Publisert: 28.02.2019
Personvernforordningen artikkel 82
Bestemmelsen innebærer at dersom en tredjepart (fysisk person) har lidd materiell eller ikke-materiell skade på grunn av overtredelser av plikter og rettigheter som oppstilles i personvernforordningen, har denne rett til erstatning fra den behandlingsansvarlige (oppdragsgiver, som kan være en kommune) eller databehandleren (leverandøren) for den forvoldte skaden. Den behandlingsansvarlige skal være ansvarlig for skaden som er forårsaket av behandling som er i strid med personvernforordningen. Databehandleren skal være ansvarlig for skade, i den utstrekning databehandleren ikke har oppfylt forpliktelsene i personvernforordningen som særlig retter seg mot databehandlere, eller dersom databehandleren har opptrådt utenfor/i strid med lovlige instrukser.
Dersom flere behandlingsansvarlige (f. eks. dersom flere oppdragsgivere/kommuner har inngått samarbeid), databehandler eller både en behandlingsansvarlig og en databehandler er involvert i samme behandling som har forvoldt materiell/ikke-materiell skade, skal hver behandlingsansvarlig eller databehandler holdes ansvarlig for hele skaden – dvs. et solidaransvar. Dette er for å sikre at tredjepersonen som har blitt utsatt for skade skal motta erstatning på en mest mulig effektiv måte.
Dersom den behandlingsansvarlige eller databehandleren har betalt full erstatning for den aktuelle skaden, har den som har betalt erstatningen rett til å kreve tilbake den delen av erstatningen fra eventuelle andre behandlingsansvarlige eller databehandlere som har vært involvert i samme behandling, som svarer til deres del av ansvaret for skaden. Dette kan også omtales som et regressansvar, mellom den som har utbetalt erstatningen og de øvrige ansvarlige partene.
Nærmere om Difis presiseringer
Den nye formuleringen har følgende ordlyd:
«Partenes erstatningsansvar for skade som rammer den registrerte eller andre fysiske personer og som skyldes overtredelse av personvernforordningen (forordning 2016/679), personopplysningsloven med forskrifter eller annet regelverk som gjennomfører personvernforordningen, følger av bestemmelsene i personvernforordningen artikkel 82.
Erstatningsbegrensningen i punkt x.x kommer ikke til anvendelse for ansvar som følger av personvernforordningen artikkel 82.
Partene er hver for seg ansvarlige for overtredelsesgebyr ilagt i henhold til personvernforordningens (forordning 2016/679) art. 83.»
Disse presiseringene innebærer at bestemmelser om erstatningsansvar, solidaransvar og regressansvar er angitt i standardavtalene uten ansvarsbegrensning, både for databehandlere og behandlingsansvarlige. Det er presisert at ansvaret som følger av GDPR ikke er begrenset til noe beløp eller andel av kontraktsverdi (slik det er for annet erstatningsansvar under SSA-ene).
KS Advokatenes anbefalinger
KS Advokatene var med i dialogen som Difi tok initiativ til og gjennomførte i 2018 knyttet til formuleringen av erstatningsansvaret, solidaransvaret og regressansvaret, sammen med andre oppdragsgivere og leverandørsiden. KS Advokatene er godt fornøyd med Difi sine endelige konklusjoner, og har også bidratt i saker for flere kommuner den siste tiden som har hatt behov for bistand i kontraktsforhandlinger med store, og ofte internasjonale, leverandører.
Det er flere momenter som taler for at disse formuleringene ivaretar oppdragsgivernes og leverandørenes gjensidige behov på en balansert måte, bl. a.;
- Det er GDPR artikkel 82 sin intensjon at hver part må bære sitt ansvar for sine eventuelle brudd på forordningen. Dette vil også medføre at partene må kunne kreve regress av hverandre for hele den erstatningssummen som er et resultat av den andres brudd på forordningen. Dette vil gi både den behandlingsansvarlig og databehandleren et sterkt incitament til å oppfylle sine respektive plikter etter regelverket.
- Etter artikkel 82 er databehandlers ansvar tydelig knyttet til forhold som hører inn under de plikter som pålegges databehandlere i personvernforordningen, eller dersom en databehandler har gått utover lovlige instrukser. Dette gir i seg selv en viss avgrensning i hvilket ansvar som kan bli aktuelt for leverandøren/databehandleren.
I lys av disse momentene er det ikke rimelig at leverandøren/databehandleren skal kunne beskytte sine økonomiske interesser bak en ansvarsbegrensning, som i sin tur vil medføre et økt økonomisk ansvar for oppdragsgiveren/den behandlingsansvarlige.
KS Advokatene anbefaler kommunene og fylkeskommunene om å sette seg godt inn i Difi sine nye presiseringer i standardavtalene(SSA). For inngåelse av nye kontrakter bør kommunene og fylkeskommunene sørge for at det benyttes SSA med oppdatert formulering om GDPR.
Kontrakter som er inngått uten ovennevnte formulering kan reforhandles, dersom endringen ikke medfører en vesentlig endring av den opprinnelig inngåtte kontrakten. Hva som er en vesentlig endring må vurderes konkret.
Formuleringene er også overførbare til andre typer databehandleravtaler som skal utarbeides i tråd med GDPR, etter KS Advokatenes syn.
For mer informasjon om Difis standardavtaler (SSA):