Norske styremedlemmer og daglig ledere bør følge godt med. Dataangrep rammer stadig flere virksomheter og konsekvensene for økonomien kan være alvorlige. Det rammer kunder, partnere, offentlige virksomheter og enkeltmennesker.
Samtidig ser vi økt oppmerksomhet om overholdelse av grunnleggende personvernprinsipper.
Det vanlige er at den ansvarlige virksomheten, det vil si den behandlingsansvarlige, får et overtredelsesgebyr for brudd på personvernreglene.
Hvis en virksomhet blir utsatt for dataangrep og personopplysninger kommer på avveier, er det virksomheten og ikke en enkeltperson som sitter igjen med boten. Styret skal sørge for at personvernrutiner og sikkerhetstiltak finnes. Daglig leder skal sørge for at disse rutinene og tiltakene følges.
Regelen er at styremedlemmer og daglig leder ikke vil bli personlig ansvarlig for overtredelsesgebyr.
Riktignok har det norske Datatilsynet begynt å skrive i sine vedtak at enkeltpersoner anses å ha opptrådt uansvarlig eller til og med forsettlig, men det utløser i seg selv ikke automatisk et personlig ansvar.
Erstatning er juridisk sett noe annet enn overtredelsesgebyr. Både daglig leder og styremedlemmer kan bli personlig erstatningsansvarlig for personvernbrudd i virksomheten, spesielt i situasjoner der man har vært uaktsom. Det skal ikke alltid så mye til.
For styremedlemmer kan personlig erstatningsansvar skyldes at personvernrutiner som kunnet forhindret et dataangrep ikke er vedtatt.
For daglig leder kan det være aktuelt med personlig erstatningsansvar hvis rutinene eller sikkerhetstiltak ikke er fulgt opp i den daglige driften.
Den tyske avgjørelsen er en av flere nyere saker i Europa om erstatning i henhold til personvernforordningen.
En direktør ba en privatdetektiv etterforske mulige kriminelle handlinger begått av en person som hadde sendt en medlemsforespørsel til virksomheten. Detektiven avslørte at personen hadde vært involvert i kriminelle handlinger. Medlemssøknaden ble avslått.
Domstolen mente at overvåkningen var et brudd på personvernforordningen og ga den overvåkede personen 5000 euro i erstatning. Direktøren ble personlig ansvarlig for personvernbruddene sammen med selskapet.
Direktøren ble ansett som behandlingsansvarlig. EU-domstolen har tolket begrepet «behandlingsansvarlig» vidt, og det virker sannsynlig at andre domstoler kan følge etter.
Denne utviklingen kan føre til at flere styremedlemmer og daglige ledere risikerer å bli holdt personlig erstatningsansvarlige for personvernbrudd. Dette er selvfølgelig særlig aktuelt hvis et styremedlem eller en daglig leder setter i gang en aktivitet som til syvende og sist utgjør et personvernbrudd eller hvor styremedlemmet eller daglig leder deltar i beslutningen som fører til regelbruddet.
Mangel på oppfølging eller fravær av risikoreduserende tiltak kan også utløse ansvar.
Mange styrer har nok ikke vedtatt tilstrekkelige personvernrutiner eller mangler kontroll med hvordan daglig leder sikrer etterlevelse av personvernreglene. Vi tror det vil komme saker om styreansvar her til lands, for eksempel ved alvorlige dataangrep. I land som USA er dette vanlig allerede.
I saken der investorer har saksøkt nåværende og tidligere direktører i SolarWinds, kritiseres de saksøkte direktørene for å ha kjent til cybersvakheten før angrepet skjedde. Det hevdes at styret ikke hadde prosedyrer på plass for å overvåke cybersikkerhetsrisiko, ei heller rapporterte ledelsen om risikoene jevnlig.
Vi hører en del snakk om risikoappetitt innenfor regeletterlevelse. Det kan være grunn til å minne om at risikoappetitt er et uttrykk for viljen til gjennomføre risikofylte aktiviteter. Ofte handler det om regelbrudd, med de konsekvenser det kan få.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.
Vi tror det vil komme saker om styreansvar her til lands, for eksempel ved alvorlige dataangrep