parallax background
 

Privacy Talks 14 januari 2020: Ansvarsbegränsningar i biträdesavtal

Kostnadsfria morgonseminarium där du deltar på distans

 
 
 
 
 
 

Denna gång gästades vi av David Frydlinger, advokat och managing partner på Cirio Advokatbyrå, och Karl-Fredrik Björklund, advokat på Wikström & Partners Advokatbyrå. Moderator var Tomas Jalling, CEO på PrivacyWorks.

Vi pratade om ansvarsklausuler i biträdesavtal som kan innebära att den ena parten, eller båda parter, begränsar sitt ansvar för eventuella skadestånd, sanktionsavgifter och andra skador, som misstag i hanteringen av personuppgifterna kan medföra. Väldigt många frågar sig vad detta egentligen innebär och om det är viktigt att dessa klausuler finns med. Innebär klausulen någon risk för parterna? 

Medskick:

  • Gör en riskbedömning för var och en av de tre olika skadorna som kan uppkomma, dvs. skadeståndsanspråk, sanktionsavgifter och övriga skador (i form av skada på varumärket t.ex.). Vilken typ av skador kan bli aktuella? Vem riskerar att få ansvar för skadorna enligt tillsynsmyndigheten och domstolar? "Övriga skador" regleras ofta i tjänsteavtalet.
  • I artikel 32 GDPR, som handlar om säkerhetsåtgärder, finns ett ansvar både för den personuppgiftsansvarige och personuppgiftsbiträdet. Det är fortfarande oklart om tillsynsmyndigheten/domstolar kommer att se den personuppgiftsansvarige som ansvarig för säkerhetsbrister hos personuppgiftsbiträdet. Vi kommer förhoppningsvis få svar på det i tillsynsärendet gällande 1177 som den svenska Datainspektionen arbetar med just nu.
  • I vart fall bör den personuppgiftsansvarige alltid ställa tydliga krav på tekniska och organisatoriska säkerhetsåtgärder.  Annars har man inte gjort vad som åligger PUA enligt GDPR. Glöm inte att ta fram och dokumentera tydliga instruktioner som biläggs biträdesavtalet.
  • Det är svårt för båda parter att argumentera (utan att skämmas!) för att man inte ska ha något ansvar alls, eller ett väldigt begränsat ansvar, för sådant som tillsynsmyndigheten/domstol bedömt att man faktiskt har ansvar för. Finns det anledning att reglera ansvaret på något annat sätt än vad artikel 82 GDPR gör? 
  • Bestämmelser som "snedfördelar" ansvaret väldigt mycket kan man argumentera för att de är ogiltiga enligt 36 § avtalslagen en principen om pactum turpe. 
  • Om en part i praktiken inte har något ansvar för t.ex. sanktionsavgifter utan kan regressa dem, försvinner incitamentet att faktiskt anstränga sig för att skydda den enskildes personliga integritet. Det ligger inte i samhällets intresse.
  • Av samma anledning är det inte troligt att man kan försäkra sig mot sanktionsavgifter. 

 


Presentation

Ansvarsbegränsningar i biträdesavtal

Video




 

 
 

PrivacyWorks hjälper kunder med rådgivning, utbildning och andra lösningar inom dataskydd

OM OSS