personvern for ledere og styrer 12. sept. 2017

PERSONVERN FOR LEDERE OG STYRERTeknologihuset, Oslo, 12. september 2017

Del av foredragsrekke medDatatilsynet, IKT-Norge og Bull & Co

Advokat Kristian Foss

Ledelsens perspektiv

• Virksomhetens eksponering

• Personlig eksponering

• Reduksjon eksponering

BehandlingGDPR

Personvern

Håndhevelsesregler markedsføringsloven

Blokkering tlf.

Skjult nr.

Katalogtjen.

Dir. mark.før.

Konfidensialitet

Progamvare

Terminal

Samtykke

Beskyttelse Kontroll

Lovlig, rimelig, ansvarlig

Formål

Nødvendig

Korrekte

Sikkert

Minst mulig (tid+omfang)

Bøter (store)

Rennomé

Datatap

Erstatningskrav (gr.søk)

Avhjelp/pålegg

EksponeringGrunn-

prinsipper

Håndhevelse:

Datatilsynet Forb.tilsyn/råd. NKOM Andre/ulike

Kommunikasjone-privacy regulation

Bøter

Datatap

Rennométap

Gruppesøksmål

Avhjelp & pålegg

Eksponeringen

Hvordan oppstår ansvar for ledelsen?

Bøter Datatap Rennométap Søksmål Avhjelp & pålegg

Tap virksomhet

Redusert verdi virksomhet

Tap eiere/aksjonærer

Styre & daglig leder

Krav

Burdeforhindret?

Hva kreves?

Aktsomhet= burde gjøre/ikke gjøre

Sier hvem?

• Stortinget

• Høyesterett

Lover

• Aksjeloven

• Skadeerstatningsloven

• Straffeloven

• Arbeidsmiljøloven § 19-1 (eier, arbeidsgiver)

• Børsloven

• Produktkontrolloven

• osv.

Aksjeloven

«Styret skal sørge for forsvarlig organisering av virksomheten.»

(asl. § 6-12)

«Styret skal føre tilsyn med den daglige ledelse og selskapets virksomhet for øvrig.» (asl. § 6-13)

«Selskapet, aksjeeier eller andre kan kreve at daglig leder, styremedlem, medlem av bedriftsforsamlingen, gransker eller aksjeeier erstatter skade som de i den nevnte egenskap forsettlig eller uaktsomt har voldt vedkommende.» (asl. § 17-1)

RettspraksisIsklumpdommenVurdering mot

• krav lov og forskrift

• bransjepraksis (om forsvarlig)

Styre/DL hadde forsvarlige rutiner > frifunnet (strl. § 238)

Utfører dømt for uaktsomhet

• Sjekket ikke over veien

• Ekstrem vinter

• Store tempsvingninger

HR-2013-574

TollinnbetalingSolidaransvar styre (asl. § 17-11)

• ikke ført tilsyn og hatt kontrollordninger som kunne fanget opp denne typen feilinnbetalinger

• burde reagert at rom nedbetale aksjonærlån og ikke lenger måtte betale regninger privat

• burde sørget for kontrollrutiner som var egnet til å fange opp og forhindre at kundemidler ble blandet sammen med selskapets egne midler

BLMR-2016-12248

Hva kan ledelsen gjøre?

Hvilke osteskiver?

FareRest-risiko

Lite data

Pseudo-nymisering

Innebygget PV

Sikre sys.

Sikre pers.

Goderutiner

Org.virk.

Bered-skap

For-sikring

Bulls metode for etterlevelse

Topp 5 tiltak

1. Utpek PV-ansvarlig

2. Skaff kunnskap

3. Kartlegg dataflyt

4. Vurdér personvernkonsekvenser (DPIA)

5. Etablér internkontrollsystem

Takk for meg!

kf@bull.no