Mandag 17. desember kunne Difi annonsere (atter) en endring i statens standardavtaler for IT-anskaffelser (SSA). Endringen gjelder regulering av ansvar for brudd på det nye personvernregelverket.

Avtaleverket, som Difi forvalter, er mye brukt i offentlige anskaffelser av IT, og som utgangspunkt for forhandling av IT-kontrakter mellom private aktører.

Våren 2018 innførte Difi en bestemmelse i SSA om at leverandørens erstatningsansvar overfor sine kunder for brudd på personopplysningsloven (GDPR) ikke skulle være underlagt noen begrensninger. Leverandøren skulle holde kunden fullstendig skadesløs for

«ethvert krav fra tredjepart, og/eller sanksjon (f.eks. overtredelsesgebyr eller tvangsmulkt) fra offentlig myndighet som relaterer seg til Leverandørens brudd på personvernforordningen».

Bestemmelsen innebærer for eksempel at en oppdragsgiver kan kreve full dekning fra leverandøren for overtredelsesgebyr fra Datatilsynet, så lenge gebyret på ett eller annet vis «relaterer seg til Leverandørens brudd på personvernforordningen». Ikke overraskende har bestemmelsen om ubegrenset ansvar for leverandøren ført til mye hodebry og vanskelige forhandlinger gjennom 2018, særlig for leverandørene, men også til en viss grad for oppdragsgiverne.

I noen tilfeller vil en ansvarsbegrensning være på sin plass etter omstendighetene, i andre tilfeller ikke. For mange leverandører vil en klausul om ubegrenset ansvar uavhengig av kontraktens verdi bety at fullmakt til å signere avtalen må innhentes på høyt nivå i virksomheten. Uten adekvate forsikringsordninger blir det i tillegg vanskelig for leverandørene å tallfeste den økonomiske risikoeksponeringen i kontrakten.

Derfor har oppdragsgivere i offentlig sektor denne høsten vært nødt til å ta stilling til forbehold fra leverandører som ikke aksepterer ubegrenset ansvar. På samme måte som det er vanskelig for leverandører å tallfeste risikoen knyttet til en klausul om ubegrenset ansvar, er det svært vanskelig for en offentlig oppdragsgiver å vurdere om en ansvarsbegrensning er et vesentlig avvik fra konkurransegrunnlaget som må føre til avvisning etter anskaffelsesregelverket.

Difi har nå tatt markedsaktørenes synspunkter i betraktning, og gått inn for en endring av ansvarsbestemmelsen i SSA. Den nye avtaleteksten som skal regulere erstatningsansvar for brudd på personopplysningssikkerheten, lyder som følger:

«Partenes erstatningsansvar for skade som rammer den registrerte eller andre fysiske personer og som skyldes overtredelse av personvernforordningen (forordning 2016/679), personopplysningsloven med forskrifter eller annet regelverk som gjennomfører personvernforordningen, følger av bestemmelsene i personvernforordningen artikkel 82.

 Erstatningsbegrensningen i punkt x.x kommer ikke til anvendelse for ansvar som følger av personvernforordningen artikkel 82.

Partene er hver for seg ansvarlige for overtredelsesgebyr ilagt i henhold til personvernforordningens (forordning 2016/679) art. 83.»

Kort sagt går endringen ut på at partene overlater spørsmål om erstatningsansvar overfor skadelidende tredjepersoner til det som følger av GDPR. Etter artikkel 82 er partene solidarisk ansvarlige overfor personer som blir utsatt for brudd på personopplysningssikkerheten. Ansvaret mellom partene er nærmere regulert i bestemmelsen. Derfor er den nye SSA-ordlyden en enkel og fornuftig løsning når det kommer til ansvar for skadelidende tredjepersoner, i alle fall som et utgangspunkt. Særlige reguleringer bør som vanlig vurderes ut fra de konkrete omstendighetene.

Når det kommer til ansvar for overtredelsesgebyr, er det grunn til å vente fortsatte forhandlinger og diskusjoner mellom partene. Punktet om at partene «hver for seg» er ansvarlige for overtredelsesgebyr ser ut til å avskjære muligheten for at den som blir ilagt overtredelsesgebyr retter et regresskrav mot avtalemotparten, selv om årsaken helt eller delvis ligger hos denne.

Avtalen legger opp til at Datatilsynets plassering av gebyr skal være endelig avgjørende også i forholdet mellom partene. Avtaleteksten tar i liten grad hensyn til at ansvarsplassering etter GDPR kan være en høyst usikker og kompleks affære, og at Datatilsynet i mange tilfeller vil ha hjemmel til å bøtelegge både kunden og leverandøren for samme hendelse.

Realiteten er at Datatilsynet ikke har noen foranledning til å gå inn i den risiko- og ansvarsfordeling partene har gjort i kontrakten. Det er ikke Datatilsynets oppgave å ta stilling til hvilken ansvarsfordeling som stemmer best overens med partenes forutsetninger i den enkelte kontrakten. Det er derfor grunn til å spørre om ikke begge avtalepartene vil være tjent med en kontrakt som åpner for en etterfølgende vurdering av hvor ansvaret reelt sett hører hjemme og bør plasseres i regressomgangen.

Haavinds avdeling for Teknologi, Media og IPR er en av landets største og høyest rangerte. Våre advokater har dyp bransjeforståelse og lang erfaring, blant annet som internadvokater i ledende teknologiselskaper. Vi er en foretrukken rådgiver når store virksomheter skal gjennomføre kompliserte outsourcingsprosjekter og når teknologiselskaper skal gjennomføre kjøp, salg eller andre typer selskapstransaksjoner.