Regulering af ansvaret ved behandling af
Regulering af ansvaret ved behandling af
personoplysninger
Artiklen belyser de forskellige former for tab og økonomisk ansvar, der kan opstå i forbindelse med behandling af personoplysninger, og ser særligt på mulighederne for ved aftale at regulere og for- dele ansvaret mellem den dataansvarlige og databehandleren. Kendskab til reguleringen af ansvars- forholdene vil navnlig være relevant i forbindelse med indgåelse af nye databehandleraftaler eller genforhandling af eksisterende databehandleraftaler som følge af EU’s databeskyttelsesforordning, der finder anvendelse fra 25. maj 2018.
Af Xxxxx Xxx. Xxxxxxxxx, advokat, partner, og Xxxxxxx Xxx Xxxxxxxxx, advokat, begge Ple- sner Advokatpartnerselskab. Begge forfattere beskæftiger sig med og rådgiver om IT-ret og dermed relaterede problemstillinger.
1. Indledning
14 Regulering af ansvaret ved behandling af personoplysninger Revision & Regnskabsvæsen nr. 4 · 2018
EU’s databeskyttelsesforordning1 (herefter blot ”For- ordningen”) finder anvendelse fra den 25. maj 2018, og mange virksomheder bruger for tiden betydelige ressourcer på at opfylde Forordningens krav til be- handling af personoplysninger.
Det har været genstand for diskussion, om og i hvil- ket omfang den dataansvarlige og databehandleren indbyrdes kan regulere og fordele det økonomiske ansvar i tilfælde af overtrædelse af reglerne i Forord- ningen og de deraf afledte regler (herefter ”Personda- tareglerne”).
Formålet med denne artikel er at belyse de forskelli- ge former for tab og økonomisk ansvar, der kan opstå i forbindelse med et brud på Persondatareglerne, og mulighederne for kontraktuelt at regulere ansvarsfor- delingen mellem den dataansvarlige og databehand- leren. Tilsvarende problemstillinger opstår i situationer med to eller flere dataansvarlige eller to eller flere databehandler, herunder underdatabehandlere. For overskuelighedens skyld fokuserer denne artikel dog primært på forholdet mellem den dataansvarlige og databehandleren.
Der redegøres først kort for sondringen mellem den dataansvarlige og databehandleren. Dernæst følger en gennemgang af de forskellige former for tab og økonomisk ansvar, der kan opstå ved overtrædelse af Persondatareglerne, hvorefter de typiske kontraktbe- stemmelser, der i dag regulerer og fordeler ansvaret
Regulering af ansvaret ved behandling af personoplysninger 15
Efter Forordningen vil hverken den dataansvarlige eller databehandleren hæfte for bøder pådraget af den anden part. En part vil alene blive pålagt en bøde, såfremt parten selv har overtrådt Persondatareglerne.
mellem den dataansvarlige og databehandleren, vil blive gennemgået. På dette grundlag analyseres endelig mulighederne for ved aftale at regulere og fordele et erstatningsansvar mellem parterne.
2. Den dataansvarlige og databehandleren samt kravet om en databehandleraftale
Den dataansvarlige vil typisk være en virksomhed, organisation eller offentlig myndighed, der indsamler og benytter sig af personoplysnin- ger om sine kunder/borgerne eller øvrige samarbejdspartnere, mens databehandleren vil være den, der af den dataansvarlige er antaget til at bistå med behandlingen af personoplysninger.
Ofte vil databehandleren være en IT-virksomhed, som opbevarer (”hoster”) og/eller tilgår personoplysninger, enten som led i en IT- outsourcing for den dataansvarlige eller ved levering af en cloudbase- ret ydelse.2
Den dataansvarlige er i Forordningens artikel 4, nr. 7, defineret som den, der bestemmer ”til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger”. Den dataansvarlige har således kontrollen over personoplysningerne og det overordnede an- svar for disse.
Databehandleren er i Forordningens artikel 4, nr. 8, defineret som den, ”der behandler personoplysninger på den dataansvarliges vegne”. Databehandleren skal blandt andet på baggrund af artikel 28, stk. 1, gennemføre passende tekniske og organisatoriske foranstaltninger, så behandlingen af personoplysningerne opfylder kravene i Forordningen og sikrer beskyttelse af datasubjektets 3 rettigheder. Databehandleren bestemmer dog ikke hvordan eller til hvilke formål, der må ske be- handling.4
Mellem den dataansvarlige og databehandleren skal der i henhold til Forordningen indgås en databehandleraftale, som lever op til kravene i artikel 28, stk. 3, i Forordningen. Formålet med at kræve en databe- handleraftale er at sikre, at den dataansvarlige gennem en sådan aftale fastholder (en grad af) kontrol med den databehandling, som databe- handleren foretager på vegne af den dataansvarlige.
En databehandleraftale kan indgås enten som en selvstændig aftale eller som en integreret del af aftalegrundlaget mellem den dataansvar- lige og databehandleren, eksempelvis en egentlig kunde-leverandør kontrakt, der regulerer leverancen af hovedydelsen.
økonomisk ansvar, som enten den dataansvarlige eller databehandle- ren kan pådrage sig:
(i) Bøder (bødeansvar);
(ii) Økonomiske tab i forbindelse med overtrædelse af Persondata- reglerne, som ikke vedrører krav fra datasubjekterne (inter partes ansvar); og
(iii) Økonomiske tab i forbindelse med krav fra datasubjekter som føl- ge af overtrædelse af Persondatareglerne (krav fra datasubjekter).
3.2 Bødeansvar
En bøde er i dansk ret en straf, der indebærer betaling af et pengebe- løb til statskassen, som følge af en overtrædelse af en lovbestemmelse.5
Det følger af Forordningens artikel 83, at de nationale tilsynsmyn- digheder kan pålægge den dataansvarlige eller databehandleren administrative bøder for overtrædelse af specifikke bestemmelser i For- ordningen eller manglende overholdelse af påbud udstedt i medfør af Forordningen.
Forordningen opererer i artikel 83 med et bødeniveau på op til EUR 20.000.000, eller hvis det drejer sig om en virksomhed, med op til 4
% af virksomhedens samlede globale årlige omsætning i det foregå- ende regnskabsår, såfremt dette beløb er højere.
I tillæg til bøder for overtrædelser af de forhold, der er nævnt i artikel 83, kan et brud på Persondatareglerne føre til bøder i medfør af andre (sær)lovbestemmelser. Et sådant eksempel kunne være straf- felovens § 264 d, om uberettiget videregivelse af meddelelser eller billeder vedrørende en andens private forhold eller i øvrigt billeder af den pågældende under omstændigheder, der åbenbart kan forlanges unddraget offentligheden.
Efter Forordningen vil hverken den dataansvarlige eller databehand- leren hæfte for bøder pådraget af den anden part. En part vil alene blive pålagt en bøde, såfremt parten selv har overtrådt Persondatareg- lerne.
3.3 Inter partes ansvar
I forholdet mellem den dataansvarlige og databehandleren kan den enes brud på Persondatareglerne medføre, at den anden part pådra- ger sig tab/skader, der kan gøres gældende som et erstatningskrav
Den dataansvarlige er i Forordningens artikel 4, nr. 7, defineret som den, der bestemmer ”til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger”. Den dataansvarlige har således kontrol- len over personoplysningerne og det overordnede ansvar for disse.
