Difi publiserte på tirsdag denne uken oppdaterte SSA-avtaler hvor erstatningsbestemmelsenes reguleringer om GDPR brudd har blitt endret, se https://www.anskaffelser.no/nyhet/2018/12/ny-formulering-om-bestemmelser-om-personvern-i-statens-standardavtaler-ssa
Oppdateringene er gjort i SSA-L, SSA-D, SSA-O, SSA-S, SSA-T og SSA-V. Sammenlignet med ordlyden i versjonene som ble lansert i april har Difi nå foretatt følgende hovedendringer:
- Hver part dekker selv de overtredelsesgebyr som parten blir ilagt. Aprilversjonen åpnet opp for at Kunden kunne kreve erstatning fra leverandøren for overtredelsesgebyr som kunden ble ilagt, mens versjonen nå baserer seg på at Datatilsynet vil ilegge gebyr der det hører hjemme.
- Det er klargjort at regresskrav (ved erstatning til datasubjekter) håndteres ihht GDPR artikkel 82, og ikke som en skadesløsholdelse slik aprilversjonen gjorde.
- Bestemmelsene er gjort gjensidige, mens aprilversjonen kun fokuserte på kundens mulighet til å kreve erstatning.
- At all annen erstatning for tap pga brudd påpersonopplysningsloven (enn regresskrav etter GDPR art. 82 og overtredelsesgebyr) følger avtalens normale erstatningsbestemmelser. Det betyr at erstatningskrav for «direkte tap» være underlagt avtalens normale erstatningsbegrensing/cap, samt det avgrenses mot indirekte tap som tapt fortjeneste, tapte besparelser o.l.
Dette er kloke endringer fra Difis side. Dels er det smart å bygge bro til GDPR erstatningsreglene i artikkel 82, dels er det fornuftig med en mer balansert regulering. Aprilversjonen var svært ubalansert med den konsekvens at det har vært mye støy i markedet, og mange offentlige kunder har nok opplevd både å få mindre interesse for sine konkurranser eller å ha måtte avvise gode tilbud som følge av (vesentlige) forbehold til GDPR brudd ansvarsbestemmelsene.
Det som blir spennende fremover er hvorvidt Difi har gjort store nok endringer sett fra et leverandørperspektiv.
Difi har til eksempel ikke ønsket å regulere det slik at Kunden blir «solidarisk» ansvarlig for å gjøre opp erstatningskrav som leverandøren blir solidarisk ansvarlig for sammen med andre leverandører av kunden (som har bidratt til samme hendelse), når slike andre leverandører ikke søkegode/har betalingsvilje/kravet kan ikke tvangsinndrives i Norge e.l.
Videre har Difi valgt å gjøre regressadgangen ubegrenset uten hensyn til avtalenes normale erstatningsbegrensning/cap. Begrunnelsen til Difi er at «Personvernforordningen (GDPR) er vedtatt i EU og gjennomført i norsk lov uten endringer. Det er svært begrensede muligheter for nasjonale tilpasninger av forordningens bestemmelser». Dette er for så vidt rett, men det innvirker dog ikke på partenes avtalefrihet og dermed muligheten til å avtale en erstatningsbegrensning for regressansvaret. Med denne argumentasjonen kan man kan jo lure på hvorfor Difi har erstatningsbegrensninger/cap i det hele tatt i SSA’ene når for eksempel kjøpsloven eller alminnelig obligasjonsrett ikke har en erstatningsbegrensning/cap.
Svært mange leverandører, og spesielt de større IT selskapene, mener at det bør innføres en erstatningscap for kundens regressadgang. Det argumenteres med at «risk vs reward» må stå i forhold til hverandre og at når det legges opp til ubegrenset ansvar så blir det for stor risiko for leverandørene i mange avtaletyper. Det argumenteres også med at risikoen for erstatningskrav fra datasubjekter springer ut av kundens personopplysninger, mengde og om dataene er sensitiv, slik at kunden må dekke opp en del av risikoen. Motargumentet fra et kundeperspektiv er at leverandøren ikke vil komme i solidaransvar ovenfor datasubjekter med mindre leverandøren har brutt GDPR selv, noe leverandøren utelukkende har kontroll på selv og ikke kunden, og at dersom leverandøren saksøkes selv av datasubjekter så gjelder det uansett ingen erstatningsbegrensninger/cap.
Siste ord er neppe sagt i denne forbindelse og det blir spennende å se om leverandørsiden jenker seg, eller om det blir mange avvisninger fremover pga vesentlige forbehold i offentlige anskaffelser, eller om mange offentlige kunder velger å innføre erstatningscap selv i avtalene når de brukes for å sikre interesse og konkurranse. I prosessen har vi i Føyen Torkildsen bistått leverandørsiden i diskusjoner med Difi, og har fremholdt på vegne av IKT-Norge at det også fra et kundeståsted kan være fornuftig å innføre en erstatningsbegrensning for å sikre best mulig konkurranse i markedet. Vi har også bistått kundesiden i en rekke anskaffelser og har sett hvor mye motstand som gis spesielt fra de større IT selskapene om avtalen har ubegrenset ansvar ved GDPR brudd, vi har under offentlige anskaffelser opplevd vesentlige forbehold, og at potensielle tilbydere velger å ikke delta i konkurransen. Vi ser i alle fall på det som et klart ansvar for vår del når vi jobber på kundesiden i offentlige anskaffelser fremover å informere klient om risikoen ved å gå ut med konkurransegrunnlag som legger opp til ubegrenset GDPR ansvar, og at mulighet for markedsdialog e.l bør benyttes aktivt for å teste ut kontraktsbalansen i den enkelte anskaffelse. Dette slik en kan justere kurs om nødvendig før prosessen er kommet så langt at oppdragsgiver ikke lengre kan foreta vesentlige endringer av konkurransegrunnlaget.