Schade onder het EU-recht

EU-recht in Groot-Brittannië

Het is niet het eerste waar heden ten dage aan wordt gedacht als het om de Britten gaat: het proactief en consequent toepassen van het EU-recht in de nationale rechtsorde. Toch is dit precies wat er de afgelopen jaren op het gebied van het Europese privacy- en gegevensbeschermingsrecht is gebeurd. Daarmee vervullen de Britten een voortrekkersrol, die van grote invloed kan zijn op privacyzaken in de rest van Europa, waaronder Nederland.

Vidal-Hall v Google Inc.

In een zaak uit 2015 sprak de Britse rechter zich al uit over hoe het begrip ‘schade’ in het geval van onrechtmatige verwerkingen van persoonsgegevens moet worden geïnterpreteerd. Dat gebeurde aan de hand van de Richtlijn 95/46/EC (Directive), die ook aan de Wet bescherming persoonsgegevens ten grondslag ligt, en inmiddels is opgevolgd door de Algemene verordening gegevensbescherming. Interessant in deze zaak dat de rechter ervan bewust is dat het begrip ‘schade’ moet worden geïnterpreteerd in de context van het Europees gegevensbeschermingsrecht, ook als dat tot de conclusie leidt dat het begrip ‘schade’ dan ruimer of breder moet worden ingevuld dan onder het nationale recht gebruikelijk is.

Europees gegevensbeschermingsrecht

Om het begrip ‘schade’ te interpreteren keek de Britse rechter eerst naar het doel van de Richtlijn. Daarover werd in paragraaf 55 van de uitspraak overwogen dat: The DPA was intended to implement Directive 95/46/EC (“the Directive”) which is a directive “on the protection of individuals with regard to the processing of personal data and on the free movement of such data”. In daaropvolgende overwegingen legt de rechter uit dat aan begrippen uit het recht van de Europese Unie een zelfstandige en uniforme betekenis moet worden toegekend. Dit maakte dat werd geoordeeld dat: the same approach to construction leads to the conclusion that article 23 of the Directive must be given its natural and wide meaning so as to include both material and non-material damage.

Invasion of privacy

Onder verwijzing naar eerdere zaken, waaronder de zaak Leitner, waarin het Europees Hof van Justitie de algemene term "schade" uitlegde in het licht van de Richtlijn inzake pakketreizen, oordeelde rechter ten slotte dat: Since what the Directive purports to protect is privacy rather than economic rights, it would be strange if the Directive could not compensate those individuals whose data privacy had been invaded by a data controller so as to cause them emotional distress (but not pecuniary damage). It is the distressing invasion of privacy which must be taken to be the primary form of damage (commonly referred to in the European context as “moral damage”) and the data subject should have an effective remedy in respect of that damage. Dit betekent dat onder het Unierecht distress, die volgt uit een onrechtmatige verwerking van persoonsgegevens, voor schadevergoeding in aanmerking komt.

WM Morrison Supermarkets Plc v Various Claimants

Dit was al in 2015. Maar ook in 2017 oordeelde een Britse rechter in een belangrijke zaak over een datalek. In de zaak werd geoordeeld dat een werkgever aansprakelijk was voor een datalek dat door een werknemer was veroorzaakt. De gelekte persoonsgegevens betroffen de namen, adressen, het geslacht, de geboortedata, de telefoonnummers, het nationaal verzekeringsnummer (te vergelijken met het Nederlandse BSN), bankrekeningnummers en de hoogte van het salaris van bijna 100.000 werknemers. Interessant was dat de rechter, in verwijzing naar de hiervoor beschreven zaak (Vidal-Hall v Google Inc.) overwoog dat: Yet given the purpose and meaning of the Directive it could only properly be implemented if “damage” permitted non-pecuniary harm, such as distress and loss of autonomy over personal data, to be the subject of compensation. Dit betekent dat de werkgever daarmee gehouden was de schade, te weten het misbruik van persoonlijke informatie en de schade voor de inbreuk op de vertrouwelijkheid, te vergoeden. Dit oordeel werd eind 2018 bekrachtigd.

Nederland

Wat betekent dit nu voor de Nederlandse rechtspraktijk? In Nederland is het uitgangspunt dat alleen daadwerkelijk geleden schade voor vergoeding aanmerking komt en dat een schadevergoeding een herstellend karakter heeft. Dit kan ertoe leiden dat – puur afgaande op de Nederlandse wet – ook bij ernstig onrechtmatig handelen geen vergoeding volgt. Op basis van de Britse uitspraken is dit in het geval van een schending van het Europees gegevensbeschermingsrecht echter niet meer vol te houden. Deze (uitleg van) Europese wetgeving heeft immers voorrang op nationale bepalingen. Dit betekent dat ook in Nederland door een schending van de Wet bescherming persoonsgegevens of de Algemene verordening gegevensbescherming ondervonden distress of veroorzaakte verlies van controle over persoonsgegevens voor schadevergoeding in aanmerking komen, ook als dit betekent dat het begrip ‘schade’ daarvoor ruimer moet worden uitgelegd dan  in het Nederlands recht soms gebruikelijk is.

PrivacyPunt

Het feit dat u bij een onrechtmatige verwerking van uw persoonsgegevens mogelijk recht hebt op een schadevergoeding, maakt nog niet dat de hoogte daarvan direct duidelijk is. Het is daarnaast noodzakelijk de vordering (claim) voldoende te onderbouwen. PrivacyPunt kan u bijstaan om de hoogte van de schade te begroten en een met feiten en juridische argumenten onderbouwde vordering in te dienen. Als uw vordering onverhoopt wordt afgewezen, kan PrivacyPunt zich namens u tot de Autoriteit Persoonsgegevens wenden. Indien daartoe aanknopingspunten zijn, kan PrivacyPunt uw vordering daarna nog voorleggen aan een geschillencommissie of de rechter. Het uitgangspunt is dat wij daarbij een ‘no cure, no pay’-tarief hanteren. U maakt dan alleen kosten als wij een positief resultaat voor u bereiken.