I praksis ses det oftest, at databehandleraftalen indgås som en selv- stændig aftale, som vedlægges hovedaftalen som et bilag.
3. Xxxxxxxxxxx former for ansvar
3.1 Tre forskellige former for ansvar
Persondatareglerne kan indebære forskellige former for tab og ansvar. I denne artikel sondres der mellem tre forskellige former for tab og
under det aftaleforhold, som består mellem parterne.6
Inter partes ansvaret vedrører først og fremmest de omkostninger og tab, der opstår hos den dataansvarlige eller databehandleren selv som følge af den anden parts brud på Persondatareglerne. Det vil typisk dreje sig om interne og eksterne omkostninger til (i) undersø- gelse af forholdet (eksempelvis en datasikkerhedsbrist), (ii) rådgivning vedrørende juridiske aspekter og sikkerhed samt kommunikation med myndigheder, (iii) håndtering af og kommunikation med datasub- jekter eller (iv) driftsrelaterede forhold så som nedlukning af tjenester
indtil forholdet er blev undersøgt og håndteret. Erfaringer fra sager om datasikkerhedsbrister viser, at der kan være tale om betydelige omkostninger.
I modsætning hertil står de skader, der ikke opstår hos den dataan- svarlige eller databehandleren, men hos en tredjemand, som parten har en relation til. En sådan tredjemand kan eksempelvis være en kunde eller en leverandør, som tillige påvirkes af hændelsen. Krav
fra sådanne tredjemænd (eksempelvis en kunde, som ikke har haft adgang til en tjeneste grundet en brist) kan også indgå under inter
partes ansvaret, når den dataansvarlige eller databehandleren gør det gældende.
I praksis vil tredjemandskrav netop typisk blive håndteret som en del af inter partes ansvaret, da tredjemanden generelt ikke vil have det fornødne grundlag for at rette sit krav direkte mod den part, der rent faktisk forårsagede bruddet, men kun mod den part, som tredjeman- den har en relation til.7
Denne tredjemand vil således rette sit krav mod den part, som tred- jemanden har en aftalemæssig relation til, hvorefter denne part vil
16 Regulering af ansvaret ved behandling af personoplysninger
Revision & Regnskabsvæsen nr. 4 · 2018 Revision & Regnskabsvæsen nr. 4 · 2018
Regulering af ansvaret ved behandling af personoplysninger 17
Det er vigtigt at sondre mellem de tilfælde, hvor (i) kun én dataansvarlig eller databehandler er ansvarlig over for datasubjekterne, og (ii) de tilfælde hvor flere dataansvarlige og/eller databehand- lere er ansvarlige. I de tilfælde, hvor der er flere ansvarlige, fastslår Forordningens artikel 82, stk. 4, nemlig, at flere skadevoldere er solidarisk ansvarlige for hele skaden over for datasubjektet.
gøre tredjemandskravet gældende som et erstatningskrav over for sin aftalepart i databehandlerrelationen.
Det forholder sig imidlertid anderledes for så vidt angår ansvaret over for datasubjekterne, der som følge af Forordningen får langt større mulighed for at holde ikke bare den dataansvarlige, men også databehandleren ansvarlig for indtrådte skader, jf. straks nedenfor i afsnit 3.4.
3.4 Krav fra datasubjekter
Erstatningsansvaret over for datasubjektet er reguleret i Forordningens artikel 82, stk. 1, der fastslår, at ”Enhver, som har lidt materiel eller im- materiel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databe- handleren.”
I henhold til artikel 82, stk. 2, er den dataansvarlige ansvarlig for den skade, der er forvoldt ved en behandling, der overtræder Forordnin- gen. Databehandleren er derimod kun ansvarlig for den skade, der enten er forvoldt som følge af databehandlerens brud på forpligtelser i Forordningen rettet specifik mod databehandleren, eller hvis databe- handleren har undladt at følge eller handlet i strid med den dataan- svarsliges lovlige instruks.
Forordningens artikel 82, stk. 3, indebærer et såkaldt ”præsumpti- onsansvar” (formodning for ansvar) for både den dataansvarlige og databehandleren, hvilket betyder, at parterne er erstatningsansvarlige over for datasubjekterne, medmindre de kan bevise, at de ikke kan be- brejdes noget i anledning af den indtrufne hændelse/skade.
Det er vigtigt at sondre mellem de tilfælde, hvor (i) kun én dataan- svarlig eller databehandler er ansvarlig over for datasubjekterne, og
(ii) de tilfælde hvor flere dataansvarlige og/eller databehandlere er ansvarlige.
I de tilfælde, hvor der er flere ansvarlige, fastslår Forordningens arti- kel 82, stk. 4, nemlig, at flere skadevoldere er solidarisk ansvarlige for hele skaden over for datasubjektet. Datasubjektet kan derfor rette sit fulde krav mod hver enkelt af de solidarisk ansvarlige. Dette princip svarer til det, som kendes fra dansk rets almindelige erstatningsregler ved flere skadevoldere.8
Artikel 82, stk. 5, fastslår, at såfremt en skadevolder har betalt ”fuld erstatning for den forvoldte skade” kan denne ”… kræve den del af er- statningen, der svarer til andres del af ansvaret for skaden, tilbage fra de andre… .”
Det er ikke entydigt, hvad der skal forstås ved begrebet ”andres del af ansvaret” i artikel 82, stk. 5. Umiddelbart kunne det forstås som den pågældendes skyldgrad og dermed en fordeling, der er mere snæver i forhold til de kriterier, der anvendes i dansk ret, hvor erstat- ningsansvarslovens § 25, stk. 1, anfører, at fordelingen ”mellem flere solidarisk erstatningsansvarlige foretages efter, hvad der under hensyn til ansvarets beskaffenhed og omstændighederne i øvrigt må anses for rime-
ligt”, ligesom der efter erstatningsansvarslovens § 25, stk. 2, 2. pkt., kan ”tages hensyn til foreliggende ansvarsforsikringer”.
Af Justitsministeriets betænkning om Forordningen fremgår det, at artikel 82, stk. 4 og 5 (der skal ses i sammenhæng), suppleres af
erstatningsansvarslovens § 25.9 Altså må ”andres del af ansvaret” efter Justitsministeriets opfattelse forstås i overensstemmelse med de krite- rier, der i øvrigt er gældende i henhold til dansk ret ved fordeling af ansvar mellem flere solidarisk ansvarlige parter.
Selvom en sådan forståelse umiddelbart kan forekomme rimelig, kan den dog også anses for stridende imod hensigten med Forordningen, som er at skabe en ensartet retsstilling i EU. Det opnås ikke, hvis de enkelte EU-landes almindelige erstatningsregler skal inddrages. Et cen- tralt – og endnu uafklaret – spørgsmål bliver derfor, om EU-Domstolen vil fortolke ”andres del af ansvaret” som indeholdende en reference til nationale regresregler. Dette vil navnlig have betydning i forhold til, om der ved fordeling af erstatningsansvar mellem solidarisk ansvarlige dataansvarlige og databehandlere kan tages hensyn til eksisterende forsikringer.
Et andet centralt spørgsmål er, hvorvidt reglen i artikel 82, stk. 5, er præceptiv og dermed ikke kan fraviges ved aftale mellem den dataan- svarlige og databehandleren. Dette behandles nedenfor i afsnit 5.3.1.
