JURIDISKA INSTITUTIONEN Stockholms universitet Skadeståndsrättsliga aspekter av molntjänster Johan Hedenstedt Examensarbete med praktik i Skadeståndsrätt, 30 hp Examinator: För- och efternamn Stockholm, Höstterminen 2013 1
Innehåll Förord... 5 Förkortningar... 6 Kapitel 1 Inledning 7 1.1 Syfte och frågeställning.. 7 1.2 Disposition och avgränsningar.... 7 1.3 Metod och material. 9 1.4 Bakgrund vad är en molntjänst?.. 10 1.5 Vad är riskerna med en molntjänst?... 11 Kapitel 2 Molnets gränsöverskridande aspekter... 11 Kapitel 3 Kundens skadeståndsansvar... 13 3.1 Allmänt om lagenligt skadeståndsansvar.. 13 3.1.2 Kundens relation till leverantören..... 14 Ansvar för personuppgifter 3.2 Kundens personuppgiftsansvar.. 14 3.2.1 Allmänt... 14 3.2.2 Rättsförhållandet mellan personuppgifts-.. ansvarig och personuppgiftsbiträde 3.2.3 Objektiva handlingsregler.. 15 3.2.4 Skadeståndsansvar.. 16 3.2.5 Orsakssamband och adekvans 17 3.2.6 Jämkning av skadeståndsskyldigheten... 18 3.2.7 Beräkning av skadeståndsersättningen... 19 14 2
Ansvar för företagshemligheter 3.3 Kundens ansvar för företagshemligheter 20 3.3.1 Inledande ord... 20 3.3.2 Objektiva handlingsregler.. 20 3.3.3 Skadeståndsansvar.. 21 3.3.4 Beräkning av skadeståndsersättningen -... särskilda synpunkter 3.3.5 Skydd för företagshemligheter i. avtalsförhållandet 3.3.6 Särskilda aspekter om företagshemligheter i molntjänsten 22 23 23 Molnleverantörens skadeståndsansvar Kapitel 4 Molnleverantörens skadeståndsansvar... 24 4.1 Allmänt om skadestånd i avtalsförhållanden.. 24 4.2 Standardavtalet Cloud Computing... 25 4.3 Rättsförhållandet mellan leverantör och kund 25 4.4 Ansvarsbefriande omständigheter... 26 4.5 Objektiva ansvarsförutsättningar. 27 4.6.1 Subjektiva ansvarsförutsättningar... 28 4.6.2 Fri vårdslöshetsbedömning. 30 4.7 Skadeståndsansvar vid grov culpa/uppsåt... 32 4.8 Bevisbördans placering... 34 4.9 Kundens direktkrav mot en underleverantör... 34 4.10 Beräkning av skadeståndsersättningen.... 35 4.11 Är artikel 20.2 i Cloud Computing oskäligt... avtalsvillkor? 4.12 Leverantörens rådgivningsansvar.... 38 38 3
Ansvarsförsäkringens täckning av skadeståndsansvaret Kapitel 5 Ansvarsförsäkringens täckning av... skadeståndsansvaret 5.1 Inledande ord..... 39 5.2 Allmänt om ansvarsförsäkring... 39 5.2.1 Ansvarsförsäkringens funktion...... 39 5.2.2 Konsultansvarsförsäkringens huvudlinjer... 41 5.3.1 Leverantörens försäkringslösning... 41 5.3.2 Leverantören i egenskap av IT-konsult... 43 5.4 Översiktligt om cyberförsäkring... 44 39 Kapitel 6 Slutsats... 45 Kapitel 7 Källförteckning.... 48 7.1 Litteratur... 48 7.2 Rättsfall... 48 7.3 Propositioner... 48 7.4 Lagkommentarer... 48 7.5 Försäkringsvillkor... 49 7.6 Artiklar... 49 4
Förord Jag vill härmed framföra mitt tack till min uppsatshandledare Marcus Radetzki och Moderna Försäkringars ansvarsavdelning för hjälp och vägledning med denna uppsats. 5
Förkortningar FHL Lag om skydd för företagshemligheter (SFS 1990:409) SkL Skadeståndslag (SFS 1972:207) PuL Personuppgiftslag (SFS 1998:204) JB Jordabalken (1970:994) NJA Prop. HD HovR Nytt juridiskt arkiv Proposition Högsta domstolen Hovrätten 6
1. Inledning 1.1 Syfte och frågeställning Ett högaktuellt ämne i dagens samhälle är den ständigt ökade användningen av IT- anpassade lösningar. Företag bygger komplexa IT system för att effektivisera sina verksamheter. En del av effektiviseringen är att låta en extern part lagra företagets data. Med andra ord outsourcas sådan del av företagets verksamhet som rör datalagring. Med detta följer en effektivare verksamhet då företaget slipper belasta egna servrar och hårddiskar med data. Samtidigt som fördelarna är många är utvecklingen förenad med risker; data ska behandlas på ett korrekt sätt av den externa parten. En molntjänst är ett exempel på en sådan teknisk lösning där företagets data kan lagras. Leverantören av tjänsten är således den externa part som lagrar företagets tillika kundens data. För att tydligare klargöra relationen mellan kund och molnleverantör följer ett exempel på en sådan situation: Kunden X ingår ett tjänsteavtal med molnleverantören Y om en molntjänstlösning för X data. Lösningen innebär att X kan placera sina data i denna tjänst. X väljer att flytta över merparten av sina data till molntjänsten för att minska belastningen av egna datasystem. X data omhändertas därigenom av Y. X kan när som helst välja att redigera eller ta bort data från molnet, då molnet endast är en Internetbaserad infrastruktur för datalagring. X återtar i sådant fall kontrollen över sina data som ligger i Y:s vård. Således är definitionen av Y:s omhändertagande då X data latent befinner sig i molnet utan åtgärd från X, dvs. utanför X kontrollsfär. Y har i sådana fall ofta ett ansvar enligt tjänsteavtalet att X data ska behandlas på ett korrekt sätt i plattformen. Ansvaret innefattar däribland att X data ska: 1. hållas skild från andra kunders data, 2. skyddas av ett erforderligt säkerhetssystem och säkerhetskopiering Slutsatsen är att Y ansvarar för själva infrastrukturen av molntjänsten men inte hur data behandlas av X i molntjänsten. Visserligen kan det vid X bearbetning av data i molntjänsten uppstå situationer där infrastrukturen brister och orsakar skada för X. I detta fall har X kontrollen över sina data men det är ändå ett leverantörsansvar då det inte är X användande utan Y:s infrastruktur som felar. 1 1.2 Disposition och avgränsningar Tjänsten aktualiserar som förstått ett antal relevanta skadeståndsrättsliga aspekter av databehandlingen. Det huvudsakliga syftet med uppsatsen är att 1 Christner Anders & Edvardsson Tobias, Cloud Computing, 1:a u., okänt förlag, Stockholm, 2011, s. 11-16 7
