer kan være aktuelt hvor det dreier seg om alvorlige dataangrep hvor mange personopplysninger og/eller sensitive personopplysninger kommer på avveie. En forutsetning er at direktøren eller styremedlemmene kan bebreides. Typisk vil dette være hvor disse har igangsatt eller deltatt i beslutninger som fører til personvernbruddene. Et eksempel hvor det er nærliggende med erstatningsansvar er der styret eller daglig leder aktivt velger å benytte seg av utrygge løsninger eller utrygge tredjeland selv etter å ha fått kunnskap om at dette vil være ulovlig. Et annet eksempel er der daglig leder eller styret bevisst har justert risikovurderinger av informasjonssikkerheten for å gi det risikobildet disse ønsker, fremfor hva risikoen i realiteten er. Erstatningsansvar kan også være aktuelt hvor styret ikke har rutiner for hvordan de følger med på om daglig leder etterlever personvernforpliktelsene, manglende rutiner for å følge med på sikkerhetsrisikoer eller at disse ikke har igangsatt nødvendige risikoreduserende tiltak. 

Om du som leder eller styremedlem ikke har tilstrekkelig kunnskap om personvern og hvilken dokumentasjon som er nødvendig, herunder rutiner, som trengs, er det viktig at du tar grep nå. 

Få hjelp i personvernarbeidet

Er du usikker på hvilke regler som gjelder og hvilke lovkrav du må forholde deg til?
Foruten LiveKurset: Slik lykkes du med personvernarbeidet som vi skal holde 11. mai, har Sticos en rekke nettkurs innen personvern, som kan hjelpe deg i personvernarbeidet. Vi har blant annet et eget kurs om Informasjonssikkerhet. Se oversikt over alle aktuelle nettkurs her.  

Få aktuelle nyheter innen personal, regnskap, økonomi og personvern. Følg Sticos på FacebookLinkedIn og meld deg på vårt nyhetsbrev

Hold deg oppdatert på relevant fagstoff

Våre nyhetsbrev inneholder aktueltsaker, produktinformasjon, invitasjoner til relevante kurs, seminarer og frokostmøter, samt gode råd og tips.