I en nylig avsagt dom fra Tyskland ble daglig leder i en virksomhet ansett å være personlig ansvarlig for virksomhetens brudd på GDPR og ble ilagt erstatningsansvar. Dommen kan få betydning også for oss her i Norge, og i praksis skjerpe det individuelle ansvaret til styremedlemmer og daglig ledere for overholdelse av GDPR. Nå gjelder det å skjerpe seg – til syvende og sist er det styrets ansvar å sikre etterlevelse av GDPR.
At virksomheter risikerer bøter dersom det skjer et personvernbrudd etter GDPR, er velkjent. Det er ikke nytt at virksomhetens styre skal sørge for forsvarlig IT-sikkerhet og organisering, med forvaltnings- og tilsynsplikt som er regulert i aksjeloven.
Etter GDPR er det virksomheten som er behandlingsansvarlig, og er ansvarlig for å ha på plass internkontroll og rutiner for å forhindre for at personopplysninger kommer på avveie. Blir virksomheten så utsatt for et dataangrep og det viser seg at rutinene ikke er fulgt, risikerer virksomheten ileggelse av overtredelsesgebyr. Det er til syvende og sist styret som har det overordnede ansvar for at virksomheten har vedtatt internkontrollrutiner og etterlever disse. Likevel følger det av GDPR at daglig leder og styremedlemmer ikke skal holdes personlig ansvarlig for overtredelsesgebyr etter GDPR.
Vi ser at tendensen er at Datatilsynet stadig oftere ilegger bøter til selskaper som mangler rutiner og sikkerhetstiltak når datainnbrudd skjer. Risikoen for virksomheten er sånn sett stadig forhøyet
Før jul ble det imidlertid slått fast at daglig leder likevel kan komme i personlig ansvar for uaktsomhet ved brudd på GDPR. Dommen fra Tyskland slo fast at adm. direktør i selskapet var å anse som behandlingsansvarlig i tillegg til selskapet selv. Han ble ilagt et personlig erstatningsansvar for brudd på GDPR, fordi han i sin rolle som daglig leder var ansvarlig for ulovlig innhenting av personopplysninger om en person, for bruk i selskapet.
Vi ser at tendensen er at Datatilsynet stadig oftere ilegger bøter til selskaper som mangler rutiner og sikkerhetstiltak når datainnbrudd skjer. Risikoen for virksomheten er sånn sett stadig forhøyet. Dommen fra Tyskland skjerper i tillegg personlig ansvar for daglig ledere og derfor styremedlemmer for kontroll på datasikkerhet og personvern.
Styrets tilsynsplikt etter aksjeloven er en aktivitetsplikt om tilsyn med daglig leder og virksomhetens drift. Styret skal sørge for god internkontroll og compliance, og slik sørge for at virksomheten overholder sine forpliktelser. Styremedlemmene kan derfor ikke forholde seg passive, og har et ansvar for å iverksette undersøkelser om etterlevelse av GDPR. Dette betyr at det kan anses som uaktsomt av styremedlemmene å forsømme forpliktelsene som følger av GDPR, og om dette fører til et økonomisk tap kan de komme i ansvar.
Styret skal vite nok til å stille spørsmål, og bør skaffe seg en innebygget ryggmargsrefleks når det gjelder data, dataflyt og datasikkerhet
For at styremedlemmene skal unngå å komme i ansvar, må styret ha kontroll. Minstekravet er at styret har sørget for at virksomheten har internkontroll og rutiner som tilfredsstiller GDPR. Men for at styret skal kunne oppfylle sin tilsynsplikt etter aksjeloven og ha kontroll med hvordan daglig leder etterlever GDPR, må styret skaffe seg tilstrekkelig kunnskap. Styret skal vite nok til å stille spørsmål, og bør skaffe seg en innebygget ryggmargsrefleks når det gjelder data, dataflyt og datasikkerhet. Da er for eksempel viktig at styret forstår
Fra forretningssiden og den daglige drifts ståsted er det viktig å skaffe seg oversikt over hvilke data man trenger for å gjøre lønnsom forretning, og fra et ledelsesståsted lønner det seg definitivt å ha den nødvendige og lovpålagte kontroll. Ved at styret forstår dette, har de et godt utgangspunkt for å føre god kontroll med virksomhetens personvern.
Kristin Haram Førde
Partner i Bull & Co Advokatfirma