Als we het hebben over de aansprakelijkheid in de zin van de GDPR, dan gaat dat over de relatie tussen de verwerkers en verwerkingsverantwoordelijken enerzijds en personen die schade lijden doordat de GDPR-regels niet nageleefd werden anderzijds. Wie moet er instaan voor de schade die ontstaat? De verwerker, de verwerkingsverantwoordelijke of beide? In deze blog bespreken we wanneer wie aansprakelijk is, op wie de schadevergoedingsplicht rust ten aanzien van de benadeelde persoon en in welke mate verwerkingsverantwoordelijke(n) en verwerker(s) contractueel hun aansprakelijkheid kunnen inperken.
Wie schade lijdt, moet vergoed worden.
Iemand die schade heeft geleden als gevolg van een inbreuk op de GDPR, heeft het recht om daarvoor van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te krijgen. Die schade wordt ruimgeïnterpreteerd. Het gaat niet enkel over materiële schade, maar ook over immateriële schade. Eigenlijk komt het erop neer dat de benadeelde om schadevergoeding te krijgen, niet noodzakelijk geldelijke schade moet aantonen. Moreel leed wordt ook bedoeld. De benadeelde is door schending van de GDPR immers gekrenkt in zijn individuele rechten en vrijheden en op zich kan dat volstaan om schadevergoeding te eisen.
Wie die schadevergoeding aan de gedupeerde moet betalen, hangt af van wie aansprakelijk is.
Wie is aansprakelijk?
Dit zal de verwerkingsverantwoordelijke zijn, de verwerker of zelfs beide. In eerste instantie is de aansprakelijkheidsregeling voor de verwerkingsverantwoordelijke verschillend van die voor de verwerker.
Verwerkingsverantwoordelijke
De feitelijke aansprakelijkheid van de verwerkingsverantwoordelijke hangt ten eerste af van de aard van de concrete GDPR-verplichting die op hem rust. Stel je de vraag: gaat het om een inspanningsverbintenis (“ik moet mijn redelijke best doen”) of een resultaatsverbintenis (“ik moet een bepaald resultaat behalen”)?
Een aantal verplichtingen voor de verwerkingsverantwoordelijken zijn in de GDPR geformuleerd als een inspanningsverbintenis. Wat betekent dat je aansprakelijk zal zijn wanneer je niet alle redelijke inspanningen hebt geleverd die van een normaal bedachtzaam en vooruitziende verwerkingsverantwoordelijke kunnen worden verwacht. Dat is minder streng dan een resultaatsverbintenis, waarbij de je aansprakelijk zal zijn wanneer je een bepaald vereist resultaat niet hebt gerealiseerd.
Een inspanningsverbintenis is bijvoorbeeld dat de verwerkingsverantwoordelijke de gepaste TOMs moet nemen om persoonsgegevens te beveiligen. Hij zal bv. alle nodige inspanningen moeten leveren om persoonsgegevens zo goed als mogelijk te beschermen rekening houdende o.a. met de stand van de techniek en de kosten, maar een hacking kan soms dermate technologisch exceptioneel zijn, dat men onmogelijk van de verwerkingsverantwoordelijke in die concrete omstandigheden zou verwachten daarop voorzien te zijn.
Een belangrijke resultaatsverbintenis voor de verwerkingsverantwoordelijke is bv. dat je de betrokkene moet inlichten wanneer je van plan bent persoonsgegevens van de betrokkene te verwerken voor een ander doel dan waarvoor ze verzameld werden (gevolg van het doelbinding beginsel). Nog een resultaatsverbintenis is dat de verwerkingsverantwoordelijke met de verwerker(s) een verwerkingsovereenkomst sluit met een aantal verplicht op te nemen bepalingen.
