Kan een werkgever worden vrijgesteld van aansprakelijkheid bij inbreuken op de AVG door fouten van werknemers? - Het Hof van Justitie spreekt zich uit over de aansprakelijkheid van werkgevers bij inbreuken op de AVG

De Algemene Verordening Gegevensbescherming (AVG) bepaalt dat een verwerkingsverantwoordelijke of een verwerker vrijgesteld is van aansprakelijkheid voor inbreuken op de AVG indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit. Het arrest van 11 april 2024 van het Hof van Justitie werpt licht op de vraag of een verwerkingsverantwoordelijke op grond van deze bepaling vrijgesteld kan worden van aansprakelijkheid voor het verzuim van een persoon die onder zijn gezag handelt. Het antwoord hierop is negatief. Het Hof verduidelijkt dat de verantwoordelijke ervoor moet zorgen dat zijn werknemers de instructies opvolgen.

De feiten

Een natuurlijke persoon, een zelfstandig advocaat, was klant bij een onderneming die een juridische databank exploiteert. Nadat de advocaat ontdekte dat zijn persoonsgegevens werden gebruikt voor direct marketing doeleinden, trok hij al zijn toestemmingen in en verzette zich tegen verdere verwerking van zijn persoonsgegevens, behalve voor nieuwsbrieven. Ondanks zijn bezwaar ontving hij enkele maanden later twee reclamebrieven op zijn kantooradres. Hij vorderde daarom een schadevergoeding van de exploitant van de juridische databank op basis van de AVG.

De onderneming, de verwerkingsverantwoordelijke, betwistte deze vordering onder andere op grond van het feit dat zij niet aansprakelijk zou kunnen worden gesteld voor een schade die veroorzaakt is door het verzuim van een persoon die onder haar gezag handelt (in casu een werknemer).

Alvorens te oordelen over deze zaak, heeft het Duitse Landgericht Saarbrücken enkele prejudiciële vragen gesteld aan het Hof van Justitie omtrent de aansprakelijkheid en schadevergoeding overeenkomstig artikel 82 AVG.

Het arrest

Het Hof bevestigt allereerst eerdere rechtspraak waarin zij stelde dat een schending van de bepalingen van de AVG op zichzelf niet volstaat om van immateriële schade in de zin van de AVG te spreken. De persoon die een schadevergoeding vordert, moet bewijzen dat de schending daadwerkelijk schade heeft veroorzaakt. Een loutere inbreuk op de AVG zonder schade geeft geen recht op een schadevergoeding. Het Hof wijst erop dat in de voorafgaande overwegingen van de AVG staat dat het verlies van controle over persoonsgegevens immateriële schade kan veroorzaken.

Vervolgens onderzoekt het Hof of een fout of een verzuim van een persoon onder het gezag van een verwerkingsverantwoordelijke deze verantwoordelijke vrijstelt van aansprakelijkheid.

Volgens de AVG kan een onderneming worden vrijgesteld van aansprakelijkheid als hij bewijst dat hij op geen enkele manier verantwoordelijk is voor het schadeveroorzakende feit. De vraag in deze zaak was dus of een werkgever verantwoordelijk is voor de inbreuk van een werknemer op de bepalingen in de AVG.

Het Hof herinnert eraan dat personen die onder gezag handelen, slechts persoonsgegevens mogen verwerken in opdracht van de verwerkingsverantwoordelijke en in overeenstemming met diens instructies. De verwerkingsverantwoordelijke moet dus de nodige maatregelen treffen om ervoor te zorgen dat iedere persoon die onder zijn gezag handelt en toegang heeft tot persoonsgegevens uitsluitend in zijn opdracht werkt, tenzij de verwerking volgt uit een wettelijke verplichting. Wanneer werknemers persoonsgegevens verwerken, moet de werkgever ervoor zorgen dat dit in overeenstemming met de AVG gebeurt. Zo doet de verantwoordelijke er best aan een gegevensbeschermingsbeleid te implementeren en opleidingen te organiseren.

Het Hof gaat verder en benadrukt dat de verwerkingsverantwoordelijke ook moet controleren of de werknemers zijn instructies opvolgen. Hij kan niet zomaar zijn aansprakelijkheid ontlopen door te wijzen op een nalatigheid of fout van iemand die onder zijn gezag handelt, maar zijn instructies genegeerd heeft. Werkgevers kunnen dus wel degelijk aansprakelijk gesteld worden voor inbreuken op de AVG begaan door hun werknemers, zelfs als de nodige instructies werden gegeven. Enkel als de verwerkingsverantwoordelijke kan bewijzen dat er geen oorzakelijk verband is tussen de schade en zijn eventuele niet-nakoming van de verplichting tot gegevensbescherming, kan hij worden vrijgesteld van aansprakelijkheid.

Deze strikte interpretatie is volgens het Hof gerechtvaardigd. Zij stelt dat een andere benadering immers afbreuk zou doen aan de bescherming die de AVG beoogt te bieden aan natuurlijke personen bij de verwerking van hun persoonsgegevens.

Ten slotte heeft het Hof in dit arrest bevestigd dat de criteria voor de bepaling van de administratieve boeten niet kunnen worden gebruikt voor de begroting van de schadevergoeding. Hiervoor dienen de interne regels van elke lidstaat te worden toegepast.

Actiepunt

Het Hof van Justitie bevestigt dat werkgevers aansprakelijk kunnen worden gesteld voor fouten van hun werknemers bij de verwerking van persoonsgegevens, zelfs wanneer de werkgever de nodige instructies heeft gegeven, maar de werknemer deze niet is nagekomen.

Deze beslissing onderstreept het belang voor werkgevers om een gegevensbeschermingsbeleid te hebben, opleidingen te voorzien zodat werknemers het beleid correct naleven en de naleving van het beleid te verifiëren. Neem gerust contact met ons op voor verdere informatie en juridische ondersteuning bij het ontwikkelen en implementeren van een effectief gegevensbeschermingsbeleid.