Hva skal til for å ilegge styret personlig erstatningsansvar?

Styreansvaret er primært regulert i aksjeloven § 17-1. Enkelt sagt utløses styreansvaret ved at styret tar dårlige beslutninger, eller unnlater å ta beslutninger, som påfører selskapet et økonomisk tap. Alle styremedlemmene kan saksøkes med krav om erstatning som følge av dette. Vilkårene for erstatningsansvar må være oppfylt overfor hver enkelt av styremedlemmene som saksøkes. 

Styreansvaret etter aksjeloven er brutt ned i tabellen nedenfor.

Hvordan kan brudd på GDPR utløse styreansvaret?

Styreansvaret avhenger av at tre vilkår er oppfylt:

1. Det må foreligge en skade.

2. Styret eller andre må ha gjort seg skyldig i en uaktsom eller forsettlig handling eller unnlatelse som har forårsaket skaden (skyldkravet). 

3. Det må være årsakssammenheng mellom skaden som har oppstått og styrets opptreden.

Brudd på GDPR kan føre til at selskapet må betale erstatning eller et overtredelsesgebyr. Dette kan anses som “skade” etter reglene om styreansvar. Også andre hendelser kan påføre selskapet et tap, og slik sett  oppfylle skadevilkåret. 

Men sett i sammenheng med GDPR er erstatning og overtredelsesgebyrer særlig egnet til å forårsake et økonomisk tap som oppfyller vilkåret om årsakssammenheng. Hvis skaden (erstatningskravet eller overtredelsesgebyret) spores tilbake til uaktsom eller forsettlig opptreden fra styret, kan styret ilegges erstatningsansvar for beslutningene som ble tatt.

Hvor realistisk er det at styreansvar oppstår som følge av brudd på GDPR?

Er det reelt at brudd på GDPR kan føre til styreansvar, eller er dette hovedsakelig en teoretisk risiko? 

Det er lite tvilsomt at særlig overtredelsesgebyrer med hjemmel i GDPR kan påføre selskapet en “skade”. Brudd på GDPR kan utløse overtredelsesgebyrer med inntil 2 eller 4 % av global årlig omsetning, eventuelt opptil 10 eller 20 millioner euro. 

Spørsmålet koker ned til hvor reelt det er at styret enten fatter beslutninger, eller unnlater å fatte beslutninger, som tilsier at styret uaktsomt eller forsettlig har forårsaket økonomisk skade påført selskapet. Mer om dette nedenfor. 

Først er det viktig å forstå den utløsende faktoren for styreansvaret, nemlig hva som skal til for at det oppstår en “skade”. En skade i denne forbindelse er et overtredelsesgebyr fra Datatilsynet eller et erstatningskrav fra de som virksomheten behandler personopplysninger om. Dette er viktig å forstå slik at selskaper har en viss oversikt over hvor utsatt de er for å falle innenfor virkeområdet til styreansvaret.

Et gebyr er en sentral forutsetning for styreansvaret 

Styreansvar som følger av brudd på GDPR er neppe aktuelt uten et overtredelsesgebyr. Det finnes riktignok flere måter et økonomisk tap kan oppstå på, men ingen som har et like stort skadepotensiale som overtredelsesgebyrene som Datatilsynet kan ilegge etter GDPR. Derfor er overtredelsesgebyrer mest interessant sett i sammenheng med styreansvaret. 

Et overtredelsesgebyr fordrer to ting: 

1. Det må oppstå et brudd som blir oppdaget, og 

2. Bruddet må være alvorlig nok til å berettige større overtredelsesgebyrer. 

Bruddet må bli oppdaget 

Et overtredelsesgebyr forutsetter at Datatilsynet oppdager bruddet, enten gjennom tilsyn, avviksmelding eller klager fra registrerte. Å spekulere i sannsynligheten for noen av delene er verken klokt eller mulig, men jeg vil trekke frem et par elementer som vil hjelpe selskaper med å forstå egen risiko. 

I Datatilsynets årsrapporter sier tilsynet noe om hva de vil fokusere tilsynsvirksomheten på i det kommende året. Dette kan drøftes i styret sammen med andre faktorer som bidrar til å belyse selskapets risikoeksponering knyttet til personvernregelverket. 