utreda rättsläget kring leverantörens skadeståndsansvar för skador som denne orsakar kunden med anledning av att kundens data placeras i molntjänsten. Redogörelsen i denna uppsats behandlar därför följande frågor: Kundens skada. För att utreda leverantörens ansvar följer inledningsvis en redogörelse av kundens skada. Ur ett fågelperspektiv är kundens skada den negativa förändring eller felbehandling av data som orsakas med användning av leverantörens molntjänst. Vid en närmare anblick konstateras att kunden i tjänsten lagrar data av stor särart, vissa mer känsliga än andra. Inte sällan föreskriver dataskyddslagstiftning att data innehållande känslig information ska behandlas på ett särskilt sätt. 2 Avseende kundens skada kommer jag att behandla skadeståndsansvar med anknytning till personuppgifter och företagshemligheter. Motivet är att sådan information är känslig och vid felbehandling utlöser ett extensivt skadeståndsansvar för kunden. Om den dessutom placeras i en molntjänst exponeras kunden mot risken att leverantören (under dennes vård) felbehandlar sådana data. En naturlig följdfråga är vilket skadeståndsansvar som aktualiseras? Kundens skada i data som innehåller personuppgifter och företagshemligheter kan ha följande karaktärer: 1. Felbehandlingsansvar för skador enligt lag om ansvar för personuppgifter PuL (SFS 1998:204) och lag om skydd för företagshemligheter FHL (SFS 1990:409). 2. Förlust eller negativ förändring av data som innehåller personuppgifter och företagshemligheter, vilket påverkar kundens verksamhet ur ett intäktsperspektiv. Kunden kan inte leverera mot sina kunder och ett skadeståndsansvar uppstår. Jag har valt att behandla endast första punkten; om vilket lagenligt skadeståndsansvar som uppstår enligt dessa lagar. Skälet är att ansvaret ställer särskilda krav på databehandling och datasäkerhet. Två aspekter som alldeles avgörande frågor vid användningen av en molntjänst. Studien tar därför sikte på hur objektiva handlingsregler avseende personuppgifter och företagshemligheter i nämnda lagar kan efterlevas vid användningen av en molntjänst. Vilka hinder uppstår och vilket skadeståndsansvar utlöser som resultat? Leverantörens skadeståndsansvar. Som tidigare nämnt är utgångspunkten i leverantörsansvarsperspektivet. Således följer efter redogörelsen av kundens skada (skadeståndsansvaret enligt PuL och FHL) en utredning om i vilken utsträckning skadan kan överkastas på molnleverantören genom de förpliktelser denne har i tjänsteavtalet med 2 Se personuppgiftslagen PuL 8
kunden. Med andra ord följer en studie i kundens utsikt att genom kontrakt föra en regress mot molnleverantören för ådömt skadestånd. Ett dylikt ansvar kan aktualiseras om kunden placerar data i molnet och leverantörens tekniska lösning av någon anledning brister, med konsekvensen av att kunden förbryter sig mot handlingsregler i nämnda lagar. Detta aktualiserar frågan om i vilka fall leverantören blir ansvarig för kundens skador vilket studeras i uppsatsen. Som tidigare nämnt kommer detta avgöras av de åtaganden leverantören har mot kunden i tjänsteavtalet. Vanligt förekommande är att standardavtalet Cloud Computing appliceras till tjänsteavtalet mellan kund och leverantör. Detta avtal är särskilt anpassat för molntjänster och innehåller ansvarsregler och skadeståndssanktioner. Avtalet är centralt avseende leverantörens kontraktsansvar. Gränsöverskridande aspekter. Leverantören anlitar i stor uträckning utländska underleverantörer för att processa all data som leverantörens kunder förlägger i tjänsten vilket öppnar för en diskussion om gränsöverskridande behörighets- och lagvalsfrågor. Vad innebär detta förhållande för kundens möjlighet att erhålla skadestånd? Ett översiktligt föredrag ägnas åt att beröra detta förhållande. Försäkringslösning. Jag har kombinerat uppsatsskrivandet med praktik på Moderna Försäkringars ansvarsförsäkringsavdelning. Det sista avsnittet av uppsatsen kommer därför att beröra hur leverantörens skadeståndsansvar kan försäkras inom ramen för vad försäkringsmarknaden erbjuder. Skadestånd har en särskilt nära koppling till ansvarsförsäkring och blir därför en viktig aspekt i diskussionen om vem som ska bära de slutgiltiga kostnaderna för skador som har uppkommit i samband med molntjänster. Det skadeståndsrättsliga avsnittet är som tidigare nämnt avgränsat till att beröra leverantörens ansvar för kundens skada avseende felbehandlingsansvar för personuppgifter och företagshemligheter. Därför följer ett fördrag om leverantörens utsikt av att försäkra sig mot ett sådant ansvar. 3 1.3 Metod och material Svensk lagstiftning behandlar inte skadeståndsrättsliga aspekter av molntjänster till någon större utsträckning. Dataskyddsdirektivet 95/46 EC har visserligen lett till stiftandet av PuL, vilket har en anknytning till datasäkerhetsfrågor. Det är den enda lagen som har en anknytning till molntjänster och här har förarbeten och lag kommentarer varit särskilt belysande. Man får ha i åtanke att dataskyddsdirektivet är en relativt gammal 3 Hellner, Jan & Radetzki, Marcus, Skadeståndsrätt, 8:e u., Norstedts juridik, Stockholm, 2010, s.189-191 9
rättskälla, med tanke på att den snabba tekniska utvecklingen snabbt gör juridiken obsolet. Därför är inte direktivet i alla delar relevant för en teknisk avancerad produkt som en molntjänst. Istället har jag funnit vägledning i standardavtalet Cloud Computing, som berör molntjänster. Standardavtalet är den primära rättsliga källan för denna uppsats. Problemet med standardavtal som rättslig källa är att det varken finns förarbeten, lag kommentarer eller rättsfall som närmare berör de frågor som denna uppsats behandlar. Jag har därför sökt vägledning i närliggande rättsliga källor till stöd för mina argument exv. rådets kommentar till Dataskyddsdirektivet. För övrigt utgörs mina rättsliga källor av doktrin på det skadeståndsrättsliga området. Litteratur som Skadeståndsrätt har försett mig med viktiga principiella frågor som ska beaktas vid en skadeståndsrättslig analys. Praktisk IT-rätt är en annan litteratur som har gett mig en större förståelse om samspelet mellan juridik och teknik gällande vissa specifika frågor. Avseende försäkringsavsnittet har studier av försäkringsvillkor varit en viktig källa men även viss doktrin på området exv. Företagsföretagsförsäkring och Försäkringsrätt. 1.4 Bakgrund Vad är en molntjänst? En molntjänst är en teknik där stora skalbara resurser, exempelvis processorkraft, lagring och funktioner, tillhandahålls som tjänster på Internet. 4 Citatet ger uttryck för en rent teknisk definition av vad en molntjänst är, vilket för den oinvigde inte är speciellt klargörande. Min ambition är att ge en lättförståelig förklaring av vad en molntjänst är. Servrar och processorer skapar en virtuell plats för molntjänsten. Kunden kan lagra information av många olika slag i molnet vilket även kan bearbetas genom programvara som har integrerats i tjänsten. Webb-mail, exv. G-mail, är ett exempel på en molntjänst. Man kan i denna tjänst öppna en word fil utan att ha programvara på datorn. Denna teknik kallas för en tredjepartsapplikation, en programvara som vars upphovsrätt uppenbart tillhör annat företag än leverantören eller något företag som ingår i samma koncern som leverantören om inte annat är avtalat. 5 Möjligheten att lagra information i en virtuell tjänst som tillgängliggörs endast genom en Internet uppkoppling är ett steg framåt i utvecklingen. Företag slipper som nämnt att belasta sina egna servrar med information och programvara utan istället tillhandahålls data av tjänsten. Man behöver följaktligen inte vara på kontoret för att få tillgång till företagets data utan man 4 http://comaroundsweden.wordpress.com/tag/molntjanst/ 5 Christner & Edvardsson, a.a., s.77 10
