Enligt GDPR är det den som är personuppgiftsansvarig eller personuppgiftsbiträde som kan vara skadeståndsansvariga om regelverket inte efterlevs. Detta är oftast en juridisk person. I detta blogginlägg undersöker vi om det enbart är dessa två aktörer som kan bli skadeståndsskyldiga eller om det i vissa fall är möjligt att ett dataskyddsombud kan bli personligt ansvarig enligt GDPR.
Vad är ett dataskyddsombud?
Innan vi går in på frågan om skadeståndsansvar är det bra att ha klart för sig vad ett dataskyddsombud är och vad ett dataskyddsombud gör.
För vissa organisationer är det obligatoriskt att utse ett dataskyddsombud. Det är obligatoriskt om:
- Behandlingen genomförs av en myndighet eller ett offentligt organ,
- Kärnverksamheten består av behandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning eller
- Kärnverksamheten består av behandling av särskilda kategorier i stor omfattning.
Även om det inte är obligatoriskt rekommenderar European Data Protection Board (tidigare artikel 29-gruppen) att organisationen utser ett dataskyddsombud, framförallt om det rör en privat organisation som bedriver offentlig verksamhet eller myndighetsutövning.
Dataskyddsombudet ska utses utifrån sina yrkesmässiga kvalifikationer och sin sakkunskap om lagstiftning och praxis avseende dataskydd. Dataskyddsombudet kan därmed inte vara vem som helst, utan bör ha vissa egenskaper och kompetenser. Vidare uppställs krav på att dataskyddsombudets kontaktuppgifter offentliggörs samt att dessa meddelas till tillsynsmyndigheten, vilket i Sverige är Integritetsskyddsmyndigheten.
Viktigt är att dataskyddsombudet ska utföra sina uppgifter på ett oberoende sätt. Detta innebär bland annat att dataskyddsombudet inte får ta emot instruktioner gällande hur uppdraget ska utföras. Dataskyddsombudet får inte heller utsättas för sanktioner för att denne utfört sina uppgifter.
Vad får och vad får inte ett dataskyddsombud göra?
Dataskyddsombudets uppgifter är bland annat att:
- Övervaka efterlevnaden av GDPR,
- Bistå vid konsekvensbedömningar,
- Fungera som kontaktperson för de registrerade, för tillsynsmyndigheten och internt inom organisationen samt samarbeta med tillsynsmyndigheten och
- Vara delaktig i alla frågor som rör skyddet av personuppgifter.
Det är viktigt att dataskyddsombudet ges tillräcklig självständighet för att denne ska kunna utföra sina uppgifter.
Dataskyddsombudet får inte utföra uppgifter som kan leda till en intressekonflikt med dataskyddsombudsrollen. Det innebär bland annat att dataskyddsombudet inte får inneha en sådan roll att det är han eller hon som fastställer ändamål och medel för behandlingar. Läs mer om dataskyddsombud här.
Skadeståndsansvar i GDPR
Det är den personuppgiftsansvarige eller personuppgiftsbiträdet som ska säkerställa att GDPR efterlevs. Det är också den personuppgiftsansvarige eller personuppgiftsbiträdet som ska visa att de behandlar personuppgifter i enlighet med regelverket. Det finns två typer av kostnader som personuppgiftsansvariga och personuppgiftsbiträde kan drabbas av enligt GDPR: sanktionsavgifter och skadestånd. Den personuppgiftsansvarige eller personuppgiftsbiträdet behåller ansvaret för regelefterlevnaden av dataskyddslagstiftning, även om en verksamhet har utsett ett dataskyddsombud.
Skadeståndsansvar för dataskyddsombud
Dataskyddsombudet är enligt GDPR inte personligen ansvarig om GDPR inte efterlevs, trots att dataskyddsombudets uppgift är att övervaka regelefterlevnad. Det är bara den personuppgiftsansvariga eller personuppgiftsbiträdet som kan vara ansvariga enligt GDPR. Med detta sagt utesluter det inte ansvar för dataskyddsombudet på andra grunder.
Just nu är fall gällande personligt skadeståndsansvar för dataskyddsombud uppe i både Storbritannien och Schweiz. I båda fallen har kostnader drabbat företaget, som i sin tur söker ersättning från dataskyddsombudet. Schweiz ingår inte i EU eller EEA, men lagstiftningen kring personuppgiftshanteringen ser i princip likadan ut i Schweiz som i EU. Dessa två fall kan därför få stor betydelse för praxisutvecklingen inom EU.
Eftersom det inte möjligt med personligt ansvar för dataskyddsombud enligt GDPR blir det bara aktuellt i vissa fall. GDPR innehåller inte någon friskrivning för dataskyddsombud, vilket gör att skadestånd skulle kunna komma ifråga med stöd av skadeståndslagens (SkL) regler om skadestånd för arbetstagare. Bestämmelsen som reglerar skadestånd för arbetstagare finns i 4 kap. 1 § SkL. För att denna bestämmelse ska aktualiseras krävs det att ett antal förutsättningar är uppfyllda:
- Skada ska ha uppkommit för arbetsgivaren.
- Skadan ska ha orsakats av arbetstagarens fel eller försummelse.
- Det ska finnas ett orsakssamband mellan dataskyddsombudets agerande och den uppkomna skadan.
- Det ska föreligga synnerliga skäl.
Detta innebär att dataskyddsombudet som regel måste ha agerat grovt oaktsamt eller uppsåtligt för att personligt ansvar ska inträda. Om ett dataskyddsombud rapporterar korrekt och fullständig information till verksamhetens ledning bör denne kunna undgå personligt ansvar. Vi väntar dock spänt på mer vägledning kring dataskyddsombudets ansvar.
Har ni utsett ett dataskyddsombud eller är du ett dataskyddsombud?
Vi hjälper er gärna med bedömningen om ni behöver eller bör ha ett dataskyddsombud! Kontakta oss via info@gdprhero,se eller 046 – 273 17 10.
Är du ett dataskyddsombud? Boka gärna en demo av GDPR Hero idag – det är verktyget som gör ditt arbete enkelt! Boka demo gör du här.