Hva gjelder risikoen for overtredelsesgebyrer på bakgrunn av klager fra de registrerte, kan det være hensiktsmessig å rette fokuset mot den mest grunnleggende delen av GDPR-regelverket, nemlig at de registrerte skal føle reell kontroll over behandlingen av egne personopplysninger. I denne forbindelse er det sentralt at selskapet har gjort en grundig vurdering av rettsgrunnlaget for å behandle ulike typer personopplysninger. Videre er det sentralt å ha gode personvernerklæringer som er lett tilgjengelig for andre. Det kan også være lurt å holde et øye med nyhetssaker innenfor personvern. Hvis det skrives mye om for eksempel ulovlig bruk av cookies i en periode, bør selskapet raskt undersøke egen praksis for bruk av cookies.  

Bruddet må være alvorlig nok til å berettige større overtredelsesgebyrer 

I teorien kan ethvert overtredelsesgebyr oppfylle skadevilkåret, og dermed utløse et styreansvar. Når det er sagt, er det grunn til å tro at styreansvaret er mest aktuelt ved større overtredelsesgebyrer. Her vil det være lettere å bevise at skadevilkåret er oppfylt. Det vil også typisk være mer forsvarlig å akseptere prosessrisikoen ved en eventuell rettssak i tilfelle dette blir nødvendig for å håndheve styreansvaret.  

Datatilsynet må forholde seg til en liste over momenter som skal tas i betraktning når de vurderer om de skal ilegge overtredelsesgebyr, og hvor høyt gebyret skal være. Blant disse finnes en rekke skjerpende momenter, og det er hensiktsmessig å ha kontroll over hvor mange av de skjerpende elementene selskapet kan bli arrestert på med dagens organisering og drift. 

Størrelsen på overtredelsesgebyret avhenger av blant annet hva slags og hvor mye personopplysninger selskapet sitter på, hvordan de forvaltes og hvor mye eller lite selskapet har gjort for å hindre bruddet. Størrelsen avhenger i tillegg av om overtredelsen ble begått forsettlig eller uaktsomt.

Et forsikringsselskap som sitter på enorme mengder personopplysninger om svært mange mennesker, og som tar beslutninger med stor betydning for kundenes liv og hverdag, er langt mer eksponert for grove brudd enn for eksempel en startup som hovedsakelig behandler grunnleggende personopplysninger om egne ansatte.

Hva slags styreopptreden skal til før man kan si at styret har handlet “uaktsomt” eller “forsettlig”?

Spørsmålet om hva som skal til før styret har handlet “uaktsomt” eller “forsettlig” er vanskelig. Styret har en rekke ansvarsområder, men overordnet sett skal styret treffe beslutninger, delegere og kontrollere at oppgaver blir satt ut i livet på riktig måte. Styret har også et ansvar for å sikre forsvarlig organisering av selskapet. Kjernen av hva som anses som aktsom opptreden er i hvilken grad styret ivaretar disse oppgavene. Oppgavene kan langt på vei ivaretas gjennom god risikostyring og en solid internkontrollstruktur. 

I forlengelse av dette vil beslutninger knyttet til risiko og internkontroll være avgjørende for at styret skal opptre aktsomt i form av å ivareta sine oppgaver. Sett i sammenheng med GDPR, er styret ansvarlig for å ha kontroll over selskapets ivaretakelse av GDPR. Dette betyr at styret må sikre at selskapet har en internkontroll som fasiliterer ivaretakelsen av GDPR. 

Videre må styret sikre at selskapet har tilstrekkelig med kompetente ressurser til å ivareta regelverket generelt og internkontrollen spesielt. Det hjelper ikke å ha en internkontroll hvis ingen har kapasitet eller kompetanse til å følge etablerte rutiner eller gjennomføre planlagte aktiviteter.

Det er en viss forståelse for at implementeringsarbeidet som gjelder GDPR vil ha noen svakheter. Dette betyr at selskaper kan ta en viss risiko i forbindelse med implementeringen så lenge valget er forsvarlig, altså at selskapet har gjort gode risikoanalyser og valgt ut tiltak basert på risikoen. 

Et typisk problem er at selskapet ikke gjør noen risikoanalyser, eller at selskapet ikke tar grep etter at de har identifisert en større risiko for brudd på enkelte forpliktelser i GDPR. Nedenfor skal vi se litt nærmere på praksis for hva som anses som uaktsom opptreden fra styret sett i sammenheng med GDPR. 