kan befinna sig varstans i världen och sköta sin day to day business. IT användningen görs oberoende av tid och plats. Effektiviseringen är ett faktum. 6 1.5 Vad är riskerna med en molntjänst? Med fördelar följer risker. Genom att förlägga data i molntjänsten förlorar kunden kontrollen över hur den behandlas och istället får man tillförlita sig på leverantören för korrekt behandling. Med andra ord förlorar kunden makten över hur, var och av vem som förfogar över kundens data. Leverantören kontrakterar som nämnt ofta underleverantörer för att processa kundens data. De kan vara etablerade utanför Europas gränser vilket ytterligare försvårar kundens möjlighet till kontroll. En sådan underleverantör kan även ha en lagstiftare som inte tar hänsyn till datasäkerhet. Incitamentet för underleverantören att efterleva datasäkerheten kan därför vara otillräcklig. Drabbas molntjänstens servrar av ett avbrott blir kundens data oåtkomlig vilket kan resultera i ett verksamhetsavbrott för denne vilken kan medföra i allvarliga ekonomiska konsekvenser. Informationen i molnet kan även skadas såsom att den försvinner, decimeras eller felbehandlas. En sådan händelse kan stå i direkt strid mot svensk dataskyddslagstiftning med ett sanktionsansvar som konsekvens. Ju större en molnleverantör blir desto större blir följderna om tjänsten slås ut. På sikt kan det bli ett samhälleligt problem om vitala samhällsfunktioner slås ut med anledning av en serverkrasch. Riskerna reduceras om data inte koncentreras till en och samma molntjänst utan sprids mellan olika leverantörer. Å andra sidan är det ur kundens synvinkel lämpligast att välja en pålitlig och framgångsrik molntjänst för att undvika risken att leverantören går i konkurs. Kundens data kan gå förlorad som en konsekvens av en konkurs. Nämnda risker ställer betydande krav på att molnleverantören lever upp till de krav på säkerhet och tillgänglighet som ställs. En kund bör därför välja en molnleverantör med stor omsorg. För att fördelarna ska vara större än riskerna ställs det stora krav på att avtal täcker upp de eventuella risker som associeras med molntjänster. Risker bör jämnas ut av skadeståndsrättsliga sanktioner i avtalet till följd av leverantörens eventuella felbehandling. Annars kan denna tekniska revolution bli ett nollspel för kunden. 7 2. Molntjänstens gränsöverskridande aspekter What is the Matrix? Control. The Matrix is a computer-generated dream world built to keep us under control in order to change a human being into this. 6 Christner & Edvardsson, a.a., s.14-15 7 Christner & Edvardsson, a.a., s. 16, 52 11
Citatet är taget ur filmen the Matrix och belyser problemet med Internet som ett fenomen. Man ser Internet som en cyber rymd som svävar ovanför oss med avsaknad av en geografisk plats. Samma betänkligheter kan man ha om en molntjänst. För att angripa den gränsöverskridande aspekten av en molntjänst bör man snarare ha en pragmatisk utgångspunkt, och inte se Internet som ett rum där företeelser som att avtal ingås eller skador inträffar. All användning av Internet anknyter till en fysisk plats. Följande avsnitt handlar om att finna starka anknytningspunkter som utgångspunkt för att avgöra behörighet och lagvalsfrågor med de skadeståndsrättsliga frågeställningar som uppstår med en molntjänst. Det är viktigt att notera att jag studerar svenska förhållanden. Utgångspunkten är att både leverantör och kund är svenska rättssubjekt. Sett till att båda parter är svenska uppkommer i denna bemärkelse inga gränsöverskridande frågor. Lagvals och behörighetsfrågor avgörs av svensk rätt genom rättegångsbalkens bestämmelser. 8 Det finns likväl aspekter av en molntjänst med svenska parter som ändå aktualiserar gränsöverskridande frågor. Leverantören anlitar som bekant underleverantörer vilket inte sällan är etablerade utomlands. Dessa underleverantörer är de som de facto processar kundens data vilket resulterar i att kundens IT-skada som inträffar med anledning av användning av en molntjänst ofta inträffar i utlandet. Slutsatsen är alltså att IT-skadan inte sällan orsakas av ett utländskt rättssubjekt i utlandet. Det ska dock anmärkas att det i praktiken är svårt att bedöma var data befinner sig då den flyttas fram och tillbaks inom loppet av sekunder mellan underleverantörerna som leverantören har anlitat. Det skulle innebära avsevärda svårigheter ur bevishänseende för en skadelidande att peka ut vilken leverantör som orsakat skadan. 9 Värt att nämna är att då kundens data befinner sig i händerna på en utländsk underleverantör så kan det landets datasäkerhetslagstiftning stå i direkt konflikt mot den svenska avseende frågan om hur kundens data ska behandlas. Denna fråga kommer inte vidare diskuteras då den inte har direkt koppling till de aktuella skadeståndsrättsliga frågorna som denna uppsats berör. 10 Den gränsöverskridande frågan om underleverantörerna besvaras i Cloud Computing. Leverantören ansvarar för sina underleverantörers arbete som om arbetet utförts av leverantören själv enligt artikel 5.2. Då leverantören är ett svenskt rättssubjekt kan kunden rikta ett anspråk mot denne för skada som underleverantören har orsakat och därigenom undvika den gränsöverskridande problematiken. Detta faktum tydliggörs ytterligare i Cloud Computing då artikel 27.1 föreskriver att svensk lag ska gälla exklusivt för tolkningen av avtalet utan användning av internationella privaträttsliga regler. Här har vi alltså att göra med en prorogationsklausul. Det rättsliga forumet är antingen skiljedomstol om yrkat skadeståndsbelopp överstiger 25 prisbasbelopp, annars ska talan väckas 8 Lagkommentaren till 10:1 RB 9 Christner & Edvardsson, a.a., s.73 10 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp196_en.pdf, s 10 12
