GDPR en aansprakelijkheid 1. Het Belgische begrip fout & GDPR 2. Wie kan aansprakelijkheid dragen? 3. Wie kan een claim stellen? 4. Wat zijn de financiële risico s? 5. Tips
Artikel 82 Recht op schadevergoeding en aansprakelijkheid 1. Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade. 2. Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. Een verwerker is slechts aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van deze verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld. 3. Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid op grond van lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit. 4. Wanneer meerdere verwerkingsverantwoordelijken of verwerkers bij dezelfde verwerking betrokken zijn, en overeenkomstig de leden 2 en 3 verantwoordelijk zijn voor schade die door verwerking is veroorzaakt, wordt elke verwerkingsverantwoordelijke of verwerker voor de gehele schade aansprakelijk gehouden teneinde te garanderen dat de betrokkene daadwerkelijk wordt vergoed. 5. Wanneer een verwerkingsverantwoordelijke of verwerker de schade overeenkomstig lid 4 geheel heeft vergoed, kan deze verwerkingsverantwoordelijke of verwerker op andere verwerkingsverantwoordelijken of verwerkers die bij de verwerking waren betrokken, het deel van de schadevergoeding verhalen dat overeenkomt met hun deel van de aansprakelijkheid voor de schade, overeenkomstig de in lid 2 gestelde voorwaarden. 6. Gerechtelijke procedures voor het uitoefenen van het recht op schadevergoeding worden gevoerd voor de in artikel 79, lid 2, bedoelde lidstaatrechtelijk bevoegde gerechten.
1. Het Belgische begrip fout & GDPR Is non-compliance = fout? Wat is de draagwijdte van de gedragsnorm? Schrijft de norm een bepaald gedrag voor, of verwijst de norm alleen naar de algemene zorgvuldigheidsnorm? Resultaatsverbintenis of middelenverbintenis? Wat met de termijn?
Overwegingen van het Europees Parlement en de Raad van Europa De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht (artikel 8, lid 1 Handvest en artikel 16, lid 1 VWEU). Overweging (74) De verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke moeten worden vastgesteld voor elke verwerking van persoonsgegevens die door of namens hem wordt uitgevoerd. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen. Overweging (146) De verwerkingsverantwoordelijke of de verwerker moet van zijn aansprakelijkheid worden vrijgesteld indien hij bewijst dat hij niet verantwoordelijk is voor de schade. passende technische of organisatorische maatregelen voor een passende beveiliging
1.1. Cassatie, 10 april 2014 (AR C.11.0796.N.) De overtreding van een regel die een bepaald gedrag oplegt, maakt op zichzelf een fout uit, behoudens onoverwinnelijke dwaling of enige grond tot ontheffing van aansprakelijkheid. Een bijkomende toetsing aan de zorgvuldigheidsnorm is niet vereist.
1.2. Cassatie, 10 april 2014 (AR C.11.0796.N.) Het is aan de feitenrechter om te oordelen of een opgelegde termijn waarvoor de wetgever niet in een sanctie heeft voorzien, de aard en de strekking heeft opdat de niet naleving ervan op zichzelf een onrechtmatige daad oplevert. - Formulering van de opgelegde verplichting - Omvang van de opgelegde verplichting - Beoogde normdoel van de opgelegde verplichting
1.3. Cassatie, 14 november 2012 (RGAR 2013,nr. 15009) Zijn de te nemen veiligheidsmaatregelen uit het KB van 11/03/1966 (ivm oprichting en exploitatie van installaties voor gasvervoer) resultaats- dan wel inspanningsverbintenissen? Het is aan de feitenrechter om uit te maken of het gaat om een resultaats- dan wel inspanningsverbintenissen, door na te gaan in welke mate het resultaat al dan niet een normaal toevallig karakter heeft. - De maatregelen hebben betrekking op de veiligheid van de ganse bevolking - De normen wijzen erop dat het onderhoud van en het permanente toezicht op de installatie niet aan een bijzonder risico kunnen worden blootgesteld en, - Onder de volledige controle van de concessiehouder vallen. Resultaatsverbintenis Bevrijding mogelijk via een verschoningsgrond
