Einde inhoudsopgave
Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/I.1
I.1 Aanleiding en onderzoeksdoel
mr. T.F. Walree, datum 01-02-2021
- Datum
01-02-2021
- Auteur
mr. T.F. Walree
- JCDI
JCDI:ADS267376:1
- Vakgebied(en)
Privacy / Verwerking persoonsgegevens
Voetnoten
Voetnoten
Zie bijvoorbeeld De Hert & Gutwirth 2009, p. 3-44; Dommering 2010, p. 83-99; Purtova 2011, hfdst. 3; González-Fuster & Gellert 2012, p. 80; Article 29 Data Protection Working Party 2014b, p. 30, 37; Lynskey 2015, p. 211-215; Moerel & Prins 2016, p. 90-91; Tjong Tjin Tai 2016a, p. 367-369; Dalla Corte 2020, p. 54.
Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016 L 119/1).
Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG 1995 L 281) (‘Dataprotectierichtlijn’).
Artikel 94 AVG.
Overweging 11 AVG. De verschillen in de materiële normen tussen de AVG en de Dataprotectierichtlijn zijn in de literatuur extensief beschreven. Zie bijvoorbeeld De Vries & Goudsmit 2016, p. 1553-1560; Van Schelven & Van Schelven 2016, p. 99-108; Zwenne & Mommers 2016, p. 182-189; Kroeks-de Raaij, Westerdijk & Zwenne 2016, p. 50-58; Kranenborg & Verhey 2018, hfdst. 5; Hoofnagle, Van der Sloot & Zuiderveen Borgesius 2019, p. 65-98.
Thole, Ebbers & Laan 2016, p. 199-201; Comijs 2015, p. 250-257; Zwenne & Mommers 2016, p. 189; De Vries & Meijer 2017, p. 691-692; Hijmans 2016b, p. 1092-1098; Oude Elferink & Reus 2017, p. 157-164; Golla 2017, p. 70-78.
Zie ook Engelhard 2019b, p. 194; Verheij 2020, p. 830.
Autoriteit Persoonsgegevens, autoriteitpersoonsgegevens.nl/nl/publicaties/boetes-en-sancties (geraadpleegd op 22 oktober 2020).
Autoriteit Persoonsgegevens 2020, p. 6. Zie ook Walree 2017, p. 921 (hoofdstuk 1, paragraaf 1).
Moerel & Prins 2016, p. 60.
Artikel 3:296 BW.
Artikel 17 AVG.
Vergelijk ook artikel 6:104 BW. Het verzamelen en verhandelen van persoonsgegevens is voor veel ondernemingen een inkomstenbron. Ook worden persoonsgegevens bijvoorbeeld aangewend voor het aantrekken van adverteerders of voor het ontwikkelen of optimaliseren van diensten en/of producten.
Walree 2017, p. 921 (hoofdstuk 1, paragraaf 1); Van der Linden & Walree 2018, p. 108 (hoofdstuk 2, paragraaf 3.3).
Het recht op de bescherming van persoonsgegevens heeft als doel de betrokkene te beschermen tegen lichamelijke, materiële en immateriële schade.1 Op een meer abstract niveau streeft het recht naar het beperken van macht en kennis bij de gegevensverwerker ten behoeve van de bescherming van de ‘vrijheid en autonomie van het individu’.2 Het recht op de bescherming van persoonsgegevens beschermt dus zowel concrete als abstracte belangen.
Het recht op de bescherming van persoonsgegevens is een fundamenteel recht. Dit volgt uit artikel 8 van het Handvest van de grondrechten van de Europese Unie. De Algemene verordening gegevensbescherming (‘AVG’) formuleert de voorwaarden waaronder de verwerking van persoonsgegevens is toegestaan.3 Deze verordening verving de Dataprotectierichtlijn4 op 25 mei 2018.5 Wegens ‘technologische ontwikkelingen en globalisering’ en ‘de mate waarin persoonsgegevens worden verzameld en gedeeld’,6 was er behoefte aan een meer doeltreffende bescherming van persoonsgegevens. In de AVG worden daarom de rechten van de ‘betrokkene’ uitgebreid en werden voor de ‘verwerkingsverantwoordelijke’ en ‘verwerker’ nieuwe verplichtingen gecreëerd en oude verplichtingen uitgebreid.7
Een aanscherping van de verplichtingen was volgens de Uniewetgever op zichzelf niet voldoende. De bestaande en nieuwe verplichtingen kunnen alleen een doeltreffende bescherming van persoonsgegevens bewerkstelligen door een ‘strenge handhaving’.8 In de AVG kent de Uniewetgever derhalve een ruime sortering handhavingsmogelijkheden toe aan de toezichthouder, de betrokkene en belangenorganisaties.