vid allmän domstol. 11 Frågan om behörighet och lagval är alltså reglerad i avtalet och har sitt ursprung i 1997 års dataskyddsdirektiv som ställde krav på medlemsländerna att införa sådan reglering. Dataskyddsdirektivet föreskriver att vid fråga om vilket lands lag som ska gälla, ska hänsyn tas till var avtalet mellan en leverantör och kund ingås snarare än var tjänsten utförs. 12 I ingressen till avsnittet poängterade jag betydelsen av att identifiera en anknytningspunkt för avgörandet av de gränsöverskridande frågorna av molntjänster. Anknytningspunkten är således var avtalet ingås mellan parterna. Det går därför att sammanfatta att Cloud Computing löser frågorna om de gränsöverskridande aspekter som följer av molntjänstens internationella karaktär. Om avtalsparterna väljer att applicera standardavtalet till det individuella tjänsteavtalet bör lagvals- och behörighetsreglerna i 27.1 gälla även för det individuella avtalet. Med andra ord smittar artikel 27.1 av sig på tjänsteavtalet vilket innebär att hela avtalsrelationen mellan leverantör och kund omfattas av nämnda bestämmelser. Visserligen kan man föra en diskussion om kundens skadeståndsanspråk mot underleverantören för skada som inte har sin grund i standardavtalet eller det individuella tjänsteavtalet. Enligt min bedömning skulle en sådant utomobligatoriskt anspråk inte i något avseende röra aspekter av molntjänster och blir därför inte intressant att närmare beröra. 3. Kundens skadeståndsansvar 3.1 Allmänt om lagenligt skadeståndsansvar Utgångspunkten för skadeståndsansvar är skadeståndslagen SkL. 1 kap 1 i SkL föreskriver att: I denna lag meddelade bestämmelser om skadestånd tillämpas, om ej annat är särskilt föreskrivet eller föranledes av avtal eller i övrigt följer av regler om skadestånd i avtalsförhållanden I det följande berörs kundens skadeståndsansvar enligt lag om personuppgifter PUL och lag om företagshemligheter FHL, d.v.s. särskilt föreskrivna lagar. Således gäller skadeståndsregler i dessa lagar framför SkL. SkL är med andra ord dispositiv. Vidare behandling av kundens skadeståndsansvar blir därför en studie i det lagenliga skadeståndsansvaret enligt dessa lagar. SkL är tillämplig avseende skadeståndsrättsliga principer såsom adekvat kausalitet och skadeståndets bestämmande enligt 5-6 kap SkL då endera av lagarna reglerar dessa förhållanden till någon större utstäckning. Den särskilt föreskrivna lagen samt SkL samverkar därför vid avgörandet av omfattningen av skadeståndsansvaret för kunden. 11 Christner & Edvardsson, a.a., s.109-110; Bogdan Michael, Svensk Internationell Privat- och Processrätt, Elanders Sverige AB, Vällingby, 2010, s.127-129 12 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp196_en.pdf, 3.2 applicable law 13
Förutsättningarna för skadeståndsansvar skiljer sig åt i PuL och FHL. Den förra föreskriver ett strikt ansvar som förutsättning för skadestånd medan den senare förskriver culpa. Det strikta ansvaret utlöser skadeståndsansvar vid objektiva förutsättningar (strid mot objektiv handlingsregel) medan culpa ansvar innehåller både subjektiva aktsamhetsnormer som objektiva förutsättningar. 13 3.1.2 Kundens relation till leverantören Studien om kundens skadeståndsskyldighet är särskilt viktigt att belysa då kunden äger sina data och ansvarar för det även då det förläggs i molntjänsten. 14 Data som omfattas av denna studie dvs. personuppgifter och företagshemligheter, är särskilt känslig information som vid felbehandling från kundens sida kan skada en tredje part. Den tredje parten är ofta subjektet för informationen och det är i princip av avgörande betydelse att den inte sprids utanför en viss avgränsad krets för att inte orsaka tredje parten en skada. Då kunden i egenskap av ägare till sina data är exklusivt ansvarig enligt de lagar jag kommer att studera har det en mindre betydelse att skadan sker på grund av molntjänsten för något som leverantören ansvarar för. Kunden har att ersätta sådant lagenligt skadeståndsansvar i det allra flesta fall. Frågan om leverantörens ansvar blir därför en sekundär fråga om hur kunden kan föra en regress talan mot leverantören för skada kunden har lidit. Leverantörens skadeståndsansvar behandlas vidare i kapitel 5. 3.2 Kundens personuppgiftsansvar 3.2.1 Allmänt Personuppgifter är sådan känslig information som kräver att den som behandlar uppgifterna gör det på ett korrekt och lagenligt sätt. Dataskyddsdirektivet 95/46 EC ligger bakom implementerandet av personuppgiftslagen, PuL, i svensk lagstiftning. Lagen ställer krav på hur, var och på vilket sätt personuppgifter får behandlas. Ett kundregister eller patientjournaler är exempel på samlingar av personuppgifter, vissa känsligare än andra beroende på vilket typ av information som berörs om personen i fråga. Framställningen i detta avsnitt redogör för de skadeståndsrättsliga aspekter som aktualiseras när kunden förlägger personuppgifter i molnet. 15 3.2.2 Rättsförhållandet mellan personuppgiftsansvarig och personuppgiftsbiträde Lagen är utformad med förutsättningen att det finns en personuppgiftsansvarig 13 Hellner & Radetzki, a.a., s.103-108 14 Christner & Edvardsson, a.a., s.92 15 Christner & Edvardsson, a.a., s.29 14
och ibland även ett personuppgiftsbiträde om någon annan än personuppgiftsansvarig vårdar personuppgifterna. Enligt 3 PuL är personuppgiftsansvarig: den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter Ur ett molntjänst perspektiv är kunden personuppgiftsansvarig enligt 16.1 i Cloud Computing och 3 i PuL. Kunden bestämmer syftet med behandlingen av personuppgifter. Leverantören är personuppgiftsbiträde när kunden placerar personuppgifter i molnet enligt lagens mening då 3 föreskriver att: den som behandlar personuppgifter för den personuppgiftsansvariges räkning är personuppgiftsbiträde. 16 Kundens ansvar för leverantörens behandling av personuppgifterna har liknelser med ett principalansvar. Detta förhållande berörs närmare i 4.2.5. 3.2.3 Objektiva handlingsregler Kunden är alltid ansvarig för de personuppgifter denne behandlar och är enligt 9 i PuL ensamt ansvarig att leva upp till bestämmelserna i lagen. 