Ny formulering om bestemmelser om personvern i Statens Standardavtaler (SSA)

Difi har presisert at rett til erstatning og erstatningsansvar reguleres av bestemmelsene i personvernforordningen artikkel 82.

Publisert: 17. des 2018, Sist endret: 18. des 2018

– Vi håper at dette gjør standardavtalene klarere. Vi har presisert at SSA’enes ansvarsbegrensning ikke får anvendelse her.  Med denne formuleringen viderefører Difi bestemmelsene i GDPR, sier avdelingsdirektør Dag Strømsnes i Difi.

Han sier at avvik fra den ordning som følger av GDPR ville kunne ha konsekvenser for balansen mellom partene, fordeling av risiko og preventive hensyn.

I tråd med leverandørsidens ønske har Difi også presisert at partene hver for seg er ansvarlig for ilagt overtredelsesgebyr i tilfelle brudd på personvernforordningen.

Reaksjoner og dialog

Som følge av den nye personvernforordningen som ble gjennomført i norsk rett 20. juli 2018, inkluderte Difi et nytt avsnitt i SSA-ene. Difis intensjon var å sikre at ansvar for brudd på personvernforordningen var regulert i samsvar med personvernforordningens artikkel 82.

Difis opprinnelige formulering utløste reaksjoner fra leverandørene. Difi startet derfor en prosess hvor både leverandører og oppdragsgivere, samt eksterne rådgivere var representert.

– Målet var å diskutere hvordan forordningen best kan ivaretas i SSA-ene. Vi takker for alle bidrag og innspill mottatt i denne dialogen. Det har gitt oss et solid grunnlag for hvordan vi skal forvalte SSA’ene videre, sier Dag Strømsnes.

Leverandørsiden har vært representert ved IKT-Norge og deres juridiske rådgiver, samt større leverandører. Oppdragsgiversiden har vært representert ved KS og større oppdragsgivere, både statlige og kommunale. Difi har også hentet inn juridiske vurderinger fra Kluge advokatfirma AS og Wikborg Rein advokatfirma AS.

Lite rom for nasjonale tilpasninger i   GDPR

Strømsnes minner om at personvernforordningen er vedtatt i EU og gjennomført som norsk lov uten endringer. – Difi forutsetter at alle interesser og argumenter er hørt og vurdert i prosessen frem til vedtakelsen av personvernforordningen. GDPR gir svært begrensede muligheter for nasjonale tilpasninger av forordningens bestemmelser.

Se mer informasjon og ordlyden i endringene.