De kwestie
De kwestie is vrij alledaags en daarmee heel herkenbaar. Een consument koopt bij een electronicaketen een product op krediet. De papieren worden ingevuld en naar een andere balie gebracht. Bij die andere balie komen de papieren per ongeluk in handen van een andere klant. De fout wordt snel ontdekt (binnen een half uur) en alles wordt hersteld. De winkel biedt daarop nog gratis bezorging aan ter compensatie. De klant wil echter meer.
Antwoord van het Hof
De kwestie belandt via Duitse rechtbanken uiteindelijk bij het Hof van Justitie. Dat Hof zet in het dictum nog eens helder de regels op een rij (zoals die ook al grotendeels al wel uit bestaande recente rechtspraak volgden). Aangezien dat dictum vrij helder is, citeer ik het hier integraal:
1. Articles 5, 24, 32 and 82 of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), read together must be interpreted as meaning that in an action for compensation based on Article 82, the fact that the employees of the controller provided to an unauthorised third party in error a document containing personal data is not sufficient, in itself, to consider that the technical and organisational measures implemented by the controller at issue were not ‘appropriate’, within the meaning of Articles 24 and 32.
2. Article 82(1) of Regulation 2016/679 must be interpreted as meaning that the right to compensation laid down in that provision, in particular in the case of non-material damage, fulfils a compensatory function, in that financial compensation based on that provision must allow the damage actually suffered as a result of the infringement of that regulation to be compensated in full, and not a punitive function.
3. Article 82 of Regulation 2016/679 must be interpreted as meaning that that article does not require that the severity of the infringement made by the controller be taken into consideration for the purposes of compensation under that provision.
4. Article 82(1) of Regulation 2016/679 must be interpreted as meaning that the person seeking compensation by way of that provision is required to establish not only the infringement of provisions of that regulation, but also that that infringement caused him or her material or non-material damage.
5. Article 82(1) of Regulation 2016/679 must be interpreted as meaning that if a document containing personal data was provided to an unauthorised third party and it was established that that person did not become aware of those personal data, ‘non-material damage’, within the meaning of that provision, does not exist due to the mere fact that the data subject fears that, following that communication having made possible the making of a copy of that document before its recovery, a dissemination, even abuse, of those data may occur in the future.
Korte samenvatting en duiding
Vrij vertaald zegt het Hof dus in feite:
- Een beveiligingsincident bewijst nog niet dat de beveiliging niet op orde was.
- Schadevergoeding gaat over compensatie van daadwerkelijk nadeel, het heeft geen punitief effect.
- Aangezien het geen punitief effect heeft, is de ernst van de inbreuk dus ook geen factor om in ogenschouw te nemen bij begroting van de schade. Het gaat om de daadwerkelijk geleden schade.
- Wie schadevergoeding wenst moet zowel stellen en bewijzen dat een wetsartikel is overtreden, als dat daardoor schade is geleden.
- Wanneer vaststaat dat een derde een document niet heeft ingezien, dan kan er geen sprake zijn van immateriele schade vanwege de enkele vrees dat er niettemin wellicht in de toekomst toch misbruik van die data zou kunnen worden gemaakt.
Deze overwegingen zijn in lijn met eerdere rechtspraak van het Hof; de opsomming is vooral helder in zijn totaliteit.
Voor organisaties die gegevens verwerken is deze heldere opsomming prettig. Een schadeclaim kan immers niet "zomaar" worden toegewezen. De simpele gedachte (die wij bij datalekken nog wel eens zien) dat er bij een datalek per definitie recht bestaat op schadevergoeding gaat niet op. Het ligt veel genuanceerder.
Leun echter niet achterover!
Tegelijkertijd is het natuurlijk wel zo dat de lat voor de vereiste bescherming wel hoog ligt. Organisaties zullen stevige maatregelen moeten treffen om de bescherming van persoonsgegevens te borgen. En ze moeten dat ook kunnen aantonen (verantwoordingsplicht).
Bovendien geldt: als er een claimant aan de deur klopt die de papieren wel op orde heeft - die dus meer brengt dan het "simpele verhaal" - dat de organisatie dan vermoedelijk juist wel nat gaat. En als uw organisatie op grote schaal gegevens verwerkt, dan kan het vanwege de wet van de grote getallen alsnog snel oplopen.
Vragen?
Heeft u vragen over privacyrecht? Neem gerust contact op.