17 Leverantören ska som biträde endast behandla personuppgifter i enlighet med kundens instruktioner enligt 30 1 st. i PuL. För att säkerställa leverantörens efterlevnad av dessa instruktioner ska ett personuppgiftsavtal upprättas mellan kund och leverantör enligt 30 2 st. i PuL. Personuppgiftsavtalet appliceras följaktligen till standardavtalet. 18 Leverantören ska i sin tur upprätta personuppgiftsbiträdesavtal med sina underleverantörer så att instruktionerna respekteras genom hela leverantörskedjan enligt 16.1 i Cloud Computing. Om leverantören låter underleverantörer behandla kundens personuppgifter ska kunden ge en fullmakt härom. 19 Kunden har inte endast ett ansvar för att ge leverantören instruktioner om hur personuppgifterna ska behandlas utan även att leverantören ska vidta de tekniska och organisatoriska åtgärder som krävs för att personuppgifterna skyddas enligt 31 1 st. i PuL. I praktiken har inte kunden möjlighet att vidta några av dessa åtgärder då denne är i händerna på leverantörens standardiserade lösning. Skrivningen bör tolkas så att kunden ska välja en leverantör som har de säkerhetsmässigt tekniska förutsättningarna som krävs för att behandla personuppgifter på ett korrekt sätt och sedan förstärka dessa krav i personuppgiftsavtalet. Enligt 31 2st i PuL ska kunden förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste 16 Lagkommentaren till 3 i PuL 17 Förarbeten till 9 i PuL 18 Lagkommentaren till 30 i PuL 19 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp196_en.pdf, 3.3.2 Subcontractors 15
vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna. Kundens möjlighet att förvissa sig om och se till att leverantören genomför säkerhetsåtgärder kan som nämnt endast göras genom kontraktsåtaganden i personuppgiftsavtalet. För att säkerställa att leverantören lever upp till sina avtalsenliga förpliktelser bör sanktionsklausuler införas till avtalet för vilka leverantören blir skadeståndsskyldig vid bristande uppfyllelse. 20 Den personuppgiftsansvarige bör kräva en uttömmande förteckning över vilka personuppgiftsbiträden som anlitas för att behandla personuppgifterna. Leverantören anlitar som nämnt ofta utländska underleverantörer för att processa data. Det finns ett uttryckligt förbud i 33 i PUL mot överföring av personuppgifter till tredje land om inte landet har en adekvat nivå för personuppgiftsskydd. Därav anledningen till kontroll. I artikel 16.2 i Cloud Computing krävs det att leverantören tillser att underleverantörer situerade utanför EU/EES undertecknar EU:s standardavtalsklausuler för överföring av personuppgifter till registerförare i tredje land. EU:s standardavtalsklausuler säkerställer kravet på adekvat personuppgiftssäkerhet i enlighet med kraven i dataskyddsdirektivet. Personuppgiftsansvarig ska i sitt avtal med personuppgiftsbiträdet ge en fullmakt till leverantören att som ombud teckna en sådan standardavtalsklausul. 21 I ett uppmärksammat fall har Datainspektionen kritiserat hur Enköpings kommunstyrelse har använt det publika molnet Dropbox för att placera personuppgifter. Dropbox var personuppgiftsbiträde och kommunen personuppgiftsansvarig. Kommunens användning av molnet levde inte upp till de krav som PuL kräver gällande säkerhetsmässiga aspekter som autentisering, behörighetskontroll och säkerhetskopiering. Det fanns heller ingen styrning i frågan om vilka underleverantörer som tar hand om personuppgifterna och ett eventuellt brott mot överföring till en underleverantör i tredje land(utanför EU/EES). Datainspektionen anmärkte även att kommunen inte har införstått sig i avtalet med Dropbox och därför inte har gjort någon tydlig risk- och sårbarhetsanalys. Kommunen har med andra ord ingen vetskap om Dropbox lever upp till reglerna i PuL. Då detta avgörande inte baseras på att någon skada har inträffat är det snarare ett avgörande i om kommunen som personuppgiftsansvarig har levt upp till de krav som PuL s säkerhetsbestämmelser i 30 32 ställer. Fallet ger uttryck för de krav på objektiva handlingsregler som gäller enligt lagen och beskrivs mer ingående i det följande. 22 3.2.4 Skadeståndsansvar För det fall personuppgifter behandlats i strid mot PuL ska kunden ersätta den registrerade för den skada samt kränkning av den personliga integriteten som uppstår enligt 48 i PuL: 20 Förarbeten till 31 PuL 21 Lagkommentaren till 33 i PUL; Christner Edvardsson, a.a., s.29 22 http://www.datainspektionen.se/documents/beslut/2011-09-30-enkopings-kommun.pdf 16
Den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat. Ansvaret är således en utvidgning mot vad som gäller enligt allmänna skadeståndsrättsliga regler i SkL då all skada, såväl sakskada, personskada och ren förmögenhetsskada ska ersättas. Bestämmelsen kan jämföras med SkL bestämmelser om att sak-, och personskada ersätts vid culpa enligt 2:1 och ren förmögenhetsskada först vid brott enligt 2:2. Kränkningsersättning, som är en variant av personskada, ska även utgå om skadan har kränkt den personliga integriteten. Ersättningen är därför tudelad. Även denna ersättning är oberoende av ett vållandemoment och är ett avsteg mot 2:3 i SkL som förutsätter brott. Kunden behöver varken uppsåtligen eller genom culpa ha orsakat skadan utan skadeståndsansvaret är strikt. Så snabbt den personuppgiftsansvarige har stridit mot lagens handlingsregler blir denne skadeståndsansvarig. Enligt 9 1 st punkt b i PuL ska personuppgifter behandlas med god sed. Den goda seden kopplas till de branschregler som gäller för det särskilda området där uppgifterna behandlas. I förevarande fall blir molnleverantörens goda sed aktuellt. 23 Det ska påpekas att bestämmelsen ger uttryck för ett förhållningssätt till hur personuppgifter ska behandlas i en molntjänst miljö. Ansvaret är ju som sagt strikt. Enligt artikel 16.1 i Cloud Computing ansvarar leverantören som personuppgiftsbiträde inte till någon del för skadeståndsansvaret i PuL. Då leverantören är ansvarsbefriad från lagenligt skadeståndsansvar kan man fråga sig om incitamentet för leverantören att följa personuppgiftsavtalet till punkt och pricka är tillräckligt stark. Nu är situationen inte riktigt så enkel då kunden fortfarande har en möjlighet att återkräva ersättning genom skadeståndsklasuler i standardavtalet. Mer om detta i kapitel 4. 3.2.5 Orsakssamband och adekvans Då kunden i egenskap av personuppgiftsansvarig ensamt ansvarar för skador relaterade till personuppgifter som denne vårdar finns det inget skäl att göra en ingående bedömning av orsakssamband och adekvans. Den personuppgiftsansvarige kunden ansvarar för vad den personuppgiftsbiträdande leverantören vållar. Detta förhållande kan liknas med att kunden har ett principalansvar över sin anlitade leverantör avseende behandlingen av personuppgifterna. Vad som däremot är en förutsättning för kundens ansvar är att skadan/kränkningen har orsakats med anledning av en olaglig behandling av personuppgifter. Med olaglig behandling menar jag att behandlingen måste stå i strid mot de objektiva handlingsreglerna som gäller i PuL vilket är närmare beskrivet i 3.2.4. Slutsatsen är att då en objektiv handlingsregel i PuL överträds, för sådan personuppgift som kunden behandlar, resulterar i ett skadeståndsansvar för denne oavsett om kunden eller någon annan har orsakat 23 Lagkommentaren till 9 i PUL; Christner Edvardsson, a.a., s.33 17