In de literatuur ging veel aandacht uit naar de handhaving door de toezichthouder, en dan vooral naar zijn boetebevoegdheid.9 Boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. De forse boetebevoegdheid van de toezichthouder ondergraaft de noodzaak van civiele handhaving van de AVG. Dit heeft ertoe geleid dat er in de rechtswetenschap aanvankelijk weinig belangstelling was voor de civiele handhaving van het gegevensbeschermingsrecht.
Aanvullende civiele handhaving, door de betrokkene of door belangenorganisaties die zijn belangen vertegenwoordigen, is echter onmisbaar voor een doeltreffende bescherming van persoonsgegevens.10 Publiekrechtelijke handhaving alleen is daartoe ontoereikend. Aangezien elke organisatie, particulier of publiek, persoonsgegevens verwerkt, kan de toezichthouder Autoriteit Persoonsgegevens (AP) onmogelijk toezicht houden op elke organisatie. Ter illustratie: de AP heeft tussen de inwerkingtreding van de AVG en oktober 2020 slechts vijf boetes uitgedeeld en drie dwangsommen geïnd.11 Daar komt bij dat de AP met onderbezetting kampt.12
Het recht op schadevergoeding lijkt het instrument bij uitstek om het ‘handhavingstekort’13 van het gegevensbeschermingsrecht te dichten. Als gegevens onrechtmatig zijn verzameld of doorgegeven, en zijn gebruikt voor oneigenlijke doeleinden of zijn ingezien door onbevoegden, kan de betrokkene weliswaar een verbodsactie14 of een wissingsverzoek15 instellen om toekomstige overtredingen tegen te houden. Deze middelen maken echter niet goed wat er in het verleden is gebeurd. Alleen een schadevergoeding kan eventuele materiële of immateriële schade van een onrechtmatige gegevensverwerking herstellen. Ook kan een vergoeding een tegenwicht bieden aan de grote voordelen die organisaties behalen door de onrechtmatige verzameling en het onrechtmatige gebruik van persoonsgegevens.16 Daarnaast gaat er voor verwerkingsverantwoordelijken een preventieve werking uit van een mogelijke schadevordering, omdat voor hen een financiële prikkel bestaat om de regels omtrent gegevensbescherming (beter) na te leven.
Er bestaat echter een aantal moeilijkheden bij het verkrijgen van een schadevergoeding wegens de onrechtmatige verwerking van persoonsgegevens. Na een onrechtmatige gegevensverwerking is het bijvoorbeeld vaak onduidelijk wat de feitelijke gevolgen zijn, of deze kwalificeren als juridische relevante schade, hoe schade moet worden begroot, en of er een causaal verband tussen de normschending en het nadeel is. Een andere vraag betreft de invloed van het eigen handelen van de betrokkene op de mogelijke schadevergoedingsplicht van de aansprakelijke verwerkingsverantwoordelijke. Bovendien is het nog maar de vraag of de betrokkene daadwerkelijk een procedure zal starten, gezien het gebrek aan kennis bij hem over de gegevensverwerking en de geringe financiële draagkracht. Daar komt bij dat de kosten van de procedure mogelijk niet of nauwelijks opwegen tegen de baten.17 Ook is het onzeker of ook andere partijen dan de ‘betrokkene’ een recht op schadevergoeding hebben en in hoeverre een collectieve procedure soelaas zal bieden voor de bewijsrechtelijke en financiële obstakels. Doordat de belangstelling vanuit de literatuur vooral uitging naar de publiekrechtelijke handhaving is er weinig onderzoek gedaan naar de civiele handhaving van het gegevensbeschermingsrecht, en meer specifiek in hoeverre het recht op schadevergoeding daaraan kan bijdragen.
Deze problematiek gaf aanleiding voor het schrijven van dit proefschrift. Met mijn onderzoek hoop ik duidelijkheid te verschaffen over verschillende aspecten van het recht op schadevergoeding bij een onrechtmatige verwerking van persoonsgegevens en bespreek ik in hoeverre het recht op schadevergoeding kan bijdragen aan de handhaving van het gegevensbeschermingsrecht. De centrale onderzoeksvraag van dit proefschrift luidt:
In hoeverre kan het recht op schadevergoeding bijdragen aan de handhaving van het gegevensbeschermingsrecht?