Avgjørelse fra Tyskland om det individuelle ansvaret til styret
I en nylig dom fra en tysk domstol ble en direktør holdt personlig ansvarlig for brudd på personvernreglene. Direktøren ble ansett som behandlingsansvarlig sammen med virksomheten og ble ilagt erstatningsansvar. Selv om dommen er fra Tyskland, kan den ha betydning for det individuelle ansvaret til styret og dagligledere også i Norge.
Det er en kjensgjerning at virksomheter kan få bøter dersom de bryter personvernreglene. Datatilsynet ilegger stadig flere bøter, noe som har ført til at flere og flere virksomheter tar personvernreglene mer på alvor. Regelen etter GDPR er at det er den behandlingsansvarlige virksomheten som blir ilagt overtredelsesgebyret. Det er styret som må sørge for å vedta sikkerhetsrutiner, rutiner for internkontroll og andre personvernvedtak, og dagligleder som må sørge for at disse rutinene og vedtakene skal følges i praksis. Slik vil virksomheten ha en god personvernorganisering på plass. Når det imidlertid skjer personvernbrudd og det viser seg at virksomheten ikke har på plass slike grunnleggende rutiner, prosesser og dokumentasjon, er det virksomheten som sitter igjen med gebyret fra Datatilsynet, og ikke enkeltpersoner i virksomheten.
I en nylig tysk dom, er imidlertid denne regelen utfordret. Direktøren av virksomheten i dommen hadde engasjert en privatetterforsker for å etterforske om en som hadde sendt inn en medlemsforespørsel til virksomheten hadde begått kriminelle handlinger. Det viste seg at personen hadde gjort det, og medlemsforespørselen ble avslått. Den tyske domstolen mente at denne overvåkingen var i strid med personvernforordningen og personen som ble overvåket ble tilkjent et erstatningsgebyr på 5000 euro. Det spesielle med dommen er at domstolen tolket begrepet «behandlingsansvarlig» ganske vidt, og direktøren, sammen med virksomheten, ble ansett å være behandlingsansvarlig. Dermed fikk vedkommende et personlig erstatningsansvar for bruddet, sammen med virksomheten.
Denne dommen kan føre oss i en retning der styremedlemmer og daglige ledere kan bli holdt erstatningsansvarlig for virksomhetenes personvernbrudd. Et avgjørende moment her vil sannsynligvis være hvorvidt styremedlemmet eller dagligledere selv er å bebreide for personvernbruddet, enten ved at vedkommende aktivt har gjort noe som kan føre til et personvernbrudd, eller med vilje har unngått å vedta eller sette i gang prosesser som kan føre til at brudd på personopplysningssikkerheten skjer. Eksempelvis vil mangel på oppfølgingsrutiner eller mangel på risikoreduserende tiltak kunne utløse erstatningsansvar.
Selv om det ikke har kommet slike saker i Norge, er det ikke utenkelig at utviklingen fører til lignende saker her også. Derfor er det viktig at styremedlemmer og daglige ledere har nødvendig personvernkunnskap, og skaffer seg en god oversikt over kravene etter GDPR, herunder hvilke dokumentasjon, rutiner og tiltak som kreves.