skadan. 24 3.2.6 Jämkning av skadeståndsskyldigheten 48 2 stycket i PuL föreskriver att: Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. För det fall den skadelidande har visat att kunden är skadeståndsskyldig för felaktig behandling av personuppgifter kan kunden exculpera sig från ett sådant ansvar. I det följande beskrivs ett antal situationer där kundens skadeståndsansvar kan jämkas eller falla bort till följd av medvållande av olika slag. Jag har liknat ansvaret som personuppgiftsansvarige har mot sina biträden vid ett principalansvar enligt 4:1 i SkL. Ett sådant ansvar tillåter inte regress anspråk mot subjekt som faller under principalen. Personuppgiftsansvaret ger visst utrymme för sådant anspråk. 25 Skadelidandes medvållande. En situation som kan uppstå är att den skadelidande som får sina personuppgifter kränkta är medvållande till skadan. I sådant fall där den skadeståndsskyldige kunden har ett strikt skadeståndsansvar i egenskap av personuppgiftsansvarig och skadelidande genom culpa medverkat till skadan, ska den jämkas enligt 6:1 i SkL. 26 Ett exempel på en sådan situation är att den skadelidande har utgett felaktiga personuppgifter vilket har lett till felbehandling av dessa som i sin tur har triggat ett personuppgiftsansvar för kunden. 27 Flera skadeståndsskyldiga Regress Det är utrett att kunden i egenskap av personuppgiftsansvarig är strikt ansvarig för de skador som skadelidande orsakas enligt PuL. I det fall där annan än skadelidande är medvållande till skadan ska det enligt allmänna skadeståndsrättsliga regler inte jämkas utan fullt skadestånd utgår till den skadelidande. Istället har kunden regressrätt mot en eventuellt medvållande leverantör. Ordet medvållandet kan verka missvisande då kunden själv inte behöver vara vållande till skadan. Ansvaret är som nämnt strikt enligt 48 PuL. Att skadeståndsskyldigheten inte är solidarisk har att göra med det strikta ansvaret och att kunden som ansvarig för sina personuppgifter har ett principalansvar för de personer, förutom den uppgiften berör, som på något sätt felbehandlar informationen. 28 Jämkning 24 Jmfr Hellner & Radetzki, a.a., kap.12 25 Lagkommentaren till 48 i PUL 26 Hellner & Radetzki, a.a., s. 233 27 Lagkommentaren till 48 i PUL 28 Hellner & Radetzki, a.a., s. 249 18
Jag har ändå funnit viss möjlighet till jämkning. I lagkommentaren till 48 PuL framgår det att skadeståndet kan jämkas om det går att visa att den personuppgiftsansvarige inte har orsakat felbehandlingen. Endast den omständigheten att personuppgiftsbiträdet har orsakat felbehandlingen är i sig ingen grund för jämkning. Lagstiftaren menar att den personuppgiftsansvarige i sin tur kan återkräva skadeståndet genom de sanktionsklausuler som förhoppningsvis finns på plats mellan kund och leverantör. Kundens regress möjlighet är begränsad då standardavtalets skadeståndsregler är inskränkta till belopp och skadetyp. Kund ska såsom nämnt även hålla leverantören skadefri mot lagenligt skadestånd. Det går därför att hävda att skadeståndet bör jämkas vid leverantörens försummelse om kunden kan visa att denne har gjort allt i sin makt för att säkerställa efterlevandet av PuL. Med detta menat att kunden i sina kontrakt med leverantören till fullo tillförsäkrat att behandlingen av personuppgifter ska gått rätt till. 29 Om kunden inte har vållat skadan och det strikta skadeståndsansvaret jämkas bör den skadelidande kunna rikta ett utomobligatoriskt skadeståndsanspråk mot leverantören för det överskjutande skadeståndet för det fall denne är vållande till skadan. Skrivningen i standardavtalet om att leverantören ska hållas skadefri mot tredje man gäller endast i kontraktsåtagandet mot kund. Ett sådant anspråk får endast beröra den ekonomiska delen av skadeståndet då det ideella förutsätter stöd i lag. Leverantören är inte ansvarig enligt PuL och därför kan inte något ideellt skadeståndsansvar åligga denne. 30 Oskäligt betungande skadeståndsansvar. Jämkning kan även ske då skadeståndsskyldigheten blir oskäligt betungande för den personuppgiftsansvarige. Havererar en molntjänst och en stor mängd personuppgifter därför felbehandlas kan skadestånden bli många till antal och storlek. Huvudregel är att ersättningsbedömning ska göras var för sig avseende kränkning(det ideella skadeståndet). Om kränkningen rör ett stort antal skadelidande ser man snarare till helheten vilket i sådant fall skulle reducera ersättningen. 31 3.2.7 Beräkningen av skadeståndsersättningen Då PuL inte innehåller några regler om hur ersättningen ska beräknas gäller allmänna regler i SkL för sådan beräkning enligt SkL 1:1 e contrario. Som nämnt är ersättningen uppdelad i en ekonomisk(person-, sak- och ren förmögenhetsskada) och ideell ersättning. Redogörelsen i detta avsnitt tar inte sikte på att redogöra för individuella ersättningssituationer utan snarare principiella frågor kring ersättningen. Beräkning av ersättningen för ekonomisk och ideell skada skiljer sig åt. Den ekonomiska skadan beräknas enligt 5 kap i SkL. Det finns ingen anledning att 29 Lagkommentaren till 48 i PUL 30 Hellner & Radetzki, a.a., s.366 31 Lagkommentaren till 48 i PUL 19
