Einde inhoudsopgave
Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/6.5.1
6.5.1 Engeland
mr. T.F. Walree, datum 01-02-2021
- Datum
01-02-2021
- Auteur
mr. T.F. Walree
- JCDI
JCDI:ADS267466:1
- Vakgebied(en)
Privacy / Verwerking persoonsgegevens
Voetnoten
Voetnoten
Artikel 23 Dataprotectierichtlijn was de voorloper van artikel 82 AVG, en regelde het recht op schadevergoeding in de richtlijn.
UK Court of Appeal 2 oktober 2019, [2019] EWCA Civ 1599 (Lloyd/Google), punt 64.
Dit moet het ook doen op grond van het Unierechtelijke gelijkheidsbeginsel, dat stelt dat procedureregels voor vorderingen voor schendingen van het Unierecht, niet ongunstiger mogen zijn dan die voor soortgelijke nationale vorderingen. HvJ EG 16 december 1976, C-33/76, ECLI:EU:C:1976:188 (Rewe), punt 5; HvJ EG 16 december 1976, C-45/76, ECLI:EU:C:1976:191 (Comet), punt 13; HvJ EG 13 maart 2007, C-432/05, ECLI:EU:C:2007:163 (Unibet/Justitiekanslern), punt 43; HvJ EU 9 december 2010, C-568/08, ECLI:EU:C:2010:751 (Combinatie Spijker/Provincie Drenthe), punt 91.
UK Court of Appeal 2 oktober 2019, [2019] EWCA Civ 1599 (Lloyd/Google), punt 11.
UK Court of Appeal 2 oktober 2019, [2019] EWCA Civ 1599 (Lloyd/Google), punt 46, 56.
UK Court of Appeal 17 december 2015, [2015] EWCA Civ 1291 (Gulati/MGM), punt 48. Het CoA kende hier een schadevergoeding toe wegens het ‘loss or diminution of a right to control formerly private information’.
UK Court of Appeal 2 oktober 2019, [2019] EWCA Civ 1599 (Lloyd/Google), punt 70-71.
Vergelijk UK Court of Appeal 27 maart 2015, [2015] EWCA Civ 311 (Google/Vidal-Hall), punt 78.
Vergelijk respectievelijk artikel 16, 17 en 18 AVG.
UK Court of Appeal 2 oktober 2019, [2019] EWCA Civ 1599 (Lloyd/Google), punt 44, 54, 55, 65.
Havu 2012, p. 412-413; Sieburgh 2014, p. 529. De voorwaarde dat een schending voldoende gekwalificeerd moet zijn geldt wel bij aansprakelijkheid van de Unie en lidstaten. HvJ EG 8 oktober 1996, gevoegde zaken C-178/94, C-179/94, C-188/94, C-189/94 en C-190/94, ECLI:EU:C:1996:375 (Dillenkofer), punt 21-25; HvJ EG 4 juli 2000, C-352/98 P, ECLI:EU:C:2000:361 (Bergaderm), punt 43.
In Lloyd/Google oordeelde het Engelse Court of Appeal (CoA) over de vergoedbare schade op grond van artikel 23 Dataprotectierichtlijn.1 Het CoA vindt het nuttig om te zien hoe de AVG omgaat met het begrip ‘schade’.2 Het betrekt in zijn oordeel ook Engelse privacygerelateerde zaken.3
In het onderhavige geval maakte Google gebruik van een omzeiling in de standaardbrowser van iPhone (Safari). Hierdoor kon het ‘browser generated information’ (BGI) van iPhone-gebruikers verzamelen, zonder hun wetenschap en toestemming. Lloyd vordert namens 4 miljoen gebruikers schadevergoeding. Hij claimt dat Google op basis van de BGI informatie kon genereren over hun surfgedrag, locatie, interesses, etniciteit, sociale klasse, gezondheid en financiële positie.4 Google verkocht die informatie aan adverteerders, waardoor zij hun advertenties konden aanpassen op bepaalde typen gebruikers.
Het CoA overweegt dat controle van de betrokkene over zijn BGI een (economische) waarde vertegenwoordigt, waardoor het verlies daarvan ook een waarde heeft.5 Dit volgt uit de Engelse benadering van het schadebegrip bij privacyschendingen.6 Het CoA oordeelt aldus dat een betrokkene een recht op schadevergoeding heeft bij het verlies van controle over persoonsgegevens, zelfs als hij geen economische schade of ‘distress’ heeft.7 Alleen op deze manier hebben betrokkenen een ‘effective remedy’ voor inbreuken op het gegevensbeschermingsrecht.8 Het CoA onderkent dat er meer ‘remedies’ bestaan, zoals een gebods- of verbodsactie, declaratoir vonnis en/of het recht op rectificatie, wissing en beperking,9 maar deze kunnen de schending zoals in het onderhavige geval niet verhelpen.
Het CoA benadrukt dat de vergoedbaarheid van het controleverlies niet afhankelijk is van de exceptionele aard van de omstandigheden, maar zegt ook dat triviale schendingen zonder concrete schade niet voor vergoeding in aanmerking komen. Naar Engels recht moet de schending immers voldoen aan de ‘threshold of seriousness’.10 Dit is in lijn met het Unierecht. Hoewel het Unierecht bij aansprakelijkheid tussen private partijen niet de voorwaarde stelt dat de inbreuk ‘voldoende gekwalificeerd’ is,11 moet schade in beginsel wel reëel en zeker geleden zijn. Ook daar komen lichte inbreuken zonder concrete gevolgen dus niet voor vergoeding in aanmerking.