Ik ben GDPR compliant, maar wat met mijn aansprakelijkheid?

Met de invoering van de GDPR werd iedereen ervoor gewaarschuwd dat hij/zij ‘compliant’ moest zijn met de (ver)nieuw(d)e databescherming rond persoonsgegevens. Doet men dat niet, dan hangen er enorme boetes boven het hoofd. Dit was het uitgelezen verkoopargument van vele consultants, advocaten en andere avonturiers om je bedrijf aan te passen aan de vereisten van de GDPR. Na 1 jaar begint de toepassing van de sanctionering door de bevoegde databeschermingsautoriteiten meer vorm te krijgen en zien we dat het voorgespiegelde doemverhaal wel wat nuance kent. 

Aansprakelijkheid onder GDPR

Wat in heel dit discours veel minder aan bod is gekomen, is de aansprakelijkheid waaraan je je blootstelt indien er zich problemen voordoen onder de GDPR. Het gaat dan niet zozeer over boetes, maar eerder over de mogelijke schadevergoedingen voor personen die via het aansprakelijkheidsregime van de GDPR behoorlijk wat beschermingsmechanismen genieten. Hou hierbij ook rekening met het feit dat de wetgever het systeem van de groepsvordering (alle personen die vb. schade lijden door eenzelfde datalek, stellen een collectieve vordering in) uitdrukkelijk heeft uitgebreid voor schade ontstaan onder de GDPR, wat een katalysator kan betekenen voor de totale uit te betalen schadevergoeding. Die schadevergoeding dekt zowel de materiële als de immateriële schade. 

Maar wat zijn de basisprincipes voor de aansprakelijkheid als verwerkingsverantwoordelijke of verwerker?

De verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is nog steeds de eerste verantwoordelijke onder de GDPR en is algemeen aansprakelijk voor alle onrechtmatige verwerkingen van de persoonsgegevens. Dit is niet verschillend met wat in het verleden reeds bestond.

De verplichtingen van de verwerkingsverantwoordelijke zijn in vele gevallen inspanningsverbintenissen, namelijk naar best vermogen de nodige technische en organisatorische maatregelen nemen. Het gaat immers in vele gevallen over het inschatten van een risico dat niet met zekerheid kan uitgesloten worden. Uw DPIA (data protection impact assessment of gegevensbeschermingseffectbeoordeling) zal bijvoorbeeld een belangrijk document zijn bij het aansprakelijkheidsvraagstuk.

Hou er anderzijds rekening mee dat bepaalde verplichtingen wel degelijk een resultaat vereisen, zoals het verplicht informatie verstrekken aan de persoon waarvan de gegevens verwerkt worden.

Een inbreuk op deze verplichtingen zorgt automatisch voor de aansprakelijkheid van de verwerkingsverantwoordelijke, zelfs wanneer de inbreuk heeft plaatsgevonden bij een verwerker. Er zijn maar 2 mogelijkheden om je alsnog van je aansprakelijkheid te bevrijden:

  1. Je kan bewijzen dat je op ‘geen enkele wijze’ verantwoordelijk bent voor de gebeurtenis die de schade veroorzaakt heeft. Dit gaat eigenlijk over een overmachtssituatie, zijnde een abnormale gebeurtenis die niet vermeden kon worden door het nemen van redelijke maatregelen.
  2. Je kan aantonen dat je onder de aansprakelijkheidsuitsluiting valt van de Intermediary Service Provider (ISP) (online tussenpersoon) onder de E-commerce Richtlijn. Dit zal geen evidentie zijn, aangezien het aansprakelijkheidsvraagstuk onder deze Richtlijn gaat over de begrippen ‘kennis’ en ‘controle’ en een verwerkingsverantwoordelijke per definitie geacht wordt kennis en controle te hebben over de persoonsgegevens die hij verwerkt.

De verwerker

Voor de verwerker zijn de aansprakelijkheden een stuk verscherpt onder de GDPR.

De verwerker zal bij de verwerking 3 soorten aansprakelijkheden hebben, namelijk de rechtstreekse aansprakelijkheid ten aanzien van de persoon waarvan de gegevens verwerkt worden, de wettelijke aansprakelijkheden ten aanzien van de verwerkingsverantwoordelijke en de contractuele aansprakelijkheden die bijkomend voorzien worden in de verplichte verwerkersovereenkomst.

De eigen verplichtingen van de verwerker zijn ook overwegend inspanningsverplichtingen, zoals de beveiliging van de gegevens. Maar ook hier bestaan er resultaatsverplichtingen, zoals het uitsluitend verwerken van persoonsgegevens onder instructie van de verwerkingsverantwoordelijke.

Als verwerker heb je anderzijds geen algemene aansprakelijkheid, maar een proportionele aansprakelijkheid: het gaat enkel over inbreuken in dat deel van het verwerkingsproces waar je als verwerker hebt opgetreden en als verwerker direct aansprakelijk voor bent. Of het gaat  over verwerkingen die buiten de instructie van de verwerkingsverantwoordelijke werden uitgevoerd.

Let als verwerker wel op wanneer je in strijd met de GDPR toch zelf doel en middelen bepaalt. Je kan dan als verwerkingsverantwoordelijke beschouwd worden met een algemene aansprakelijkheid.

De verwerker kan zich beroepen op dezelfde aansprakelijkheidsuitsluitingen als de verwerkingsverantwoordelijke (zie boven).

Gezamenlijke aansprakelijkheid

Ter bescherming van de personen die schade lijden, voorziet de GDPR een hoofdelijke aansprakelijkheid. Dit betekent dat de betrokken aansprakelijke partijen allen persoonlijk instaan voor de volledige schade. Een betrokkene kan zijn schadevergoeding bijgevolg volledig bij 1 aansprakelijke opvorderen. Deze hoofdelijkheid geldt zowel voor de verwerkingsverantwoordelijke als voor de verwerker die bij de inbreuk onder de GDPR betrokken is.

Als je de volledige schadevergoeding zou uitbetaald hebben dan heb je ten aanzien van de andere aansprakelijke verwerkers/verwerkingsverantwoordelijken nog een mogelijkheid. Je kan van hen het deel van de schadevergoeding dat onder hun aansprakelijkheid valt opvorderen. Het is perfect mogelijk om in het kader van de verwerkingsovereenkomst hierover afspraken te maken, zoals vb. een onderling percentage van verantwoordelijkheden, volledige vrijwaring onder bepaalde omstandigheden, etc.

Conclusies

Aansprakelijkheidsvorderingen onder de GDPR zouden hoog kunnen oplopen omdat een inbreuk al snel veel personen kan treffen en een groepsvordering tot de mogelijkheden behoort. De hoofdelijkheid van deze aansprakelijkheid kan als resultaat ook hebben dat je als kleine verwerker wordt aangesproken voor die gehele schade, zodat het aangeraden is voor elke betrokken partij om na te gaan wat haar aansprakelijkheden kunnen zijn.

De gevolgen van de aansprakelijkheid kunnen weliswaar ingedekt worden door enerzijds een goede verwerkersovereenkomst. Laat deze dus zeker nakijken, aangezien de verhoudingen tussen verwerkingsverantwoordelijken onderling en/of met verwerkers zeer complex kunnen zijn. Anderzijds kan een aangepaste aansprakelijkheidsverzekering aangeraden zijn. Laat ook hier nakijken of deze verzekering voldoende aangepast is aan de noden en risico’s die zich onder de GDPR kunnen voordoen.

Meer info over uw aansprakelijkheden onder de GDPR?

Neem dan gerust contact op met Roeland via roeland@siriuslegal.be