närmare diskutera denna skada då skadan kan vara av stor särart utan det är upp till domstolen i varje individuellt fall att bedöma. Den ideella ersättningen, dvs. skada som inte är av ekonomisk natur, är däremot mer intressant att beröra då 5:6 i SkL innehåller särskilda ersättningsgrunder för kränkning. Det uppräknas ett antal omständigheter att beakta vid bedömningen hur allvarlig kränkningen av personuppgifterna är. Dessa ska sedan bedömas i sin helhet vid bestämmande av ersättning. Ett exempel på vad som kan utgöra en allvarlig kränkning är om personuppgiften görs tillgänglig för allmänheten på Internet under en längre tid och berör särskilt känslig information om sjukdomstillstånd eller bankuppgifter. Ersättningen är till mångt och mycket schabloniserad. 32 3.3 Skadeståndsansvar för företagshemligheter 3.3.1 Inledande ord Följande framställning är avgränsad till att endast beröra det skadeståndsansvar som följer om kunden felbehandlar en företagshemlighet som denna i förtroende har mottagit med anledning av en affärsrelation och som sedan har förlagts i en molntjänst. Anledningen till denna avgränsning är att endast vid förtroendebrott följer ett skadeståndsansvar mot kundens affärspart. Eventuella brottsliga påföljder utesluts ur diskussionen. 3.3.2 Objektiva handlingsregler Kunden kan välja att föra över känslig data av stor variation till molntjänsten. Sådan information kan röra kundens affärspartners affärs- eller driftsförhållanden. I 1 FHL uppställs ett antal rekvisit för att informationen i fråga ska definieras som en företagshemlighet. Är dessa rekvisit uppfyllda skyddas informationen av lagen. Lagras data som innehåller företagshemligheter i molntjänsten exponeras kunden mot stort skadeståndsansvar om det felbehandlas. Det första rekvisitet i 1 är att informationen ska ha något med kundens näringsverksamhet att göra. Det kan vara allt från intern fakta om hur näringsverksamheten är organiserad till affärsrelationer med kunder. 33 Någon särskild kvalité på informationen krävs inte utan begreppet har en vidsträckt innebörd. 34 Det som krävs är att informationen ska ha en anknytning till näringsverksamheten i företaget. 35 32 Lagkommentaren till 5:6 SkL 33 Lagkommentaren till 1 i LFH 34 prop. 1987/88:155 35 NJA1998 s. 633 20
Det andra rekvisitet är att informationen ska vara hemlig. Med det menas att ett begränsat antal personer har kännedom och tillgång till informationen och att anställda i kretsen är förlagda med tystnadsplikt. Informationen görs tillgänglig för en anställd endast då det är en förutsättning för att fullgöra sina arbetsuppgifter. Hur stor kretsen är beror på företaget storlek, där vid små företag kan hela personalen ha vetskap om informationen medan i ett stort företag kan det röra sig om en avdelning. 36 Även då informationen sprids utanför företaget men stannar inom en avgränsad och identifierbar krets räcker för att den ska kvalificeras som hemlig. 37 Arbetsgivaren har en skyldighet att säkerställa att informationen inte yppas utanför den exklusiva kretsen. Det måste alltså finnas en ambition att hålla den hemlig. Hur ett sådant säkerställande går till beror på hur informationen behandlas. Görs affärshemligheten tillgänglig i en molntjänst bör en lämplig åtgärd vara att förse den med kryptering och lösenordsskydd. Vidtas inte en sådan åtgärd kommer informationen förlora karaktären av att vara en affärshemlighet då den läggs i molntjänsten. Det tredje rekvisitet är att röjande eller felbehandling av en affärshemlighet ska resultera i en skada eller risk för skada. Informationen ska alltså ha ett ekonomiskt värde i näringsidkarens hand som går förlorat om det röjs. Endast det faktum att informationen betingar ett värde är inte tillräckligt utan det ska resultera i en skada om den röjs. Det handlar alltså om affärsrelationer och i vilka kunden tar emot företagshemligheter av andra näringsidkare. Det behöver inte vara en befintlig affärsrelation utan även sådan information omfattas som kunden tar emot vid förhandlingar innan ett förestående affärssamarbete inleds. Affärshemligheter kan alltså uppstå innan parterna ingått samarbete och skrivit avtal. Parterna ska kunna förlita sig på att affärshemligheter som skickas sinsemellan på grund av en affärsrelation eller förestående affärsrelation inte röjs eller på annat sätt felbehandlas. Mottagaren av affärshemligheten ska inse eller bör inse att affärshemligheten tillförtros denne för att hållas hemlig och att det inte finns någon risk för att hemligheten kommer att felaktigt utnyttjas eller röjas. Insikten behöver alltså inte härröra från ett uttryckligt delgivande utan kan vara underförstådd. 38 3.3.3 Skadeståndsansvar enligt FHL Mottagaren blir ansvarig för sin affärspartners skada då denne obehörigen utnyttjar eller röjer företagshemligheten genom uppsåt eller culpa enligt 6. Paragrafen föreskriver att: Den som uppsåtligen eller av oaktsamhet utnyttjar eller röjer en företagshemlighet hos en näringsidkare som han i förtroende har fått del av i 36 Lagkommentaren till 1 i LFH 37 RH 2002:11 38 Lagkommentaren till 1 i LFH 21
samband med en affärsförbindelse med denne skall ersätta den skada som uppkommer genom hans förfarande. Vid culpabedömningen ska alltså endast hänsyn tas till obehöriga angrepp på företagshemligheter enligt 2. Sådana situationer där en företagshemlighet offentliggörs inför en myndighet i samband med en brottsutredning är ansvarsbefriande. 39 Detta bör även gälla då molnleverantören får ett sådant krav från en myndighet att lämna ut en kunds företagshemlighet. 40 Det finns inga rekvisit för när skadevållaren är culpös varken i lagen, förarbeten eller rättsfall. Anledningen är främst att de flesta förtroendemissbruk är uppsåtliga sett till tillgängliga rättsfall. Exempel på ett uppsåtligt handlande är om en part tar in ett affärsanbud endast med avsikten att utnyttja den affärshemlighet som då tillgängliggörs. 41 Uppsåtliga fall är något som främst kommer vara ett förhållande mellan kunden och dess affärspart. Det snarare vid culpa som molntjänsten som sådan aktualiseras. Det är då den tekniska lösningen av molntjänsten på något sätt har brustit, som har resulterar i att en företagshemlighet röjs. Med andra ord då kunden har brustit i sina instruktioner mot leverantören eller då leverantören inte har levt upp till instruktioner givna av kunden. Med instruktioner menas här tillräckliga säkerhetsåtgärder för att företagshemligheten bevaras inom den exklusiva kretsen. Jag kommer inte gå närmare in på culpa bedömningen då uppsåt är den vanligaste triggern för ansvar. 