GDPR: naast de boete ook de schadevergoeding?

Er komt steeds meer druk op ondernemingen en instellingen om de Europese regelgeving i.v.m. de bescherming van persoonsgegevens, de zogenaamde GDPR, correct na te leven.

We lieten al weten dat de Belgische Gegevensbeschermingsautoriteit (de vroegere Privacycommissie) meer en meer operationeel wordt en effectieve controles aankondigt. (zie hier) U hoorde ook al dat de eerste Belgische boete opgelegd werd aan een onvoorzichtige burgemeester…

Ondertussen komt de dreiging ook vanuit een andere hoek.

Niet alleen de overheid maar ook elke natuurlijke persoon van wie persoonsgegevens verwerkt worden, kan tegen een inbreuk optreden.

Zo veroordeelde een Oostenrijkse rechtbank de Oostenrijkse Post tot betaling van een schadevergoeding van 800,00 EUR aan een klant omdat de Post gevoelige persoonsgegevens (politieke voorkeur) had verwerkt.

De rechtbank ging ervan uit dat het enkele feit van een inbreuk op de bepalingen van de GDPR op zich reeds een schadevergoeding verantwoordde, zonder dat enig bewijs van effectieve schade vereist was.

Naar Belgisch recht zou dit als een morele schadevergoeding beschouwd kunnen worden.

Let op: het ging enkel om een inbreuk op de algemene principes (verwerking van gegevens zonder rechtsgrond). Er was dus geen sprake van een datalek, er waren geen persoonsgegevens in de openbaarheid gekomen of verloren gegaan…

In België zijn er nog geen gelijkaardige gevallen gekend maar het is wel duidelijk dat binnen Europa bescherming van persoonsgegevens steeds belangrijker wordt en rechtbanken steeds meer bereid zijn om inbreuken op deze gegevensbescherming financieel te sanctioneren.

Er is maar één manier om deze sancties te voorkomen: zorg dat je bedrijf de bepalingen van GDPR zo correct mogelijk naleeft.