Det kan tillige overvejes, om artikel 82, stk. 5, skal forstås efter sin ordlyd, således, at den ene skadevolder vitterlig skal have betalt fuld erstatning for skaden for at kunne gøre regres. Det kan næppe anta- ges, at være tilfældet. Der kan således tænkes tilfælde, hvor den ska- delidte ikke kræver erstatning for den fulde skade hos en enkelt skade- volder, eller hvor en enkelt skadevolder ikke er i stand til at betale den fulde erstatning. I sådanne tilfælde vil den pågældende skadevolder efter en streng ordlydsfortolkning være afskåret fra at søge regres mod de øvrige skadevoldere, hvilket næppe kan have været hensigten.10
I forhold til spørgsmålet om erstatning er det ligeledes relevant, om retten til godtgørelse i form af tort også er omfattet af artikel 82, stk.
1. Tortgodtgørelse er en godtgørelse for krænkelse af en persons selv- og æresfølelse, uden at vedkommende har lidt et økonomisk tab, jf. erstatningsansvarslovens § 26.
Dansk erstatningsret er generelt begrænset til dokumenterbare økonomiske tab, hvilket står i modsætning til godtgørelser, som ikke forudsætter et sådant tab, men som i stedet ydes som kompensation for en ikke-økonomisk krænkelse. For datasubjektet kan det være van- skeligt at føre bevis for et egentlig økonomisk tab i forbindelse med et brud på Persondatareglerne, hvorfor et krav om tortgodtgørelse er et mere nærliggende eller fristende alternativ. Dansk retspraksis tillader et sådant krav på godtgørelse og har hidtil typisk tilkendt tortgodtgø- relse i størrelsesordenen op til DKK 25.000.11
Artikel 82, stk. 1, i den danske udgave af Forordningen omtaler ”materiel og immateriel skade” 12, hvilket ud fra en sproglig fortolk- ning også kunne ses at omfatte tort. Justitsministeriet har imidlertid i sin betænkning om Forordningen anført, at der ikke er tilstrækkeligt
grundlag for at antage, at artikel 00, xxx. 0, omfatter tortgodtgørelse. Ministeriet anfører i stedet, at en sådan tortgodtgørelse må henføres til artikel 84, der giver national ret mulighed for at fastsætte andre sanktioner for et brud på datasikkerheden.13
En sådan sondring vil have den konsekvens, at et krav på tortgodt- gørelse ikke vil være undergivet et præsumptionsansvar men derimod almindelige bevisbyrderegler, hvor det vil være op til datasubjekterne at løfte bevisbyrden for det fornødne ansvarsgrundlag hos enten den dataansvarlige eller databehandleren.
Da tortgodtgørelse i praksis er det retsmiddel, der anvendes til at kompensere datasubjekter i tilfælde af sikkerhedsbrister og lignende, er det sandsynligt, at EU-Domstolen vil have en anden holdning til, hvad der er omfattet, navnlig under hensyntagen til princippet om ef- fektive retsmidler.
4. Typiske aftalebestemmelser til regulering og fordeling af ansvaret
4.1 Overordnet
De bestemmelser, der regulerer og fordeler ansvaret i aftalerelationer mellem en dataansvarlig og en databehandler, vil typisk findes uden for databehandleraftalen. Der er ikke noget til hinder for at have sær- skilte bestemmelser i databehandleraftalen, der udelukkende regulerer brud på Persondatareglerne, mens øvrige ansvarsforhold reguleres i hovedaftalen. Det vil dog i langt de fleste tilfælde være hensigtsmæs- sigt at samle bestemmelserne om erstatningsansvar og skadesløshol- delse i hovedaftalen for at sikre konsistens og overblik over, hvad der er aftalt. I modsat fald kan der opstå uheldige tvivlsspørgsmål – ek- sempelvis om hvorledes ansvaret for fortrolighed skal håndteres.
I de fleste aftaler vil der typisk være to typer af bestemmel- ser, der regulerer og fordeler ansvaret: (i) bestemmelser om
ansvarsbegrænsning/-fraskrivelse (”Liability” eller ”Limitation of liabi- lity”), og (ii) bestemmelser om skadesløsholdelse (”Indemnification”).
4.2 Ansvarsbegrænsninger/-fraskrivelser
Typisk vil en part forsøge at begrænse eller fraskrive sig sit (erstat- nings)ansvar således, at ansvaret ikke kan overstige et eller flere ansvarslofter (såkaldte ”caps”), og således at kun de direkte tab er dækket.
Ved at begrænse tabet til de direkte tab fraskrives ansvaret for de indirekte tab. Der er ikke nogen entydig sondring mellem direkte og indirekte tab i dansk ret, men indirekte tab vil – som navnet antyder
– typisk ikke være en direkte konsekvens af en skadevoldende hand- ling (eller undladelse). Det kunne eksempelvis være omdømmetab (goodwill-/imagetab), tabt fortjeneste, driftstab eller tab af data.
Normalt vil også ansvaret for følgeskader og konsekvenstab fraskrives
ved aftale. Udtrykkene indirekte tab, følgeskader og konsekvenstab anvendes ofte synonymt, men det kan ikke udelukkes, at de efter en sproglig forståelse kan omfatte forskellige ting. Således kan ”indi- rekte tab” faktisk være en snævrere afgrænsning end ”følgeskader” og ”konsekvenstab”. Ofte forsøger parterne i ansvarsbegrænsningen at specificere og eksemplificere, hvilke tab der skal anses for indirekte tab, følgeskader og konsekvenstab for at reducere en senere usik- kerhed.
En beløbsmæssig begrænsning af ansvaret med ansvarslofter (caps) kan udformes på forskellig vis. Særskilte lofter kan eksempelvis aftales for hver enkelt skade, ligesom der også kan aftales et samlet loft for alle skader. Det typiske er (blot) et samlet loft for alle skader. Den beløbsmæssige begrænsning kan enten skrives ind som et fast beløb eller sættes i forhold til kontraktforholdets størrelse (oftest svarende til 12-24 måneders samlet omsætning i kontraktforholdet mellem par- terne i perioden forud for skadens indtræden).
Det varierer om aftalte ansvarsbegrænsninger/-fraskrivelser er gensi- dige, eller om de kun gælder i forhold til leverandøren (databehand- leren).
Aftalte ansvarsbegrænsninger/-fraskrivelser har kun virkning mellem parterne i aftalen. Det er således ikke muligt at gøre aftalte ansvarsbe- grænsningerne gældende over for en tredjemand, der ikke er part i af- talen. Den dataansvarlige og databehandleren kan således ikke i deres indbyrdes forhold aftale begrænsninger/fraskrivelser med virkning for datasubjekterne.
4.3 Skadesløsholdelse
Ved en skadesløsholdelse forstås en bestemmelse, hvorved én part lover at dække en anden parts tab, såfremt bestemte forhold skulle indtræde.14
Traditionelt har sådanne skadesløsholdelsesbestemmelser i IT-kon- trakter været begrænset til tab påført en part ved krænkelse af andres immaterielle rettigheder og fortrolighed, men i stigende omfang ses de nu også at omfatte friholdelse for krav som følge af brud på Per- sondatareglerne.
En skadesløsholdelse er typisk ikke begrænset til kun at omfatte di- rekte tab, idet den skal dække (hele) det krav, der udløses.