3.3.4 Beräkning av skadeståndsersättningen särskilda synpunkter All skada ersätts innefattande personskada, sakskada och ren förmögenhetsskada. Skadeståndet har en reparativ funktion och ska som utgångspunkt ersätta skadelidandes hela skada. Skadeståndet är en utvidgning mot vad som ersätts enligt allmänna skadeståndsrättsliga regler i SkL. Inte endast ekonomisk skada ersätts utan även andra omständigheter av annat än ren ekonomisk betydelse ersätts enligt 9. Denna reglering tar främst sikte på det mervärde som den missbrukande parten vinner på att röja hemligheten. Lagstiftaren har en ambition att skadeståndet inte endast ska spegla den ekonomiska skada parten lider utan även att förebygga ett otillbörligt utnyttjande, d.v.s. ett preventivt syfte. Tanken bakom detta ställningstagande är att på så sätt beräkna skadans totala omfattning av att en företagshemlighet röjs. Det kan ge påtagliga konkurrensfördelar för skadevållaren att läcka 39 Lagkommentaren till 2 i LFH 40 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp196_en.pdf, s.10 41 NJA1990 s 567 22
företagshemligheter vilket bör stävjas. 42 Därför ska andra faktorer spela in såsom vad den missbrukande parten vinner på att företagshemligheten röjs. 43 Skadelidande har bevisbördan för ersättningens storlek. Det är inte en särskilt enkel uppgift att beräkna skadan av felbehandlingen av företagshemligheter, exempelvis att beräkna den ekonomiska skadan av en negativ konkurrenspåverkan på marknaden. 44 I RH 2002:61 behandlas hur skadans storlek ska beräknas. I detta fall rörde det sig om ett kundregister som var att anse som en företagshemlighet. Kundregistret offentliggjordes med konsekvensen att skadelidande led en stor ekonomisk förlust medan skadevållarens intäkter ökade nämnvärt. Den skadevållande stärktes nämnvärt i konkurrenshänseende av att skadelidande fick sitt register offentliggjort. Hovrätten dömde ut skadestånd med hänsyn till både vad skadelidande förlorat i intäkter samt vad skadevållaren ökat i sina intäkter. Den senare ersättningen är alltså att se som ett allmänt skadestånd. 3.3.5 Skydd för företagshemligheter i avtalsförhållanden Min redogörelse behandlar det lagenliga skadeståndsansvaret enligt FHL. Det finns ändå anledning att beröra avtalsförhållanden då skydd för företagshemligheter inte sällan uppnås i kontrakt via sekretessklausuler där avtalsparter förbinder sig att endast behandla affärshemligheten på ett visst sätt. En sådan klausul är speciellt förekommande då läckagerisken är stor. Det får anses innebära en särskilt risk att låta en molnleverantör omhänderta kundens data därför bör klausulen vara aktuell. I sådant fall är kunden skadeståndsskyldig vid felbehandling av sekretessbelagd information enligt sanktioner i avtalet. Vanligtvis kräver ett sådant kontraktuellt åtagande inte att avtalsparten är vårdslös som en förutsättning för skadeståndsansvar. Skadeståndsansvaret utvidgas därför i kontraktet gentemot vilka situationer skadeståndsansvar aktualiseras i lag om företagshemligheter. Kunden bör, som en säkerhetsåtgärd, i förhållande till molnleverantören införa en klausul i standardavtalets specifikation som föreskriver att molnets tekniska infrastruktur ska kunna möjliggöra att särskild data innehållande företagshemligheter kan krypteras och lösenordsskyddas. 45 3.3.6 Särskilda aspekter om företagshemligheter i molntjänsten Standardavtalet innehåller inga specifika regler om företagshemligheter, som det gör med personuppgifter. Branschen har uppenbarligen inte sett något särskilt behov av en sådan reglering. Som tidigare nämnt är det kundens ansvar att hålla leverantören skadefri från eventuella lagöverträdelser samt kränkning 42 Förarbeten till 9 i LFM 43 RH 2002:11 44 Förarbeten till 9 i LFM 45 Prop. 1987/88:155 s. 22 23
av tredje man rätt enligt artikel 7.1 i Cloud Computing. Därför ställs det höga krav på kunden att i specifikationen till standardavtalet göra det särskilt klart vilka åtgärder leverantören måste vidta för att möjliggöra ett adekvat skydd för företagshemligheter. Med andra ord åtgärder som gör det möjligt för kund att hålla företagshemligheten inom den exklusiva kretsen. Det är återigen påpekas att leverantörens ansvar endast rör den tekniska lösningen i enlighet med de krav som ställs av kunden i specifikationen. Hur företagshemligheter i sig behandlas är kundens ansvar. 4. Molnleverantörens skadeståndsansvar 4.1 Allmänt om skadestånd i avtalsförhållanden Utgångspunkten för molnleverantörens skadeståndsansvar mot kunden är en bedömning av kontraktsansvaret då standardavtalet med dess skadeståndsrättsliga klausuler appliceras på det individuella avtalet mellan parterna. Således är det ett avsteg från skadeståndslagens skadeståndsregler. Ett avsteg från allmänna skadeståndsrättsliga regler in i kontraktsvärlden är tillåten då skadeståndslagen är dispositiv enligt 1:1 SkL, som tidigare nämnt. I SkL 1:1 står det att: I denna lag meddelade bestämmelser om skadestånd tillämpas, om ej annat är särskilt föreskrivet eller föranledes av avtal eller i övrigt följer av regler om skadestånd i avtalsförhållanden. Detta gäller endast då avtalet innehåller skadeståndsregler, annars blir skadeståndslagen direkt tillämplig på kontraktet. Skadeståndsregler i avtal och skadeståndslagen samverkar därför i avtalsförhållanden då regler som inte föreskrivs i avtal utfylls av skadeståndslagens regler och allmänna skadeståndsrättsliga principer. 46 Tanken med skadeståndsklausuler i standardavtal är att komma så pass nära den skadeståndsrättsliga problematiken och lösningen tänkbart. Gällande en teknisk produkt som en molntjänst, både rent juridiskt och praktiskt, lämpar sig ett standardavtal mycket väl här. Standardavtalet appliceras till det individuella avtalet mellan kund och leverantör, varför det är en central utgångspunkt och källa för mitt fortsatta föredrag. Frågor som berörs av skadeståndsklausuler i standardavtalet må ha företräde framför SkL men kan omfattas av tvingande lagregler som föreskriver ett särskilt skadeståndsansvar. Exempel på detta är standardavtalets skrivning i artikel 16 om personuppgiftsansvar vilket tar sikte på att förtydliga att kunden är exklusivt ansvarig för behandlingen av personuppgifter enligt vad PuL föreskriver. 47 Detta förhållande berör endast den kontraktuella relationen mellan leverantör och kund och således inte det strikta personuppgiftsansvar 46 Hellner & Radetzki, a.a., s.91 47 Hellner & Radetzki, a.a., s.171 ff 24