Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/7.7.1:7.7.1 Sanctioneer substantiële inbreuken

Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/7.7.1

7.7.1 Sanctioneer substantiële inbreuken

Documentgegevens:

mr. T.F. Walree, datum 01-02-2021

Datum: 01-02-2021
Auteur: mr. T.F. Walree
JCDI: JCDI:ADS267472:1
Vakgebied(en): Privacy / Verwerking persoonsgegevens

In dit proefschrift betoog ik dat voor substantiële inbreuken op de AVG een recht op schadevergoeding moet bestaan, ook als de onrechtmatige verwerking niet leidde tot concreet nadelige gevolgen. Bij het beoordelen of het gaat om een substantiële inbreuk kan de rechter eventueel aanhaken bij het bestaande begrip van de ‘wezenlijke inhoud’. Dit begrip volgt uit artikel 52 lid 1 van het Handvest. Dat artikel bepaalt:

“Beperkingen op de uitoefening van de in dit Handvest erkende rechten en vrijheden moeten bij wet worden gesteld en de wezenlijke inhoud van die rechten en vrijheden eerbiedigen. (..).”

Het recht op de bescherming van persoonsgegevens is gewaarborgd in artikel 8 van het Handvest.1 Elke beperking daarop moet de wezenlijke inhoud daarvan eerbiedigen. Dit betekent dat de beperking op het fundamentele recht niet zo ver mag gaan dat het de kern raakt van het recht2 of dat het afdoet aan het beginsel of recht ‘als zodanig’.3

Het belang van handhaving van de geschonden regel neemt dan toe als de onrechtmatige verwerking de wezenlijke inhoud aantast van het recht op bescherming van persoonsgegevens. Het begrip ‘wezenlijke inhoud van het recht op de bescherming van persoonsgegevens’ wordt in de AVG4 en rechtspraak5 echter nergens alomvattend gedefinieerd.6

Bij het vaststellen van de wezenlijke inhoud kan de rechter allereerst acht slaan op de verwerkingsbeginselen van artikel 8 lid 2 Handvest of artikel 5 AVG. Het vaststellen van het geschonden beginsel (en de daaruit afgeleide bepaling) kan helpen bij het bepalen van de handhavingsurgentie. Uit artikel 83 lid 4 en 5 AVG volgt immers onmiskenbaar dat de handhaving van sommige beginselen en bepalingen urgenter is dan andere. In dit artikel wordt de boetebevoegdheid bepaald. Hieruit volgt dat ‘lid 5-inbreuken’ kwalijker zijn dan ‘lid 4-inbreuken’.7 De bepalingen in lid 4 betreffen grotendeels verantwoordingsverplichtingen,8 terwijl de bepalingen in lid 5 voornamelijk betrekking op de verwerkingsbeginselen en de rechten van de betrokkenen.9 Handhaving wordt dus belangrijker naarmate het een geschonden bepaling betreft die de kern van het recht op de bescherming van persoonsgegevens raakt. Daartegenover wordt handhaving minder urgent als het gaat om een schending van een norm die de verantwoording over de gegevensverwerking regelt.10

De enkele aantasting van een kernbeginsel leidt niet zonder meer tot aantasting van de wezenlijke inhoud.11 Anders zou vrijwel iedere onrechtmatige verwerking leiden tot een aantasting van de wezenlijke inhoud. De rechter moet dus eveneens kijken naar andere factoren om te bepalen of handhaving urgent is. Hierbij kan hij aanhaken bij artikel 83 lid 2 AVG. Daarin staan gezichtspunten voor het nemen van een besluit door de toezichthouder over het opleggen van een administratieve geldboete en de bepaling van de hoogte daarvan.12 Deze lijst bevat aanknopingspunten voor de beoordeling of handhaving urgent is. De tekst van artikel 83 lid 2 AVG luidt:

a): de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
b): de opzettelijke of nalatige aard van de inbreuk;
c): de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;
d): de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32;
e): eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;
f): de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;
g): de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;
h): de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;
i): de naleving van de in artikel 58, lid 2, genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen;
j): het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42; en
k): elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

Deze aanknopingspunten laten bijvoorbeeld zien dat een ernstige en/of langdurige (sub a), opzettelijke (sub b) en/of herhaaldelijke (sub e) inbreuk met betrekking tot gevoelige persoonsgegevens (sub g) uit winstmotieven (sub k) tot handhaving zal noodzaken. Daarentegen zal de handhaving van een kortdurende (sub a), eenmalige (sub e) inbreuk die is ontstaan ondanks de naleving van een goedgekeurde gedragscode (sub j) en waarbij de verwerkingsverantwoordelijke direct in samenwerking met de toezichthoudende autoriteit (sub f en h) is opgetreden om de geleden schade te beperken (sub c), minder urgent zijn.

Toon alle voetnoten

Voetnoten

Voetnoten

Artikel 8 Handvest kan ook tegenover particulieren worden ingeroepen. HvJ EU 13 mei 2014, C-131/12, ECLI:EU:C:2014:317 (Google Spain/Costeja). Zie ook Dalla Corte 2020, p. 37. Vergelijk andere grondrechten: HvJ EU 6 november 2018, gevoegde zaken C-569/16 en C-570/16, ECLI:EU:C:2018:871 (Stadt Wuppertal/Bauer). Zie ook Hartkamp 2019, p. 218-224; Hartkamp 2014, p. 963-964; De Waele 2014, p. 158-164; Alberdingk Thijm & De Vries 2015, p. 177.