Tidligere praksis

Vi ser at både det norske Datatilsynet og andre europeiske tilsyn peker på at manglende kontroll på personvernrisikoen hos styret er et tegn på uaktsom opptreden. Dette har fungert som et skjerpende moment ved ileggelsen av overtredelsesgebyrer, altså at overtredelsesgebyret blir høyere enn det kunne ha blitt. 

I 2017 ble flere helseforetak ilagt 800 000 kroner i overtredelsesgebyr hver, som tilsammen utgjorde en sum på 10 millioner kroner. Overtredelsesgebyret ble ilagt fordi Datatilsynet mente at Helse Sør-Øst RHF hadde outsourcet IT-infrastrukturen uten forsvarlig håndtering av personvern og informasjonssikkerhet. Datatilsynet pekte blant annet på at helseforetakene ikke hadde hatt tilstrekkelig eierskap til eller kontroll med de planlagte endringene knyttet til informasjonssystemet. Det ble videre pekt på at helseforetakene hadde overlatt ansvaret for beslutninger som har betydning for pasientenes personvern til databehandler (leverandør), og til ansatte lenger ned i organisasjonen. 

I 2021 ble bomselskapet Ferde AS ilagt et overtredelsesgebyr på 5 millioner kroner for manglende databehandleravtale, risikovurdering og overføringsgrunnlag for overføring av opplysninger om bilskilt til en databehandler i Kina. Datatilsynet vektla særskilt i vurderingen av om det skulle ilegges overtredelsesgebyr at det måtte anses “klart uaktsomt å ikke ha på plass disse sentrale instrumentene etter personvernregelverket”. Det ble videre uttalt at “[d]enne uaktsomheten tillegges styret ved styreleder som må anses som å ha opptrådt på vegne av selskapet”. 

I mars 2022 holdt en tysk domstol daglig leder for et selskap personlig erstatningsansvarlig sammen med selskapet for brudd på GDPR. Selskapet hadde fått en medlemsforespørsel, og selskapet ansatte en privatdetektiv til å undersøke om vedkommende hadde begått kriminelle handlinger. Detektiven fant bevis på nettopp dette, og styret avslo følgelig medlemskapsforespørselen. Retten mente at daglig leder hadde brutt personvernregelverket ved å ansette en slik privatdetektiv. Retten ila daglig leder et erstatningsansvar på EUR 5000 . Avgjørelsen er den første tyske avgjørelsen som tildeler erstatning som følge av et brudd på personopplysningsregelverket.

De viktigste holdepunktene fra tidligere praksis

Basert på sakene som er fremstilt ovenfor, ser vi at følgende er tegn på uaktsom opptreden fra styret hva gjelder implementeringen av GDPR:

• Manglende risikoforståelse hos styret: Styret har ikke eierskap til eller kontroll over hvordan selskapets drift gir en risiko for brudd på forpliktelser i GDPR. Styret har ikke gjennomført risikovurderinger som avdekker risiko for brudd på GDPR og hvordan risikoen kan mitigeres ved hjelp av særskilte tiltak.

• Uforsvarlig ansvarspulverisering: Styret overlater ansvaret for beslutninger som gjelder implementeringen til ansatte i selskapet, utenfor selskapets styre. Dette fører til at styret mister eierskap til og kontroll over risikoen for brudd på GDPR, hvilket skaper dårlige forutsetninger for et godt beslutningsgrunnlag knyttet til implementeringen av GDPR.

Hva kan styret gjøre for å redusere risikoen for styreansvar?

Styret kan bruke en rekke metoder for å redusere risikoen for styreansvar. De viktigste handler om en god internkontrollstruktur, god risikostyring og en forsvarlig organisering av selskapet.

Få på plass en god internkontrollstruktur 

GDPR er et komplisert og vidtrekkende regelverk med forpliktelser som treffer alle deler av et selskap, og selskapets leverandører og samarbeidspartnere. Et internkontrollsystem handler om å operasjonalisere compliance-arbeidet. Nærmere bestemt bør internkontrollen inneholde følgende elementer:

• Et styrende dokument for behandling av personopplysninger som setter rammene for hvordan selskapet skal jobbe med å ivareta GDPR i det daglige. Det bør inneholde informasjon om blant annet hvilke regler selskapet må ivareta, hvordan selskapet skal organiseres for å være rustet til å ivareta relevante forpliktelser, hvilke roller som skal ivareta bestemte ansvarsområder, og hvilke aktiviteter selskapet skal gjennomføre på årlig basis for å undersøke om forpliktelsene ivaretas i den daglige driften. 