I aftaler med både ansvarsbegrænsningsbestemmelser og skades- løsholdelsesbestemmelser skal der tages stilling til, hvorvidt aftalte ansvarslofter (caps) skal gælde i forhold til skadesløsholdelse. Tidligere var dette ikke sædvanligt men det forhold, at skadesløsholdelsesbe- stemmelser i stigende omfang regulerer andet end krænkelse af im- materielle rettigheder, har gjort det mere sædvanligt at aftale lofter (caps) for skadesløsholdelsens omfang.
Nogle gange vil skadesløsholdelsen være gensidig og gælde begge parter (det vil i denne sammenhæng sige både den dataansvarlige og databehandleren).
18 Regulering af ansvaret ved behandling af personoplysninger
Revision & Regnskabsvæsen nr. 4 · 2018 Revision & Regnskabsvæsen nr. 4 · 2018
Regulering af ansvaret ved behandling af personoplysninger 19
Spørgsmålet om et ansvarslofts virkning kan også overvejes i de tilfælde, hvor kun den ene part er ansvarlig for bruddet (i modsætning til eksemplet, hvor parterne er solidarisk ansvarlige). Hvis kun én af parterne er ansvarlig – men der mellem parterne er aftalt et ansvarsloft til fordel for den ansvarlige – kunne den ansvarlige part ud fra en formålsfortolkning hævde, at den del af kravet fra datasubjekterne, der overstiger ansvarsloftet, skal bæres af den anden part. En sådan (byrdefuld) formålsfortolkning må dog klart have formodningen imod sig, jf. også punkt 5.3.2. En sådan overvæltning af kravet til en ikke-ansvarlig part, må derfor kræve en særskilt skadesløsholdelse.
4.4 Samspillet mellem ansvarsbegrænsninger/-fraskrivelser og skadesløsholdelse
Samspillet mellem de to typer af bestemmelser kan illustreres med et eksempel:
Et brud på Persondatareglerne har medført, at en gruppe af datasubjekter kan rette et krav mod både den dataansvarlige og databehandleren, da de er solidarisk ansvarlige for det pågældende brud.
Kravet udgør samlet DKK 1.000.000, og den dataansvarlige og data- behandlerens anses i eksemplet for ligeligt ansvarlige for bruddet (hvil- ket i mangel af anden regulering vil medføre, at kravet skal fordeles med 50 % til den dataansvarlige og 50 % til databehandleren).
Der er imidlertid mellem den dataansvarlige og databehandleren som led i en ansvarsbegrænsning aftalt et loft (cap), der gør, at da- tabehandlerens erstatningsansvar ikke kan overstige DKK 250.000. Loftet gælder kun i forhold til databehandleren.
Datasubjektet retter i første omgang (kun) kravet mod den data- ansvarlige, som betaler det fulde beløb på DKK 1.000.000. Den da- taansvarlige rejser herefter et regreskrav mod databehandleren. Som udgangspunkt vil den dataansvarlige kunne rette et krav mod databe- handleren på DKK 500.000 som følge af fordelingen af det solidariske ansvar, men hvis det aftalte ansvarsloft lægges til grund, vil den data- ansvarlige kun kunne søge regres for DKK 250.000.
Ændres eksemplet således, at datasubjektet i første omgang kun ret- ter kravet mod databehandleren, som betaler det fulde beløb på DKK 1.000.000, er spørgsmålet, om databehandleren vil kunne gøre regres mod den dataansvarlige for DKK 750.000 svarende til den del, der overstiger den aftalte beløbsbegrænsning.
Den dataansvarlige kunne i den forbindelse indvende, at den aftalte beløbsbegrænsning for databehandlerens ansvar ikke giver databe- handleren ret til at gøre et (omvendt) regreskrav gældende mod
den dataansvarlige for så vidt angår det beløb, der overstiger DKK
500.000 svarende til den dataansvarliges skyldandel. Der kan argumenteres begge veje:
På den ene side kan det ud fra en formålsfortolkning hævdes, at det aftalte ansvarsloft må være udtryk for parternes ønske om en fordeling, og at denne fordeling ikke bør afhænge af, hvem datasub- jektet retter sit krav imod. Det aftalte ansvarsloft må således indebære en fuldstændig fordeling af ansvaret parterne imellem, hvorved da- tabehandleren kun skal bære op til DKK 250.000. I modsat fald vil fordelingen af ansvaret blive ganske arbitrær og afhænge af, hvem datasubjektet i første omgang retter sit krav imod.15
På den anden side kan det hævdes, at ansvarsbegrænsninger i henhold til dansk ret generelt fortolkes indskrænkende. Når parterne således ikke har taget stilling til spørgsmålet, kan det virke vidtgående, at ansvarsloftet også giver mulighed for at videreføre et krav i videre omfang end, hvad følger af almindelige regresregler. Både den data- ansvarlige og databehandleren har således et selvstændigt ansvar over
for datasubjekterne, hvorfor et ansvarsloft ikke skal kunne benyttes til at videreføre et sådant ansvar.
I mangel af en klar regulering i parternes aftale, må retsstillingen betegnes som usikker, og det må derfor anbefales, at parterne tager udtrykkeligt stilling til spørgsmålet i aftalen.
Såfremt den dataansvarlige og databehandleren i eksemplet havde aftalt en skadesløsholdelse i tillæg til ansvarsbegrænsningen, hvorved den dataansvarlige skulle friholde databehandleren for de krav, som databehandleren måtte blive mødt med af datasubjekter, og som ville overstige DKK 250.000, vil der være et sikkert grundlag – i særdeleshed for den del, der overstiger DKK 500.000 svarende til den dataansvarli- ges andel, og dermed for det samlede regreskrav på DKK 750.000.
Spørgsmålet om et ansvarslofts virkning kan også overvejes i de til- fælde, hvor kun den ene part er ansvarlig for bruddet (i modsætning til eksemplet, hvor parterne er solidarisk ansvarlige). Hvis kun én af parterne er ansvarlig – men der mellem parterne er aftalt et ansvars- loft til fordel for den ansvarlige – kunne den ansvarlige part ud fra en formålsfortolkning hævde, at den del af kravet fra datasubjekterne, der overstiger ansvarsloftet, skal bæres af den anden part. En sådan (byrdefuld) formålsfortolkning må dog klart have formodningen imod sig, jf. også punkt 5.3.2. En sådan overvæltning af kravet til en ikke- ansvarlig part, må derfor kræve en særskilt skadesløsholdelse.
Spørgsmålet om, hvorvidt skadesløsholdelse for brud på Persondata- reglerne overhovedet kan aftales i forhold til krav omfattet af Forord- ningen, behandles nedenfor i afsnit 5.
Det skal dog allerede her nævnes, at danske domstole nok vil være tilbøjelige til – i lighed med ansvarsbegrænsninger – at fortolke ska- desløsholdelsesbestemmelser indskrænkende, hvorfor parterne nøje bør overveje den konkrete formulering.
Det er således ikke udelukket, at en dansk domstol i mangel af kon- krete holdepunkter for det modsatte vil fortolke en almindeligt (ge- nerelt) formuleret bestemmelse om skadesløsholdelse således, at den ikke finder anvendelse på krav, for hvilke modtageren af skadesløshol- delsen (også) har et selvstændigt ansvar. Med andre ord vil en sådan skadesløsholdelsen ikke ”bare” kunne bruges til at ”overvælte” sit eget selvstændige ansvar til den anden part.