Vervolgens geldt dat de verwerkingsverantwoordelijke algemeen aansprakelijk is voor alle schade die voortvloeit uit de onrechtmatige verwerking van persoonsgegevens. Eens er een inbreuk plaatsvindt, zal de verwerkingsverantwoordelijke niet zomaar aan zijn aansprakelijkheid kunnen ontsnappen door te stellen dat hij de fout niet persoonlijk heeft begaan. Als verwerkingsverantwoordelijke ben je als het ware heer en meester over de gegevensverwerking aangezien je zelf de doelen en de middelen bepaalt. Bovendien rust op jou de verantwoordelijkheid dat de gepaste TOMs worden genomen, wat je dan ook nog op elk moment via documenten moet kunnen aantonen (verantwoordingsplicht).
Slechts in twee gevallen kan de verwerkingsverantwoordelijke krachtens de GDPR aan zijn aansprakelijkheid ontsnappen:
- Indien de verwerkingsverantwoordelijke kan bewijzen dat hij op geen enkele wijze verantwoordelijk is voor de schadeveroorzakende gebeurtenis.
Dit moet je streng interpreteren. Deze ontsnappingsroute zal je als verwerkingsverantwoordelijke enkel succesvol kunnen nemen wanneer je kan aantonen dat de schade het gevolg is van een abnormale gebeurtenis die door geen enkele redelijke maatregel kon worden voorkomen. Simpeler gezegd moet je dus een soort overmachtssituatie kunnen aantonen.
- Indien de verwerkingsverantwoordelijke vrijgesteld wordt van aansprakelijkheid door de ‘Richtlijn inzake elektronische handel’ (ook gekend als de e-Commerce richtlijn). Om zich hierop te kunnen beroepen moet de verwerkingsverantwoordelijke de hoedanigheid hebben van een dienstverlener in de informatiemaatschappij die optreedt als tussenpersoon. De richtlijn stelt dergelijke tussenpersonen vrij van aansprakelijkheid voor de inhoud die zij beheren (wat immers persoonsgegevens kan omvatten) indien zij aan bepaalde voorwaarden voldoen.
Een voorbeeld is een dienstverlener-tussenpersoon in het kader van hosting. Dergelijke dienstverlening bestaat eruit dat men fysieke ruimte op een webserver verhuurt waardoor bijvoorbeeld een website in verbinding met het internet wordt gebracht en gehouden. De ‘verhuurder’ van deze serverruimte is dan een dienstverlener- tussenpersoon die niet aansprakelijk zal zijn voor de onwettige activiteit of informatie op die website op voorwaarde dat:
– zodra je als hosting provider op de hoogte bent van het onwettige karakter van activiteiten of informatie, de onwettige inhoud zo snel mogelijk verwijdert of de toegang ertoe onmogelijk maakt; én
– je geen actieve rol vervult ten aanzien van de gehoste inhoud (enkel diensten die een neutrale, louter technische en passieve rol spelen vallen onder de aansprakelijkheidsvrijstelling).
Verwerker
De aansprakelijkheid is minder strikt voor de verwerker dan voor de verwerkingsverantwoordelijke. Wanneer een inbreuk op de GDPR iemand schade berokkent, dan is immers principieel de verwerkingsverantwoordelijke hiervoor aansprakelijk. Enkel in de volgende twee uitzonderingssituaties zal de verwerker aansprakelijkheid zijn:
- de verwerker heeft de specifiek tot hem gerichte verplichtingen van de GDPR niet nageleefd (ook hier zal de aansprakelijkheid overigens afhankelijk zijn van het feit of er op hem/haar een inspanningsverbintenis, dan wel een resultaatsverbintenis rust);
- de verwerker heeft buiten of in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke gehandeld.
De verwerker zal weliswaar ook aan zijn aansprakelijkheid kunnen ontsnappen wanneer hij/zij aantoont zelf op geen enkele manier verantwoordelijk te zijn voor de inbreuk.
Let er wel voor op dat je als verwerker op de duur niet zelf feitelijk het doel en de middelen bepaalt van de verwerking, want in dat geval zal je beschouwd worden als verwerkingsverantwoordelijke en zal je onder de strengere aansprakelijkheidsregeling vallen zoals eerder omschreven voor de verwerkingsverantwoordelijke!
Quid wanneer meerderen tegelijk aansprakelijk zijn?
