Du er her:

Personopplysningsloven – erstatninger og overtredelsesgebyrer

Når personopplysningsloven kom, skremte mange konsulenter næringslivets aktører om gigantbøter fra Datatilsynet og nærmest ruin om konsulentene ikke fikk selge inn sine tjenester. Det ble heldigvis ikke helt slik. Regnskapsfører har dog utvilsomt et erstatningsansvar og kan ilegges overtredelsesgebyr ved feil i oppdragsgjennomføringen – men på grunnlag av hva?

03.10.24
Skrevet av  Hans Ellefsen, direktør teknologi, innovasjon og bærekraft, Regnskap Norge
Del

Et medlem hadde et godt spørsmål om overtredelsesgebyr til oss som i sin tid resulterte i en god intern diskusjon hos Datatilsynet. Spørsmålet var rundt grunnlaget for gebyret når regnskapsfører bryter personopplysningsloven eller ikke overholder databehandleravtalen i et kundeforhold. Skal gebyret beregnes ut fra det laveste av:

  • 20 millioner euro
  • 4 % av global omsetning hos kunden
  • 4 % av global omsetning hos regnskapsfører

Svaret er ikke åpenbart da lovteksten i artikkel 83 i personvernforordningen er noe upresis.

Flere overtredelsesgebyrer ilagt

I henhold til Datatilsynets årsrapport for 2023 er det offentlig sektor som har forårsaket flest avviksmeldinger. Men flere private virksomheter har fått store mulkter eller gebyrer. Datatilsynet ila overtredelsesgebyrer og tvangsmulkter for til sammen 96,4 millioner i 2023. 83 millioner av dette er riktignok til Meta (Facebook).

Lovgivers intensjon med overtredelsesgebyrer er at de skal være avskrekkende ved alvorlige tilfelle, derfor oppad begrenset til laveste av 20 millioner euro eller 4 % av global omsetning. Veldig få aktører har fått gebyrer på dette nivået, men fremdeles så svir det for de fleste.

Hvordan skal gebyret beregnes?

En regnskapsfører inngår et samarbeid med sin kunde om behandling av personopplysninger som avtalefestes gjennom oppdragsavtalen og databehandleravtalen.

Datatilsynet vil ved avvik normalt forholde seg til «pliktsubjektet», det vil si kunden som er behandlingsansvarlig for personopplysningene. Men hvis undersøkelser av tilsynet avdekker at kunden har alt på plass selv, herunder en gyldig databehandleravtale med regnskapsfører, kan Datatilsynet heller forholde seg direkte til databehandleren (regnskapsføreren). Hvilken omsetning skal legges til grunn for beregningen av gebyret?

Datatilsynet har avklart overfor oss at det er regnskapsforetakets omsetning som skal ligge til grunn ved vurdering av overtredelsesgebyrets størrelse, ikke kundens når det er regnskapsfører som har brutt loven eller vilkår i databehandleravtalen. Det er et svar som for så vidt er logisk og forventet, men ikke åpenbart i lovteksten (artikkel 83) som omtaler omsetningen til «foretaket» og ikke spesifikt til «behandlingsansvarlig» eller «databehandler».

Så ja, det er fremdeles greit å være databehandler for Equinor.

Erstatningsansvar

Lovteksten i artikkel 82 om erstatning er mer tydelig når det gjelder hvem som er ansvarlig, behandlingsansvarlig eller databehandler, og hvordan rettsforholdet er mellom disse.

Den eller de registrerte personene som er rammet av et brudd på personopplysningssikkerheten vil normalt fremme et erstatningskrav overfor kunden (den behandlingsansvarlige). Erstatningskravet kan være begrunnet i en materiell eller ikke-materiell skade. Om bruddet på personopplysningssikkerheten imidlertid er forårsaket av regnskapsfører, kan kunden snu seg mot regnskapsfører og kreve regress for erstatningsbeløpet.

Den eller de registrerte som er skadelidende kan også etter forordningen gå direkte til regnskapsfører i rollen som databehandler om dette er mer hensiktsmessig eller åpenbart.

Er det flere behandlingsansvarlige og/eller flere databehandlere involvert, kan den som søker erstatning kreve erstatning i sin helhet fra en av dem, eksempelvis regnskapsfører, men at regnskapsfører da kan søke regress hos de andre aktørene i forhold til deres rolle i skadesaken.

Det er ingen begrensinger i personvernforordningen på erstatningens størrelse, men den kan utmåles ut ifra et reparasjonshensyn eller et prevensjonshensyn. Sistnevnte hensyn kan utgjøre et høyere beløp enn førstnevnte for å avskrekke andre i å forårsake samme type skade.

God intern kontroll gir redusert risiko

Det viktigste å ha på plass for å unngå både overtredelsesgebyr og erstatningskrav er:

  • En kartlegging av hvilke personopplysninger som behandles i regnskapsforetaket i oppdragsgjennomføringen (mal i KS Komplett)
  • En behandlingsprotokoll som viser hjemmelsgrunnlag, formål og detaljer om behandlingen (mal hos Datatilsynet)
  • En risikovurdering av behandlingen i regnskapsforetaket (samme mal som i punkt 1)
  • God intern kontroll og rutiner hos både regnskapsfører og kunden som reduserer risikoen for brudd på personopplysningssikkerheten til et akseptabelt nivå
  • Databehandleravtale med kunden og med systemleverandører (i KS Komplett)
  • Utkontrakteringsavtaler med relevante underleverandører som behandler personopplysninger
  • Kryptert kommunikasjon med kunden og andre relevante parter som behandler personopplysninger
  • Gode tilgangskontroller i systemer slik at kun berettigede personer har tilgang til personopplysninger, herunder bruk av to-faktor-autentisering
  • Løpende oppdatering av rutiner og dokumentasjon ved endringer i oppdragsgjennomføringen eller i systemer
  • Varslingsrutiner ved avvik (mal på regnskapnorge.no)
  • Tilstrekkelig nivå på profesjonsansvarsforsikringen