I eksemplet med det solidariske ansvar oven for er det således ikke givet, at en almindelig (generel) bestemmelse om skadesløsholdelse for brud på Persondatareglerne afgivet af den dataansvarlige til fordel for databehandleren vil kunne anvendes af databehandleren til at vi- dereføre den del af kravet, som databehandleren har et selvstændigt ansvar for, efter almindelige regler (svarende til i alt DKK 500.000), til den dataansvarlige.
I de tilfælde, hvor kun én af parterne er ansvarlig over for datasub- jekterne, vil en almindelig (generel) bestemmelse om skadesløsholdel- se ligesom det er tilfældet med almindelige ansvarslofter, jf. ovenfor, i endnu mindre grad kunne benyttes som grundlag for overvæltning til den ikke-ansvarlige part.
Der kan konstrueres mange eksempler vedrørende aftalebestemmel- ser om ansvarsbegrænsninger/-fraskrivelser og skadesløsholdelse, der kan give anledning til tvivlsspørgsmål. Det må derfor generelt tilrådes, at man nøje overvejer sådanne bestemmelser og den konkrete ordlyd i forbindelse med aftaleindgåelsen.
5. Regulering af de forskellige typer af ansvar
5.1 Bødeansvar
Som nævnt i afsnit 3.2 er der ikke hæftelsesansvar for udstedte bøder, og parterne i en databehandlerrelation er derfor i den henseende som udgangspunkt alene ansvarlige for egne fejl og forsømmelser.
En part kan via en bestemmelse om skadesløsholde forsøge at over- vælte sit ansvar for bøder til den anden part (altså overføre den øko- nomiske konsekvens af bøden uden at der er noget at bebrejde den anden part).
Det kan endvidere overvejes, om den bødefældte kan videreføre (omkostningerne til) bøden ud fra erstatningsretlige synspunkter. Der kan tænkes situationer, hvor en bøde ifaldes som følge af handlinger eller undladelser, som er begrundet i mangelfulde oplysninger eller mangelfuld rådgivning fra modparten, og hvor der således er noget at bebrejde den pågældende part.
Den danske straffelov har imidlertid gjort op med dette. Straffelo- vens § 50, stk. 3, angiver, at: ”Den bødefældte kan ikke kræve bøden betalt eller erstattet af andre”. Det er således fastslået, at kun modtage- ren af bøden kan og må afholde bøden.
Det følger endvidere af forarbejderne til bestemmelsen, at den navn- lig tager sigte på tilfælde, hvor den bødefældte ud fra erstatningsret- lige synspunkter kan gøre gældende, at en anden skal erstatte tabet, og at den afskærer sådanne tilfælde af kompensation.16
En skadesløsholdelsesbestemmelse for bøder vil således ikke kunne håndhæves i henhold til dansk ret, ligesom det heller ikke er muligt for en part at ”videresende” bøden ud fra erstatningsretlige syns- punkter.
Straffelovens § 50, stk. 3, eliminerer derfor reelt muligheden for afta- lemæssig regulering og fordeling af bødeansvaret.
I den forbindelse er det værd at fremhæve, at (i) det følger af artikel 83, stk. 1, at bøderne skal stå ”i rimeligt forhold til overtrædelsen”, og at (ii) artikel 83, stk. 2, fastslår, at der ved afgørelse om, hvorvidt der skal pålægges bøde og størrelsen heraf, skal tages behørigt hensyn
til bl.a. ”hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt”, ”grad af ansvar under hensyntagen til tekniske og organisatoriske foran- staltninger i henhold til artikel 25 og 32” og ”om der er skærpende eller formildende faktorer ved sagens omstændigheder”.
Hvis en parts overtrædelse derfor beror på mangelfulde oplysninger
20 Regulering af ansvaret ved behandling af personoplysninger
Revision & Regnskabsvæsen nr. 4 · 2018 Revision & Regnskabsvæsen nr. 4 · 2018
Regulering af ansvaret ved behandling af personoplysninger 21
Uanset at bødeansvaret som følge af ovenstående i henhold til dansk ret ikke kan videreføres ved aftaleregule- ring, kan det ikke udelukkes, at der i internationale kontraktforhold kan være grundlag for overvælte eller videre- sende en bøde i henhold til andre landes retsregler. Derfor bør der også af denne grund haves særlig opmærk- somhed på lovvalg og værneting. Det er dog sandsynligt, at en dansk domstol, der bliver bedt om at fuldbyrde en udenlandsk dom om overvæltning eller videresendelse af en bøde, vil afvise en sådan fuldbyrdelse med hen- visning til grundlæggende danske retsprincipper (”ordre public”) om, at et bødeansvar ikke kan overvæltes eller videreføres.
eller mangelfuld rådgivning fra modparten, er der i hvert fald mu- lighed for, at der kan tages hensyn til dette i forbindelse med bøde- spørgsmålet.
Forarbejderne til straffeloven åbner dog en (teoretisk) mulighed for at kunne videreføre et bødekrav. Det angives således, at straffelovens § 50, stk. 3, alene gælder for den bødefældte, men ikke for en eventuel bødehæftende, hvilket vil sige personer, der civilretligt hæfter for beta- lingen af en bøde, som er pålagt det umiddelbare strafsubjekt.17 For- arbejderne henviser dog kun til (ældre) lovbestemte bødehæftelsestil- fælde, og det må – da Forordningen ikke opererer med bødehæftelse
– derfor anses for tvivlsomt, om – og i hvilket omfang – den vil kunne benyttes i forbindelse med et brud på Persondatareglerne.
Uanset at bødeansvaret som følge af ovenstående i henhold til dansk ret ikke kan videreføres ved aftaleregulering, kan det ikke udelukkes, at der i internationale kontraktforhold kan være grundlag for overvælte eller videresende en bøde i henhold til andre landes retsregler. Derfor bør der også af denne grund haves særlig opmærksomhed på lovvalg og værneting.18 Det er dog sandsynligt, at en dansk domstol, der bli- ver bedt om at fuldbyrde en udenlandsk dom om overvæltning eller videresendelse af en bøde, vil afvise en sådan fuldbyrdelse med hen- visning til grundlæggende danske retsprincipper (”ordre public”) om, at et bødeansvar ikke kan overvæltes eller videreføres.19
5.2 Inter partes ansvar
Inter partes erstatningsansvaret mellem den dataansvarlige og data- behandleren er som anført ovenfor i afsnit 3.3 ikke et ansvar, der er reguleret af Forordningen. Der er tale om et almindeligt erstatnings- ansvar for kontraherende parter. Forordningen sætter derfor ikke som sådan begrænsninger i forhold til ansvarsregulering og -fordeling mel- lem parterne.
I forhold til inter partes ansvaret vil navnlig bestemmelser om ansvarsbegrænsninger/-fraskrivelser være relevante.
Sådanne bestemmelser er primært begrundet i risikobetragtninger. Oftest bliver disse fremført af leverandøren i et kunde-leverandørfor- hold. I en databehandlerrelation kan det imidlertid også tænkes, at den dataansvarlige vil kunne pådrage sig et ansvar over for databe- handleren, hvilket taler for at overveje gensidighed i de aftalte ansvars- begrænsninger. Det ses i den sammenhæng ofte, at parterne – under hensyntagen til risikoprofilen – aftaler et særligt ansvarsloft (”super cap”) for krav vedrørende brud på Persondatareglerne.
