Hvem holdes ansvarlig ved alvorlige personvernbrudd?

I Tyskland har en direktør nylig blitt holdt personlig ansvarlig av domstolen for brudd på personvernreglene. Rettsutviklingen i EU kan ha innvirkning på hvem som blir ilagt personlig ansvar ved personvernbrudd her i Norge.

Krigen i Ukraina har økt trusselen for dataangrep mot norske virksomheter betydelig. Som igjen fører til risiko for at både kunder, partnere, offentlige virksomheter og enkeltmenneskers personvernopplysninger kommer på avveie. Fokuset på personvern bør derfor skjerpes spesielt i disse tider.

Hvor ansvaret ligger per dags dato
Dersom en virksomhet utsettes for dataangrep og personvernopplysninger kommer på avveie, er det virksomheten som hovedregel som sitter igjen med boten og ansvaret. Altså vil ikke enkeltpersoner som daglig leder og styremedlemmer bli holdt personlig ansvarlig for overtredelsesgebyrer.

Derimot kan både daglig leder og styremedlemmer få personlig erstatningsansvar for personvernbrudd i situasjoner der vedkommende har opptrådt uaktsomt.

Styret skal sørge for at selskapet har gode rutiner for personvern og sikkerhet. Daglig leder har ansvar for at disse rutinene følges opp. Dersom styremedlemmene ikke har vedtatt rutinene og daglig leder ikke har fulgt opp rutiner og sikkerhetstiltak, kan personlig erstatningsansvar bli aktuelt.

Tysk dom ilegger direktør i selskapet personlig ansvar for personvernbrudd
I den tyske dommen ble en direktør ilagt erstatningsansvar for brudd på personvernforordningen i form av overvåkning. Direktøren ble ansett som behandlingsansvarlig sammen med selskapet.

En direktør ba en privatetterforsker undersøke mulige kriminelle handlinger begått av en person som hadde sendt en medlemsforespørsel til virksomheten. Etterforskeren avslørte at personen hadde vært involvert i kriminelle handlinger og medlemssøknaden ble dermed avslått. 
Domstolen mente at overvåkningen var brudd på personvernforordningen og ga den overvåkede personen 5000EUR i erstatning. Direktøren ble personlig ansvarlig for personvernbruddene sammen med selskapet.

Betydning for norske direktører og styremedlemmer
Dommen fra Tyskland kan føre til endringer i erstatningsansvaret for direktører og styremedlemmer her i Norge. Datatilsynet har allerede i sine vedtak begynt å skrive at enkeltpersoner har opptrådt uansvarlig og i enkelte tilfeller forsettlig, uten at det per nå har utløst erstatningsansvar.

Eksempler på når styremedlemmer og direktør kan bli erstatningsansvarlige

• I tilfeller der styret eller daglig leder aktivt velger å benytte seg av utrygge løsninger eller utrygge trerdjeland, selv med kunnskap om at det er ulovlig.
• Der daglig leder eller styret bevisst har justert risikovurderinger av informasjonssikkerheten for å gi det risikobildet vedkommende ønsker, fremfor realiteten.
• Dersom styret mangler rutiner for hvordan å følge opp daglig leders forpliktelser.
• Manglende rutiner for å følge med på sikkerhetsrisikoer.
• Manglende risikoreduserende tiltak.

Dersom du som leder eller styremedlem mangler den nødvendige kunnskapen om personvern, rutiner og nødvendig dokumentasjon som trengs, er det avgjørende at du tar grep så fort som mulig.