Just nu prövas fall om personligt skadeståndsansvar för arbetstagare i sin roll som dataskyddsombud i både Schweiz och Storbritannien. I båda fallen handlar det om företag som drabbats av kostnader under GDPR och där man söker skadeståndsersättning från dataskyddsombudet, som man menar har agerat uppsåtligt eller försumligt. Utfallet skulle kunna bli prejudicerande för hela Europa, då lagstiftningen ser snarlik ut. Det är nämligen en vanlig missuppfattning att man som dataskyddsombud aldrig skulle kunna bli personligt ansvarig för sitt arbete med GDPR.

En sådan skyldighet kan dock bara uppkomma under specifika förhållanden och det finns handfasta råd för att undvika ansvar, vilket vi kommer att beskriva här.

Skadestånd till registrerade och sanktionsavgifter från tillsynsmyndigheten ska enligt GDPR riktas mot personuppgiftsansvarige eller personuppgiftsbiträdet, det vill säga dataskyddsombudets arbetsgivare och inte dataskyddsombudet. Dataskyddsombuden har dock mycket tydliga arbetsuppgifter och en ansvarsfull samt oberoende roll i organisationen vilket framgår av artikel 38 och 39 i GDPR. 

Dataskyddsombudet förväntas dels ge aktiva råd till ledningen, dels övervaka organisationens regelefterlevnad. Organisationen bär sedan ansvaret för prioriteringar och fullföljande av åtgärder baserat på dataskyddsombudets direktiv. Denna ansvarsfördelning kan i många fall leda till konflikter eftersom det faktiskt är en arbetstagare som ger direktiv om hur arbetsgivaren ska sköta sitt arbete. I artikel 38.3 finns det därför ett uttryckligt förbud mot repressalier mot dataskyddsombud. Repressalieförbudet säger att man inte får avsätta eller utsätta dataskyddsombud för sanktioner för att denne har utfört sina uppgifter. Men vad händer om dataskyddsombudet inte utför sina uppgifter? Skulle dataskyddsombudet kunna bli personligt ansvarig då? 

I och med att GDPR inte har någon uttrycklig friskrivning om personligt ansvar för dataskyddsombudet skulle personlig skadeståndsskyldighet ändå kunna komma ifråga, men då i enlighet med Skadeståndslagens regler för arbetstagare. Enligt Skadeståndslagen 4 kap 1 § kan en arbetstagare drabbas av skadeståndsskyldighet, men det krävs att en rad förutsättningar är uppfyllda. 

För att en skadeståndsskyldighet ska inträda krävs först och främst en uppkommen skada för arbetsgivaren, vilket i detta sammanhang bland annat kan vara skadestånd till registrerade, vite eller ett förbud mot vidare personuppgiftsbehandling. Det krävs vidare att arbetsgivarens skada orsakats genom arbetstagarens fel eller försummelse och att det finns en tydlig koppling mellan arbetstagarens handling och den uppkomna skadan. Detta kan vara fallet om någon till exempel låter bli att vidta säkerhetsåtgärder eller går emot tydliga instruktioner och detta leder till en skada. Grundförutsättningen i Sverige är dock att arbetstagare inte ska bli skadeståndsansvariga gentemot sin arbetsgivare. Skadeståndslagen säger att en arbetstagare kan bli skadeståndsskyldig om det föreligger synnerliga skäl med hänsyn till handlingens beskaffenhet, arbetstagarens ställning, den skadelidandes intresse och övriga omständigheter 

Det innebär att för att skadeståndsskyldighet ska komma på fråga krävs det att handlingen varit grovt aktsam eller har begåtts uppsåtligen. Arbetstagaren måste också ha en hög befattning som kräver kompetens och ansvarstagande. Huruvida dataskyddsombud är att anse som en hög befattning kan diskuteras, men rollen kräver uttrycklig kompetens och innebär ett stort ansvar. Inte sällan har arbetsgivaren också investerat i fortbildning för att ytterligare stärka denna unika kompetens. 

Arbetsgivaren måste ha ett tydligt intresse att få ersättning för sina skador. Detta intresse anses särskilt stort om det inte finns någon försäkring som kan täcka skadorna. Det finns idag veterligen ingen svensk försäkring som täcker viten från myndigheter, då det är olagligt att försäkra mot denna typ av sanktion. Arbetsgivaren torde därför sakna försäkring för många av de skador som man kan åläggas genom GDPR. 

De situationer där ett skadeståndsansvar skulle kunna blir aktuellt är om dataskyddsombudet brustit i sin aktiva rådgivning och övervakning trots att de varit medvetna om att organisationen inte arbetar i enlighet med GDPR och kanske framförallt om bolaget utger sig för att vara GDPR compliant. 

Datainspektionens Nationella Integrationsrapport, där dataskyddsombud genom självskattning fick bedöma organisationens dataskyddsarbete, kom fram till slutsatsen att ingen organisation i Sverige uppfyller de krav som uppställs i GDPR. Datainspektionens rapport visar också att det finns stora brister i registerhållningen över behandlingar av personuppgifter i e-post och filer, men även i processer och rutiner för att skyndsamt svara på förfrågningar från registrerade. 

Samtidigt är det en majoritet av personer i ledande befattningar som vid undersökningar – men även genom uttalanden i media menar att den egna organisationen har klarat av alla krav i sitt dataskyddsarbete. Detta trots att omfattande brister är identifierade och i många fall också dokumenterade av organisationens dataskyddsombud.

En sådan skillnad mellan dataskyddsombudets och ledningens uppfattning ska egentligen inte vara möjlig enligt GDPR. Om skillnaden i uppfattning uppkommit genom att dataskyddsombudet valt, eller rättare sagt valt bort, vilka brister som ska kommuniceras till ledningen skulle det kunna leda till personligt ansvar. Bolagets ledning kan ju inte agera på information som man inte har fått. Ett dataskyddsombud som medvetet väljer att inte rapportera vissa brister till ledningen skulle kunna anses ha varit grovt oaktsam och till och med handlat med uppsåt.

De rättsfall som nu ligger för avgörande ute i Europa kommer att visa om dataskyddsombudets speciella ställning gör att ett skadeståndsansvar gentemot arbetsgivaren kan uppkomma. Tills det finns rättspraxis på området bör man som dataskyddsombud därför vara tydlig med att rapportera de brister i personuppgiftshanteringen som man är medveten om. 

Det ingår inte i dataskyddsombudets ansvar att prioritera dataskyddsarbetet, utan detta ansvar faller på den personuppgiftsansvarige. 

För att undvika diskussioner om personligt ansvar bör dock anställda dataskyddsombud vara fullständigt transparanta och tydliga med samtliga brister som identifieras i verksamheten, och tillse att dessa dokumenteras på högsta nivå. 

Maria Moberg
Advokat, MAQS Advokatbyrå

Karl-Oskar Brännström
Jurist och vd, Aigine AB

Om företagen
Maqs Advokatbyrå är en av Sveriges ledande affärsjuridiska advokatbyråer med 140 anställda. Byrån har sina rötter i 1800-talet men det moderna Maqs grundades 2002. Maqs har kontor i Stockholm, Göteborg och Malmö. 

Aigine är ett svenskt företag som tillsammans med IBM utvecklat lösningar där artificiell intelligens appliceras för att hitta, dokumentera och hantera personuppgifter under GDPR. Aigine samarbetar med partners som Atea, Advania och Shibuya och har global närvaro genom distributionsavtal med Arrow ESC.