Udgangspunktet i dansk ret er, at sådanne ansvarsbegrænsninger/- fraskrivelser aftalt i kommercielle aftaleforhold er gyldige.20 Når
inter partes ansvaret samtidig falder uden for Forordningen, ændrer Forordningen ikke herpå i forhold til inter partes ansvaret. I afsnit
5.3.1 omtales visse generelle begrænsninger, som også gælder ansvarsbegrænsninger/-fraskrivelser ved inter partes ansvaret.
5.3 Krav fra datasubjekter
I forhold til krav fra datasubjekter kan der principielt tænkes to situa- tioner: Enten er den dataansvarlige og en eller flere databehandlere solidarisk ansvarlige over for datasubjekterne, eller også har kun den ene part pådraget sig et sådant ansvar.
5.3.1 Solidarisk ansvar
Forordningens artikel 82, stk. 5, tager ikke stilling til, hvorvidt bestem- melsen er præceptiv og dermed ikke kan fraviges ved forudgående aftale.
Justitsministeriets betænkning om Forordningen angiver forholdsvis klart, at sådanne regresaftaler kan indgås, når national ret giver mulig- hed for det.21
I dansk ret er muligheden for at regulere ansvaret mellem flere soli- darisk ansvarlige skadevoldere behandlet i erstatningsansvarslovens § 27, stk. 2, 2. pkt. Her fastslås det, at når flere solidarisk ansvarlige er erhvervsdrivende, har de mulighed for at indgå aftaler, der fraviger de almindelige principper om fordeling af ansvaret mellem solidarisk ansvarlige.
Hvis tortgodtgørelse – som antaget af Justitsministeriet – ikke omfat- tes af artikel 82 i Forordningen, vil reglen i erstatningsansvarslovens
§ 27, stk. 2, 2. pkt., i øvrigt være direkte anvendelig på krav om tort- godtgørelse med flere solidarisk ansvarlige.22
Justitsministeriet lægger i forhold til fravigeligheden af artikel 82, stk. 5, afgørende vægt på, at det ikke stiller datasubjekterne ringere, og at det gør det lettere at opnå forsikringsdækning.
I forhold til Justitsministeriets bemærkninger kan det indvendes, at en sådan fortolkning kan medvirke til at underminere det overordnede beskyttelseshensyn bag Forordningen.
Det kan således hævdes, at en overvæltning af det økonomiske ansvar reelt indebærer en fragåelse af de forpligtelser, der efter Forord- ningen påhviler henholdsvis den dataansvarlige og databehandleren.
Selvom datasubjektet ganske vist ikke bliver stillet ringere i forhold til at opnå fuld dækning for sit krav, kan det ligeledes – i hvert fald
teoretisk – indvendes, at risikoen for et brud stiger, såfremt en part har mulighed for at overvælte sit ansvar, da den pågældendes incitament til at overholde reglerne samtidig svækkes. Omvendt må det også an- erkendes, at eventuelle omdømmemæssige konsekvenser for en part som følge af et brud i sig selv kan have en (stor) præventiv effekt.
I forhold til inter partes ansvaret, hvor parterne i høj grad selv bærer konsekvenserne som følge af et brud på datasikkerheden, er der her tale om konsekvenser for en udenforstående tredjemand (datasubjek- tet), der i øvrigt ofte har status af ”forbruger”, som generelt tildeles en forholdsvis høj grad af beskyttelse.
Reglerne om produktansvar giver anledning til tilsvarende pro- blemstillinger, og der er i den danske produktansvarslov § 12 indsat begrænsninger for så vidt angår forudgående fravigelser til ugunst for
ikke blot for skadelidte, men også for den mellemhandler, der indtræ- der i skadelidtes krav.
Baggrunden er blandt andet, at det ikke skal være muligt for en producent, at (mis)bruge sin markedsposition til at lave aftaler, der medfører, at tabet reelt bæres af andre. I persondatasammenhæng er problemstillingen særligt relevant i relation til store tech-firmaer, som med deres markedsposition må forventes at kunne diktere standard- vilkår med vidtgående bestemmelser om placering af ansvaret hos medkontrahenter.
Dansk rets udgangspunkt er imidlertid, at bestemmelser, der fastlæg- ger retsforholdet mellem en aftales parter, er deklaratoriske (altså kan fraviges), mens bestemmelser, der fastlægger retsvirkninger overfor tredjemand, er præceptive.23
Det ville således have været naturligt, at det udtrykkeligt havde fremgået af Forordningen, hvis ønsket var, at artikel 82, stk. 5, skulle være præceptiv. Dette er – som bekendt – ikke tilfældet.
På baggrund af ovenstående er det forfatternes vurdering, at det for- mentligt er muligt for en dataansvarlig og en databehandler at fravige artikel 82, stk. 5, ved forudgående aftale. Bestemmelsen skal således ikke anses for præceptiv.24
I lighed med hvad der efter dansk ret gælder for inter partes ansvaret, vil der dog være visse begrænsninger i parternes aftalefrihed. Det vil således i almindelighed hverken være muligt at fraskrive sig ansvaret for forsætlige eller groft uagtsomme forhold. På samme måde vil det hel- ler ikke i almindelighed være muligt at reducere sit ansvar i et omfang, hvor incitamentet til at varetage sine forpligtelser reelt er elimineret.25
Aftalelovens § 36 og læren om bristede forudsætninger åbner gan- ske vist mulighed for indgriben, hvis parternes aftale er urimelig, men det skal samtidig nævnes, at de danske domstole kun undtagelsesvis bringer disse regler i anvendelse i kommercielle aftaleforhold. Det kunne måske være tilfældet, hvis antallet af datasubjekter, der er gen- stand for behandling, udvikler sig væsentligt – og mere end parterne med rimelighed kunne have forudsat – i løbet af aftalens løbetid, eller hvis en part med en meget lille del af skyld utilsigtet eller uforvarende kommer til at bære langt den største del af tabet. Det vil dog i sidste ende bero på de konkrete omstændigheder.
5.3.2 Intet solidarisk ansvar
Hvis der kun er én ansvarlig over for datasubjektet, kan datasubjektet kun rette kravet mod den pågældende.
Da der ikke er noget solidarisk ansvar, finder hverken reglerne i For- ordningens artikel 82, stk. 5, eller erstatningsansvarslovens § 25 og § 27 anvendelse.
Spørgsmålet bliver derfor, om den, der pådrager sig et sådant ansvar over for datasubjekterne alligevel ud fra risikobetragtninger kan indgå aftale om at overvælte dette ansvar helt eller delvist til en medkontra- hent.
Hvis der i aftalen mellem den dataansvarlige og databehandleren er medtaget en generelt formuleret skadesløsholdelsesbestemmelse for brud på Persondatareglerne, må det – som anført ovenfor i afsnit 4.4
– forventes, at den vil blive fortolket indskrænkende og dermed som udgangspunkt ikke vil kunne benyttes til at overvælte et krav fra da- tasubjekter til den anden part, når denne anden part i øvrigt ikke har noget selvstændigt ansvar for bruddet.
Hvis skadesløsholdelsesbestemmelsen derimod udtrykkeligt fastslår, at den også omfatter et brud på Persondatareglerne, der ikke er for- årsaget af den part, der har lovet at skadesløsholde den anden part, opstår spørgsmålet om, hvorledes domstolene så vil forholde sig.