2. Wie kan aansprakelijkheid dragen? Controller & Processor (Richtlijn enkel controller) Bedrijf Bestuurder(s) Werknemer(s) - Privacy officer/privacy counsel/cto/ito (art.27) - DPO (art.37) - Bedrijfsarts - Andere werknemers Onderaannemer(s) - Data-verwerker ( voldoende garanties bieden, met name op het gebied van deskundigheid, betrouwbaarheid en middelen ) - IT-dienstverlener - Externe DPO Klanten/cliënten/patiënten Derden (hacker/toevallige vinder/ )
3. Wie kan een claim stellen? Eenieder die schade heeft geleden Contractuele relatie of niet? Niet elke verleende toestemming geeft aanleiding tot een overeenkomst Wilsovereenstemming = meerzijdige rechtshandeling waarbij één of meerdere partijen jegens één of meer anderen juridisch afdwingbare verbintenissen aangaan Contractant moet tegenpartij in gebreke stellen en eerst uitvoering in natura vorderen. Geen vrije keuze. Ook niet voor de schuldenaar. Enkel indien herstel in natura niet mogelijk is, kan worden geopteerd voor een vervangende schadevergoeding.
3.1. Claim ten gronde en kort geding Elke schade - Claim ten gronde voor elke schade - materieel en/of moreel - enkel de werkelijk geleden schade - geen punitive damages in Belgisch recht (Cass. 13 mei 2009) - Claim in kort geding voor dringende en voorlopige maatregelen - Urgentie is vereist - Urgentie = een onmiddellijke beslissing is noodzakelijk ter voorkoming van (verdere) schade of ernstige ongemakken (Cass. 21 mei 1987, Arr. Cass. 1986-87,1287) - Dwangsommen
Overwegingen van het Europees Parlement en de Raad van Europa Overweging (85) Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie. Overweging (146) De verwerkingsverantwoordelijke of de verwerker moeten alle schade vergoeden die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op deze verordening. Het begrip schade moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening.
Overwegingen van het Europees Parlement en de Raad van Europa Overweging (146) De verwerkingsverantwoordelijke of de verwerker moet van zijn aansprakelijkheid worden vrijgesteld indien hij bewijst dat hij niet verantwoordelijk is voor de schade. Wanneer verwerkingsverantwoordelijken of verwerkers betrokken zijn bij dezelfde verwerking, dienen zij elk voor de volledige schade aansprakelijk te worden gehouden. Wanneer zij evenwel overeenkomstig het lidstatelijke recht zijn gevoegd in dezelfde gerechtelijke procedure, kan elke verwerkingsverantwoordelijke of verwerker overeenkomstig zijn aandeel in de verantwoordelijkheid voor de schade die door de verwerking werd veroorzaakt, een deel van de vergoeding dragen, mits de betrokkene die schade heeft geleden volledig en daadwerkelijk wordt vergoed. Iedere verwerkingsverantwoordelijke of verwerker die de volledige vergoeding heeft betaald kan vervolgens een regresvordering instellen tegen andere verwerkingsverantwoordelijken of verwerkers die bij dezelfde verwerking betrokken zijn.
4. Wat zijn de financiële risico s? Boete Schadevergoeding Cyber afpersing Interne kosten afhandeling - opsporing - forensisch onderzoek - juridisch advies - communicatieadvies - melding/communicatie - herstel database - upgraden beveiliging Gemiddelde interne kosten per record - Detailhandel 115 - Media & Entertainment 165 - Zakelijke diensten 200 - Financiële diensten 215 - Gezondheidszorg 285
5. Tips Stel een Data team samen Inventariseer wat u heeft Documenteer wat u doet (register) Aandacht voor toestemming (actief! + recente RS inzake koop per e-mail) Informeer en train uw werknemers (75% gebruikt eigen USB-stick & smartphone) Upgrade uw organisatie waar en zodra mogelijk Update software Back-up Optimaliseer overeenkomsten Verzeker u en uw organisatie