Het gebeurt vaak dat er voor een project meerdere verwerkers en/of zelfs meerdere verwerkingsverantwoordelijken zijn en dat er dan ook meerdere aansprakelijken zijn. Hoe zit de vork dan in de steel? Omdat dit een complexe situatie is, voorziet de GDPR in een specifieke regel om te garanderen dat de betrokkene effectief vergoed zou worden.
Zijn er dus meerdere actoren tegelijk aansprakelijk volgens wat hierboven is uitgelegd, dan kan de gedupeerde kiezen wie van hen hij of zij aanspreekt voor de vergoeding van de volledige schade. Dat noemt men in het juridisch vakjargon ‘hoofdelijke aansprakelijkheid’. Zodra een verwerkingsverantwoordelijke of verwerker de gedupeerde vergoed heeft, kan deze vervolgens een regresvordering instellen tegen de andere aansprakelijke(n). Met andere woorden kan hij de andere betrokken verwerkingsverantwoordelijke(n) en/of verwerker(s) aanspreken voor hun gedeelte van de schadevergoeding. Dat gedeelte komt dan overeen met hun aandeel in de aansprakelijkheid voor de geleden schade.
In welke mate kan je de aansprakelijkheid contractueel inperken?
Tegenover de benadeelde zelf kunnen noch aansprakelijke verwerkers, noch aansprakelijke verwerkingsverantwoordelijken zich contractueel vrijwaren van aansprakelijkheid.
Onderling hebben de verwerker(s) en verwerkingsverantwoordelijke(n) wel enige ruimte om contractueel hun verdeling van aansprakelijkheid tegenover elkaar te regelen, maar ook hier geldt zeker geen volledige contractuele vrijheid. De GDPR mag immers niet geschonden worden.
- Ten eerste kan men natuurlijk wel stipuleren dat een van de partijen volledig aansprakelijk is jegens de betrokkene indien de fout exclusief te wijten is aan die partij. Maar dat wordt eng geïnterpreteerd, zeker in het geval van de verwerkingsverantwoordelijke.
- Ten tweede kunnen ze onderling een beperking van aansprakelijkheid invoeren die enkel tussen hen geldt en die in verhouding staat tot de concrete verwerkingsrisico’s, zonder dat dit hun overeenkomst krenkt in haar essentie. Men kan de onderlinge verantwoordelijkheden preciseren in het kader van concrete prestaties die geleverd moeten worden om persoonsgegevens degelijk te beschermen. Daarbij kunnen elkaar specifieke inspanningsverbintenissen of resultaatsverbintenissen worden opgelegd, maar die moeten altijd redelijk zijn in verhouding tot het risico.
Niet de GBA, maar de gewone rechtbanken
Voor alle duidelijkheid zal het niet de GBA zijn die de schadevergoeding oplegt aan de aansprakelijke verwerker(s)/verwerkingsverantwoordelijke(n), maar wel de gewone rechtbanken. De schadeloosstellingsprocedures verlopen dus niet via de GBA! Dat neemt niet weg dat bij inbreuken op de GDPR, de GBA de bevoegdheid heeft om nog administratieve boetes of correctieve maatregelen op te leggen. Maar daarover volgende week meer!
Conclusie
De GDPR komt benadeelden bij inbreuken in elk geval tegemoet in hun zoektocht naar schadevergoeding. Wat verwerkers en verwerkingsverantwoordelijken onderling overeenkomen kan dus niet zomaar opgeworpen worden om te ontsnappen aan hun plicht tot schadeloosstelling aan de benadeelde zelf. Wat de verdeling van aansprakelijkheid onderling tussen verwerker en verwerkinsgverantwoordeljke betreft, kunnen de concrete prestaties worden gepreciseerd om uit te maken in welke mate ze zelf ten opzichte van elkaar aansprakelijk zijn.
Vooral de contractuele regeling van de afspraken tussen verwerker en verwerkingsverantwoordelijke zijn complex en tegelijk heel erg belangrijk. Heb je hiervoor bijstand nodig, dan kan je ons steeds contacteren via hallo@dejuristen.be.
Geschreven door Larissa De Keyser,Trainee deJuristen, en Kris Seyen, Partner deJuristen