I modsætning til det solidariske ansvar over for datasubjekterne som behandlet ovenfor i afsnit 5.3.1, er der ikke tale om en egentlig forud- gående regresaftale, som – i hvert fald i dansk ret – anerkendes i kom- mercielle forhold i henhold til erstatningsansvarsloven, men de samme overvejelser som beskrevet ovenfor i afsnit 5.3.1 vil selvsagt i endnu højere grad gøre sig gældende.
Inden for visse industrier ses bredere ansvarsbegrænsninger/-fraskri- velser. Dette gælder eksempelvis olie- og gasindustrien, hvor der ope- reres med det såkaldte ”knock-for-knock” princip. Princippet går ud på, at ”ethvert tab bæres af den part, som aftalemæssigt har påtaget sig skadesrisikoen, og ikke – som det følger af dansk rets almindelige erstat- ningsregler – hos skadevolderen” og indebærer blandt andet en ”gensidig skadesløsholdelse for krav, som modparten har måtte afholde til dækning af krav fra… tredjemand, som efter den aftalte fordeling endeligt skal bæres af parten”.26
Sådanne klausuler beror på de særlige forhold i olie- og gasindu- strien, hvor aktiviteterne er forbundet med en væsentlig risiko, hvilket kunne få aktører i markedet til helt at afholde sig fra sådanne aktivi- teter, hvis ikke en vidtgående og ”liberal” aftaleregulering blev aner- kendt. Endvidere ville omkostningerne blive væsentligt forøgede, hvis parterne, hver for sig, på grund af risikoen skulle søge forsikring for de samme risici. Disse særlige aspekter i offshore branchen kan næppe overføres direkte på andre brancher og behandlingen af knock-for- knock klausuler i henhold til dansk ret er i øvrigt også uafklaret.
Med udgangspunkt i aftalefriheden burde det i princippet være mu- ligt at overvælte ansvaret til den anden part, selvom denne er uden skyld. Der er i så fald tale om en aftalt risikofordeling og allokering, og det er i den forbindelse værd at erindre, at en sådan overvæltning
– ligesom ved det solidariske ansvar – ikke umiddelbart påvirker data- subjekterne.
Det må imidlertid forventes, at domstolene vil nære stor betænke- lighed ved at acceptere sådanne vilkår uden videre. Det må derfor forventes, at domstolene vil stille store krav til klarhed og i høj grad inddrage øvrige omstændigheder, eksempelvis om der er tale om et forhandlet vilkår, om der er ydet (ekstra) vederlag eller lignende som baggrund for skadesløsholdelsen, om parterne har drøftet eller taget stilling til forsikringsmæssige forhold etc. Ordlyden af bestemmelser
22 Regulering af ansvaret ved behandling af personoplysninger
Revision & Regnskabsvæsen nr. 4 · 2018 Revision & Regnskabsvæsen nr. 4 · 2018
Regulering af ansvaret ved behandling af personoplysninger 23
om overvæltning bør derfor være meget klar og præcis, hvis domsto- lene skal lægge dem til grund.
De aftaleretlige begrænsninger nævnt ovenfor i afsnit 5.3.1 vil stadig gøre sig gældende, og en overvæltning kan derfor ikke ske ved grov uagtsomhed eller fortsæt, ligesom en part fortsat bør have en eller anden form incitament til at opfylde sine forpligtelser.
6. Sammenfatning
Når Forordningen finder anvendelse fra den 25. maj 2018 aktualiseres en række spørgsmål om ansvarsfordeling og -regulering mellem den dataansvarlige og databehandleren.
I denne artikel sondres der mellem tre former for tab og økonomisk ansvar, nemlig (i) bødeansvar, (ii) inter partes ansvar, og (ii) krav fra datasubjekter.
Bødeansvaret har den dataansvarlige og databehandleren i henhold til dansk ret ikke mulighed for regulere og fordele mellem sig som følge af straffelovens § 50, stk. 3. Det skal samtidig nævnes, at bøder (kun) vil blive udstedt til den part, der har forsømt sine forpligtelser, og at parterne ikke hæfter for hinandens bøder. Såfremt et bødeansvar kan overvæltes efter udenlandsk ret, kan en dansk domstol sandsynlig- vis afvise at fuldbyrde et sådant krav ud fra ordre public betragtninger.
Da inter partes ansvaret falder uden for Forordningen, vil det være de almindelige regler for ansvarsfordeling og -regulering, der gælder. I dansk ret er udgangspunktet, at parterne i kommercielle forhold frit kan aftale en sådan regulering og fordeling, dog med forbehold for eksempelvis grov uagtsomhed og fortsæt.
Kravene fra datasubjekter giver anledning til de fleste uafklarede spørgsmål og overvejelser. Det er således blandt andet uklart (i) om tortgodtgørelse er omfattet af Forordningens artikel 82, stk. 1, og (ii) hvad der ligger i begrebet ”andres del af ansvaret” i artikel 82, stk. 5, i tilfælde af solidarisk ansvar, herunder om der – som tilfældet er i dansk ret – kan tages hensyn til ansvarsforsikringsdækning, jf. erstatningsan- svarslovens § 25, stk. 2, 2. pkt. Der er endvidere ikke i Forordningen taget stilling til, om artikel 82, stk. 5, kan fraviges ved aftale mellem den dataansvarlige og databehandleren. Det er dog forfatternes vur- dering, at en sådan regresaftale om fordeling af det solidariske ansvar over for datasubjekterne formentlig er mulig. I de tilfælde, hvor kun én af parterne er ansvarlig, har parterne i princippet også mulighed for at aftale en overvæltning af ansvaret over for datasubjekterne, men det må forventes, at domstolene vil nære stor betænkelighed ved at lægge vilkår om overvæltning til grund, medmindre grundlaget er tilstrækkeligt klart og rimeligt. De ”almindelige” begrænsninger i hen- hold til dansk ret vedrørende grov uagtsomhed og fortsæt samt om incitament til at opfylde sine forpligtelser vil fortsat gælde.
Når parterne regulerer og fordeler ansvaret imellem sig, bør de nøje holde sig betydningen og virkningen af et aftalt ansvarsloft (cap) og en skadesløsholdelse for øje.
For så vidt angår tilfælde, hvor kun én af parterne er ansvarlig, kan det ikke antages, at den ansvarlige part kan benytte et ansvarsloft af- talt som led i en ansvarsbegrænsning til at overvælte sit eget ansvar til den anden part. Er parterne solidarisk ansvarlige, er det usikkert, om et generelt ansvarsloft vil kunne danne grundlag for (omvendt) regres. Hvis det er hensigten, at der skal være regres eller ske overvæltning i forhold til krav fra datasubjekterne, bør parterne derfor supplere an- svarsbegrænsningerne med en bestemmelse om skadesløsholdelse.
Der vil endvidere nok være en tilbøjelighed til at fortolke en almin- deligt (generelt) formuleret skadesløsholdelsesbestemmelse indskræn- kende, således at den ikke finder anvendelse på krav, for hvilke modta- geren af skadesløsholdelsen (også) har et selvstændigt ansvar. Parterne bør derfor sikre sig, at ordlyden af skadesløsholdelse er tilstrækkelig klar og præcis i lyset af parternes faktiske intentioner.
