Skadestånd på grund av spridande av personuppgifter
Vi är en liten städfirma (aktiebolag). En av våra företagskunder vill med anledning av GDPR att vi ska skriva på ett sekretessavtal eftersom vi vistas i deras lokaler när vi städar och då riskerar att se känslig information. Avtalet de vill ha är utformat så att vårt skadestånd till dem, ifall vi skulle sprida känslig information som skadar dem, skulle motsvara den uppkomna skadan. Det innebär i praktiken att beloppet skulle kunna bli hur högt som helst.
Mina frågor är: Behövs ett sådant avtal verkligen? Räcker inte lagen? Vi blir ju ansvariga i vilket fall som helst. Hamnar bevisbördan på oss om vi har ett avtal? Om vi undertecknar ett avtal, vad kan anses som ett rimligt skadeståndsbelopp?
Tack på förhand!
Lawline svarar
Hej och tack för att du vänder dig till Lawline med din fråga!
Dataskyddsförordningen, eller GDPR, syftar till att skydda enskildas grundläggande fri- och rättigheter, särkilt skyddet av enskildas personuppgifter. Regleringen avser framförallt företags och organisationers behandling av personuppgifter (se artikel 1-3). I artikel 4 definieras behandling som innebär
"en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring"
Enligt min uppfattning behandlar ni som städare på företaget inte några personuppgifter. Skulle ni läcka ut personuppgifter skulle det vara företaget, som behandlar personuppgifterna, som blir ansvariga för den skada som uppstår. Detta eftersom att de är ansvariga för att personuppgifterna ska behandlas varsamt. Det avtalet som företaget vill ingå med er syftar därför till att företaget ska undgå att betala skadestånd för sådan skada som ni kan orsaka, eftersom det utan ett avtal, oavsett vem som sprider uppgifterna, kommer vara de som står ansvariga.
Gällande bevisbörda gäller normalt att den som påstår något har bevisbördan för sitt påstående. Detta innebär alltså att om företaget skulle påstå att in orsakat skada genom att sprida personuppgifter måste de lägga fram tillräckliga bevis för att det är så. Denna konstruktion syftar till att man inte ska bli, t.ex. skadeståndsansvarig, för att man inte kunnat bevisa att man är oskyldig. Det har ansetts vara mer logiskt att man inte ska vara skyldig om motsatsen inte kunnat bevisats. Hur ni avtalar er emellan är dock en annan sak, då det är möjligt för er att avtala hur ni vill. Dock skulle ett avtalsvillkor där ni har bevisbördan eventuellt kunna anses vara oskäligt, om ert företag är mindre än det företag ni är anställda av.
Det är svårt att säga något om vad som är ett skäligt belopp. Skadeståndsrättsligt gäller dock principiellt att den som orsakar skada ska försätta den skadelidande i samma situation som den var i innan skadan uppstod. Detta innebär att den som orsakar skadan normalt får betala ett belopp som motsvarar uppkommen skada. Om ni orskar skada är det därmed inte helt orimligt att ni får stå för den skada som ni orsakat.
Hoppas du fått svar på din fråga!
Med vänlig hälsning,