(door Federica De Stefani, advocaat en manager van Aidr Regione Lombardia) De sancties die voortvloeien uit een onrechtmatige behandeling van gegevens kunnen van verschillende aard zijn, aangezien volgens de huidige wetgeving strafrechtelijke, administratieve en civiele sancties naast elkaar kunnen bestaan, afhankelijk van de type overtreding.
Over het algemeen zijn we gewend te denken dat de Europese verordening gegevensbescherming alleen voorziet in administratieve sancties voor miljonairs (tot 20 miljoen euro), maar dezelfde verordening voorziet in art. 82 ook de mogelijkheid voor degenen die door onrechtmatige behandeling geleden schade lijden om de desbetreffende vergoeding te vragen.
De regel is onlangs op de voorgrond geplaatst voor een straf van de Oostenrijkse regionale regionale rechtbank, die de vergoeding van de schade als gevolg van de onrechtmatige behandeling van de gegevens heeft bestraft en de voorwaarden heeft gespecificeerd voor het verkrijgen van een vergoeding voor de schade.
Artikel. 82 van de verordening is het in werkelijkheid duidelijk om uitdrukkelijk te voorzien in de vergoeding van de materiële of immateriële schade die is veroorzaakt door een illegale verwerking van gegevens door de personen aan te geven die verplicht zijn een vergoeding te betalen bij de verantwoordelijke voor de verwerking of door de verantwoordelijke voor de verwerking.
Indien de wet enerzijds uitdrukkelijk de toelaatbaarheid van niet-geldelijke schade uitdrukkelijk erkent, anderzijds, om de verplichting tot schadevergoeding te doen ontstaan, is het in wezen noodzakelijk dat:
- een onrechtmatige verwerking van gegevens, dat wil zeggen een actieve of nalatige handeling die een overtreding van de regels van de verordening omvat;
- de schade;
- de etiologische link tussen gedrag en schade.
De verordening bepaalt dat de schade (materieel of immaterieel) vergoedbaar is als deze is veroorzaakt door een schending van de verordening en voorziet in de mogelijkheid voor de gegevensbeheerder en de gegevensverwerker om vrijgesteld te worden van aansprakelijkheid als zij bewijzen dat het schadebrengende feit op geen enkele manier een toe te schrijven aan hen.
Dit betekent dat de aansprakelijkheid die wordt besproken geen objectieve aansprakelijkheid is, maar alleen bestaat in het geval er een oorzakelijk verband bestaat tussen de overtreding van de verordening (toerekenbaar aan de eigenaar of beheerder) en de schadelijke gebeurtenis.
Met andere woorden, de proefpersoon heeft de mogelijkheid om te bewijzen dat hij de verplichtingen die voortvloeien uit de verordening correct heeft nagekomen en dat hij de passende maatregelen voor gegevensbescherming heeft genomen.
Dit is zonder twijfel een zeer brede regelgevende bepaling, om zo te zeggen, als we van mening zijn dat de term "een schending van deze verordening" zonder een verder aspect te specificeren, vereist dat overweging 85 wordt gebruikt voor een voorbeeldlijst, en zeker niet uitputtend, de redenen die de basis zouden kunnen vormen voor een verzoek om schadevergoeding.
Overweging 85 geeft in feite een reeks aspecten aan met betrekking tot:
- verlies van controle over de persoonsgegevens van de geïnteresseerde partijen;
- beperking van hun rechten;
- discriminatie;
- identiteitsdiefstal of usurpatie;
- financiële verliezen;
- ongeoorloofde ontsleuteling van pseudonimisering;
- reputatieschade;
- verlies van vertrouwelijkheid van persoonsgegevens beschermd door het beroepsgeheim
Ten slotte sluit het af met de algemene hypothese van "enige andere significante economische of sociale schade voor de betrokken natuurlijke persoon".
De slotformule sluit aan bij het aanbod van art. 82, die in het algemeen "elke overtreding van deze verordening" aangeeft, waardoor er een ruime mogelijkheid voor identificatie van de specifieke gevallen overblijft.
In een zeer recente uitspraak kwam het Oostenrijkse hogere regionale gerechtshof van Innsbruck (arrest van 13.02.2020 - Az.: 1 R 182/19 b) tussenbeide over de kwestie van vergoeding van schade als gevolg van een schending van de AVG en specificeerde dat vergoeding van schade die voortvloeien uit onrechtmatige verwerking van gegevens valt niet onder re ipsa, maar het is aan de persoon die om vergoeding verzoekt om de schade aan te tonen die voortvloeit uit de onrechtmatigheid van de verwerking en de kenmerken van de geleden schade.
In geschillen is het daarom niet voldoende om te beweren schade te hebben geleden louter vanwege een onrechtmatige behandeling van iemands gegevens, maar het is noodzakelijk om te bewijzen dat er een etiologisch verband tussen beide bestaat.
Het is daarom nodig om uw verzoek te formuleren door de geleden schade toe te lichten, met vermelding van de verschillende bijzonderheden. De schade moet daarom worden gekwalificeerd en gespecificeerd, onder verwijzing naar de soorten risico's die zijn vermeld in de overwegingen 75 en 85 van de verordening, die in ieder geval slechts indicatieve indicaties bevatten. De schade moet daarom gedetailleerd zijn en niet algemeen worden aangegeven door gebruik te maken van een "generieke categorie". De belanghebbende moet ook het bewijs leveren dat hij de geclaimde schade daadwerkelijk heeft geleden. Nogmaals, het volstaat niet om een generieke categorie in te roepen en te beweren de daarmee verband houdende schade te hebben geleden, maar er moet concreet bewijs worden geleverd van de gemelde schade en de omvang van de schade moet ook worden aangetoond. Dit laatste kan in feite niet, als compensatie, worden beschouwd als een eenvoudige zorg of een loutere hinder die voortvloeit uit de illegale behandeling. Met andere woorden, de schade moet als het ware een betekenis hebben om relevant te worden geacht voor de compensatie.
Aan dit alles moet bovendien de etiologische link worden toegevoegd.
De gemelde schade moet een directe oorzaak zijn van het datalek, zoals uitdrukkelijk bepaald in art. 82 van de verordening.
Concluderend is het daarom mogelijk om een vergoeding te krijgen voor de schade die is geleden als gevolg van de schending van iemands persoonlijke gegevens, ook al is het, zoals gezien, onderworpen aan vrij specifieke bewijsbeperkingen.
Bijzondere aandacht verdient het feit dat het niet een objectieve aansprakelijkheid is die automatisch tot schade leidt.
De GDPR is een zeer bijzondere regeling die, op grond van het verantwoordingsbeginsel, de eigenaar een ruime keuze laat met betrekking tot de maatregelen die moeten worden genomen om te voldoen.
Dit vertaalt zich in de mogelijkheid om oplossingen te hebben die geschikt zijn voor een bepaalde realiteit, maar die, indien toegepast op verschillende realiteiten, mogelijk niet de bescherming van persoonsgegevens garandeert.
Voorafgaande evaluatie van de maatregelen die de eigenaar heeft genomen alvorens schadevergoeding te eisen, zal in de nabije toekomst onontbeerlijk zijn om de mogelijke uitkomst van een rechtszaak te beoordelen.