Noter
1 Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysnin- ger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
2 Cloudbaserede ydelser er nærmere beskrevet i Xxxxx Xxx. Xxxxxxxxx, Xxx Xx- dersen, Xxxxx Xxxxxxxx og Xxxxx Xxxxxxxxx, ”Cloud Computing kontrakter
– Vejledning om juridiske, kommercielle og tekniske forhold i aftaler om Cloud Computing”, 2. udgave, 2016.
3 I Forordningen bruges begrebet ”den registrerede” om den person, der be- handles oplysninger om. I denne artikel bruges imidlertid begrebet ”datasubjek- tet”.
4 Se nærmere om dataansvarlige og databehandlere i Justitsministeriets og Da- tatilsynets ”Vejledning om dataansvarlige og databehandlere” fra november 2017: xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxx/xxxx_xxxxxx/xxxxxxxxxx/Xxxxxxxxxxxx/ Vejledning_om_dataansvarlige_og_databehandlere_-_endelig_version.pdf
5 Det skal bemærkes, at dansk ret ikke i almindelighed giver mulighed for, at administrative myndigheder udsteder bøder. Derfor må Datatilsynet som den kompetente myndighed i Danmark benytte fremgangsmåden i Forordningens artikel 83, stk. 9, ved at indgive politianmeldelse og herefter lade domstolene pålægge bøden eller benytte sig af muligheden for at udstede et bødeforlæg.
6 Forordningens artikel 82, stk. 1, giver ”enhver” ret til erstatning, hvilket prin- cipielt også omfatter den dataansvarlige eller den databehandler, der har lidt skade/tab som følge af den anden parts brud på Persondatareglerne. Det har dog næppe været hensigten med denne bestemmelse at regulere inter partes ansvaret.
7 Dette udgangspunkt følger af princippet om aftalers relativitet. Se hertil Xxxx Xxxxx Xxxxxxxx og Xxxxxx Xxxxxxxxx, Lærebog i Obligationsret I, 4. udgave, 2015, s. 433 ff.
8 Se hertil Bo von Xxxxx og Xxxxx Xxxxxx, Lærebog i Erstatningsret, 8. udgave, 2015, s. 458-459.
9 Justitsministeriet, Databeskyttelsesforordningen og de retlige rammer for dansk lovgivning, Betænkning nr. 1565/2017, Del I, bind 2, s. 914.
10 Det åbner imidlertid spørgsmålet, om regressen efter Forordningens artikel 82 skal gennemføres som såkaldt brøkdelsregres eller overskudsregres. Ved over- skudregres er det en forudsætning, at den pågældende skadevolder har betalt mere end sin respektive andel, før denne kan gøre regres mod de øvrige (for den overskydende del). Ved brøkdelsregres vil skadevolderen have regres for et- hvert betalt beløb. Spørgsmålet synes at være uafklaret i praksis. Se hertil også: Xxxxxxx Xxxxxx og Xxxxxxx Xxxxxxx, Obligationsret 4. del, 2. udgave, 2017, s. 68-71 samt Xxxx Xxxxxx og Xxxxxxx X. Xxxxxxx, Erstatningsansvarsloven, 6. ud- gave, 2002, s. 544.
11 Se f.eks. U2011.2343H
12 xxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/?xxxxxxxxx:00000X0000
13 Justitsministeriet, Databeskyttelsesforordningen og de retlige rammer for dansk lovgivning, Betænkning nr. 1565/2017, Del I, bind 2, s. 912-913 (samt redegø- relsen på de forudgående sider).
14 Xxxx Xxxxx Xxxxxxxx, Praktisk Aftaleret, 4. udgave, 2015, s. 397.
15 Se hertil også Xxxxxxx Xxxxxxxxx, Omvendt regres i produktansvarsretten, U 2014B.7.
16 Straffelovsrådets betænkning om juridiske personers bødeansvar, Betænkning nr. 1289/1995, s. 196.
17 Straffelovsrådets betænkning om juridiske personers bødeansvar, Betænkning nr. 1289/1995, s. 28-30, 171, og 174-175.
18 Det kan i den forbindelse dog nævnes, at artikel 7, stk.1 i Rom Konventionen (som finder anvendelse i dansk ret) og artikel 9, stk. 3, i Rom I Forordningen (som finder anvendelse i de øvrige EU lande, men ikke i Danmark som følge af det danske retsforbehold) undtagelsesvis giver mulighed for at tillægge præcep- tive bestemmelser i andre landes ret virkning.
19 Jf. princippet i artikel 34, nr. 1, i Bruxelles I Forordningen
20 Xxxx Xxxxx Xxxxxxxx og Xxxxxx Xxxxxxxxx, Lærebog i Obligationsret I, 4. ud- gave, 2015, s. 408.
21 Justitsministeriet, Databeskyttelsesforordningen og de retlige rammer for dansk lovgivning, Betænkning nr. 1565/2017, Del I, bind 2, s. 915.
22 Det følger af erstatningsansvarslovens § 27, stk. 1, at der ikke kan ske fravigelse af tortreglen i § 26 til ugunst for den erstatningsberettigede. Denne begræns- ning gælder dog kun i forhold til aftaler direkte mellem skadelidte og skadevol- der (og ikke mellem to solidariske skadevoldere).
23 Xxxxxxx Xxxxx Xxxxxxxx og Xxxxx Xx Xxxxxx, Aftaler og mellemmænd, 7. ud- gave, 2017, s. 246, note 252.
24 I Datatilsynets følgetekst til Datatilsynets standard databehandleraftale angives det tillige, at der kan indgås regresaftaler: ”Den specifikke del kan herudover omfatte parternes særlige aftaleretlige regulering af forholdet, herunder f.eks. af- taler om regres mellem parterne mv.” Følgeteksten kan findes her: xxxxx://xxx. xxxxxxxxxxxx.xx/xxxxxxxxx/xxxx_xxxxxx/xxxxxxxxxx/Xxxxxxxxxxxx/Xxxxxxxxxxxxx- aftale_-_foelgetekst.pdf
25 Når det kommer til beløbsbegrænsninger, er der ikke megen retspraksis, men i
U 2006.87H blev en beløbsbegrænsning svarende til fakturabeløbet opretholdt.
Dommen 1971.81H angår et tilfælde, hvor en beløbsmæssig begrænsning blev opretholdt, men begrænsningen byggede på særlige regler i søloven. Det må antages, at domstolene også i sager om ansvarsbegrænsning i forhold til erstatningsansvar for overtrædelse af Persondatareglerne vil være tilbøjelige til at opretholde beløbsmæssige ansvarsbegrænsninger i det omfang, at de ikke fuldstændig fratager en part incitamentet til at opfylde sine forpligtelser med behørig omhu. Se også Xxxxxxxx Xxxxxx og Xxxxxxx Xxxxxxx, Obligationsret 2. del, 4. udgave, 2011, s. 314.
26 Xxxxxx Xxxxxxxxx Xxxxxxxxxxx og Xxxxx Xxxxxxxxx-Xxxxxx, ”Knock-for-knock” klausuler under dansk ret, Erhvervsjuridisk Tidsskrift 2014.273.
24 Regulering af ansvaret ved behandling af personoplysninger
Revision & Regnskabsvæsen nr. 4 · 2018 Revision & Regnskabsvæsen nr. 4 · 2018
Regulering af ansvaret ved behandling af personoplysninger 25