• Retningslinjer og rutiner som hjelper de ansatte med aktiviteter som krever behandling av personopplysninger. Dette gjelder for eksempel gjennomføring av rekrutteringsprosesser, onboarding, HR-prosesser og offboarding. Det er viktig at ledelsen og relevante ansatte får opplæring i selskapets retningslinjer og rutiner. Opplæringen bidrar til at rutiner og retningslinjer blir godt kjent blant de som skal bruke dem, og at de brukes på riktig måte.

• Kontrollerende aktiviteter som bidrar til å avdekke om selskapet ivaretar forpliktelsene etter GDPR. I praksis betyr dette å dokumentere at aktivitetene som er skissert i det styrende dokumentet faktisk gjennomføres, og at de gjennomføres på en tilfredsstillende måte. Det er særlig resultatet fra slike aktiviteter som styret bør være spesielt observante på. Her vil man gjerne oppdage svakheter i implementeringsarbeidet, og følgelig om det er nødvendig å sette i verk bestemte aktiviteter for å redusere risikoen for brudd på GDPR. 

Sikre god risikostyring

Risikostyring handler om å identifisere, evaluere og prioritere risiko. Risikoen skal så håndteres ved å dedikere økonomiske midler og personell til å minimere, monitorere og kontrollere sannsynligheten for at uønskede hendelser oppstår. Uønskede hendelser i denne sammenheng er brudd på GDPR, for eksempel at selskapets systemer hackes eller at selskapet tar i bruk leverandører som behandler selskapets personopplysninger i strid med GDPR. 

Det finnes flere risikostyringsverktøy som er tilpasset ulike typer selskaper, basert på for eksempel selskapets størrelse, sektor og driftsområde. Styret bør sikre at selskapet har et system for risikostyring som er tilpasset selskapets behov. Et eksempel er ISO 31000, som er en internasjonal standard for risikostyring og -håndtering.

Styret plikter å sikre en forsvarlig organisering av selskapet

Det følger av aksjeloven § 6-12 at styret har et ansvar for å sikre forsvarlig organisering av selskapet. Dette innebærer blant annet at det skal være klare ansvarslinjer, tilstrekkelige kontrollrutiner og faglig kompetent personell som kan utføre oppgavene sine på en forsvarlig måte*. Denne plikten er et sentralt element i hva det betyr at et styre skal opptre aktsomt - og en klar føring for hva som skal til for å konstatere (u)aktsom opptreden.

Ironisk nok ser vi ofte at GDPR-implementeringen svikter på bakgrunn av uklare ansvarslinjer, ikke-eksisterende eller ikke-fungerende internkontroll. Videre har gjerne ansatte uten de nødvendige forkunnskapene eller ledig kapasitet fått ansvaret for GDPR-implementeringen. På bakgrunn av dette bør styret sikre særlig følgende: 

• Ansvaret for å sikre oppdaterte rutiner og retningslinjer for behandling av personopplysninger og gjennomføring av kontrollerende aktiviteter bør legges til dedikerte ressurser som har kapasitet og kompetanse til å ivareta sine roller. Å ha dedikerte ressurser er viktig slik at det blir mulig å følge med på rettsutviklingen; regelverket er dynamisk, og det kommer stadig kommer nye avgjørelser med stor betydning for hvordan forpliktelsene etter GDPR skal etterleves i praksis. Et eksempel er Schrems II-dommen, som nærmest over natten førte til et de facto forbud mot overføring av personopplysninger til USA i svært mange tilfeller. 

• Det bør finnes gode kommunikasjonskanaler mellom operative ressurser og ledere, og mellom ledere og styret. God kommunikasjonsflyt er avgjørende for at styret kan plukke opp utviklingstrekk og problemstillinger som har betydning for implementeringen og ivaretakelsen av GDPR. 

 *NOU 1996:3, kapittel 13.5.2.