Zie bijvoorbeeld HvJ EG 13 april 2000, C-292/97, ECLI:EU:C:2000:202 (Karlsson), punt 45; HvJ EU 26 september 2013, C-418/11, ECLI:EU:C:2013:588 (Texdata Software), punt 84; HvJ EU 3 juli 2014, C-129/13 en C-130/13, ECLI:EU:C:2014:2041 (Kamino & Datema), punt 42; HvJ EU 27 maart 2014, C-314/12, ECLI:EU:C:2014:192 (UPC Telekabel), punt 51. Zie ook Brkan 2019, p. 869; Keulemans 2019, p. 228.

HvJ EU 13 juni 2017, C-258/14, ECLI:EU:C:2017:448 (Florescu e.a.), punt 55; HvJ EU 5 juli 2017, C-190/16, ECLI:EU:C:2017:513 (Fries/Lufthansa), punt 38, 75; HvJ EU 27 mei 2014, C-129/14, ECLI:EU:C:2014:586 (Duitsland/Spasic), punt 58; HvJ EU 27 september 2017, C-73/16, ECLI:EU:C:2017:725 (Puškár), punt 64; HvJ EU 20 maart 2018, C-524/18, ECLI:EU:C:2018:197 (Luca Menci), punt 43. Zie ook uitvoerig Brkan 2019, p. 869. Zie ook EDPS 2017, p. 12.

Art. 9 lid 2 sub g en sub j AVG en artikel 23 AVG.

HvJ EU 8 april 2014, C-293/12 en C-594/12, ECLI:EU:C:2014:238 (Digital Rights Ireland), punt 40; HvJ EU 6 oktober 2015, C-362/14, ECLI:EU:C:2015:650 (Schrems/DPC Ireland), punt 94; HvJ EU 21 december 2016, gevoegde zaken C-203/15 en C-689/15, ECLI:EU:C:2016:970 (Tele2 Sverige AB), punt 101; Advies 1/15 van het Hof van Justitie van 26 juli 2017 overeenkomstig artikel 218 lid 11 VWEU over de ontwerpovereenkomst tussen Canada en de Europese Unie (Passenger Name Records; PNR), ECLI:EU:C:2017:592, punt 150; HvJ EU 16 juli 2020, C-311/18, ECLI:EU:C:2020:559 (Schrems II), punt 170 e.v. Vergelijk ook HvJ EU 13 mei 2014, C-131/12, ECLI:EU:C:2014:317 (Google Spain/Costeja), punt 80-81.

Zie over de wezenlijke inhoud van het recht op bescherming van persoonsgegevens: Brkan 2019, p. 879; Lynskey 2015, p. 174-175; Porcedda 2019, p. 308; Dalla Corte, p. 49-53; Petkova & Boehm 2017 p. 285-300.

Deze artikelleden hebben elk een aparte boetebevoegdheid van de toezichthouder ten aanzien van specifieke bepalingen in de AVG. Zo stipuleert lid 4 een boetebevoegdheid van 10 miljoen euro of 2% van de wereldwijde jaaromzet wegens het schenden van onder meer ‘de verplichtingen van de verwerkingsverantwoordelijke en de verwerker overeenkomstig de artikelen 8, 11, 25 tot en met 39, en 42 en 43’ (sub a). Artikel 5 stipuleert een boetebevoegdheid van 20 miljoen euro of 4% van de wereldwijde jaaromzet wegens het schenden van onder meer ‘de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, overeenkomstig de artikelen 5, 6, 7 en 9’ (sub a) en ‘de rechten van de betrokkenen overeenkomstig de artikelen 12 tot en met 22’ (sub b).

Roerdink & Van der Bunt 2019, p. 253-254.

Echter, de in artikel 83 lid 4 genoemde verplichtingen, zoals artikel 30 (documentatieplicht) en 35 AVG (het uitvoeren van een gegevensbeschermingseffectbeoordeling), vloeien ook voort uit de verantwoordingsplicht ex artikel 5 lid 2 AVG. Tegelijkertijd wordt artikel 5 ook genoemd in artikel 83 lid 5 AVG. Daarnaast is het opmerkelijk dat een schending van de beveiligingsplicht (ex artikel 32 AVG) of van de meldingsplicht ex artikel 34 AVG (genoemd in artikel 83 lid 4) kennelijk minder ernstig is dan bijvoorbeeld het niet voldoen aan het recht op de overdraagbaarheid van gegevens ex artikel 20 (genoemd in lid 5). Artikel 83 lid 4 en lid 5 hebben dus ook een overlap van belangen en verplichtingen.

10.

Vergelijk Lynskey 2015, p. 271.

11.

Vergelijk Brkan 2019, p. 880-881; Dalla Corte 2020, p. 52-55. Zie anders: Datenschutzkonferenz 2018, p. 2.

12.

Zie ook Walree 2020, p. 171 (bij voetnoot 62) (hoofdstuk 6, paragraaf 2.3, bij voetnoot 61).