Facilités des recours et lourdeurs des sanctions

Gemak van beroep en zwaarte van sancties

Fragment uit het boek van Bruno DUMAY: GDPR DECRYPTION – Voor managers, strategische afdelingen en medewerkers van bedrijven en organisaties – Voorwoord door Gaëlle MONTEILLER

Ondanks de intelligentie en samenhang ervan, ondanks de eensgezindheid van alle landen van de Europese Unie bij het bekendmaken en handhaven van de bepalingen ervan, zou de AVG, net als elke andere verordening, aan geloofwaardigheid en dus aan doeltreffendheid ontbreken als er geen sprake zou zijn van de mogelijkheid van aanzienlijke sancties bij niet-naleving door degenen die de verordening moeten toepassen.

Trouw aan de voorrang die zij aan individuen geven boven organisaties, hebben de opstellers voorzien in rechtsmiddelen die eenvoudig te implementeren zijn en die waarschijnlijk tot veroordelingen en sancties zullen leiden in geval van bewezen wangedrag. Artikel 77 is hierover duidelijk: "... iedere betrokkene heeft het recht een klacht in te dienen bij een toezichthoudende autoriteit... indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op deze verordening." En indien de betrokkene niet tevreden is met het besluit van de toezichthoudende autoriteit, die drie maanden de tijd heeft om het verzoek te verwerken, kan hij beroep aantekenen bij de rechter (artikel 78).

Maar de vordering kan ook rechtstreeks tegen de verwerkingsverantwoordelijke worden ingesteld. De titel van artikel 79 laat hierover geen onduidelijkheid bestaan: "Recht op een doeltreffende voorziening in rechte tegen een verwerkingsverantwoordelijke of een verwerker." Lid 1 specificeert: "...iedere betrokkene heeft recht op een doeltreffende voorziening in rechte indien hij of zij van mening is dat zijn of haar rechten uit hoofde van deze verordening zijn geschonden...".

We kunnen dus zien dat het heel gemakkelijk is om eerst administratief en vervolgens eventueel gerechtelijk actie te ondernemen tegen een entiteit en/of een persoon die gegevens verwerkt. Het is voldoende dat een betrokkene "van mening is" dat de verwerking niet conform is om actie te ondernemen. Hij of zij kan alleen handelen of vertegenwoordigd worden door "een orgaan, organisatie of vereniging zonder winstoogmerk... waarvan de statutaire doelstellingen van algemeen belang zijn en die actief is op het gebied van de bescherming van de rechten en vrijheden van betrokkenen..." (art. 80-1). Sterker nog, "de lidstaten kunnen bepalen dat elk orgaan, elke organisatie of vereniging, onafhankelijk van enig door een betrokkene verleend mandaat, in de betrokken lidstaat het recht heeft een klacht in te dienen bij de toezichthoudende autoriteit..." (art. 80-2). Met andere woorden, de AVG laat het aan de lidstaten over om een gespecialiseerde structuur het recht te geven zelf een procedure te starten, zelfs als deze niet door een individu in beslag is genomen.

Deze bepalingen laten ook de deur open voor collectieve rechtsvorderingen, die in Frankrijk al werden ingevoerd door de wet Hamon van 2014 en vervolgens door de wet van 18 november 2016, bekend als de "modernisering van het recht in de 21e eeuw".en eeuw." Deze laatste wet maakt alleen het staken van de overtreding mogelijk. De AVG opent de mogelijkheid tot schadevergoeding, ook al lijkt dit meer individueel dan collectief.

Na het recht op beroep ontstaat immers het recht op schadevergoeding: “Een ieder die materiële of morele schade heeft geleden als gevolg van een schending van deze verordening, heeft recht om van de verwerkingsverantwoordelijke of de verwerker een vergoeding te verkrijgen voor de geleden schade” (art. 82-1).

Wie betaalt deze compensatie? De zaken zijn duidelijk: "Elke verwerkingsverantwoordelijke die bij de verwerking is betrokken, is aansprakelijk voor schade veroorzaakt door verwerking die een inbreuk op deze verordening vormt. Een verwerker is slechts aansprakelijk voor schade veroorzaakt door verwerking indien hij de verplichtingen uit deze verordening niet is nagekomen" (art. 82-2). Beide partijen kunnen nog steeds aantonen dat er geen sprake is van schuld: "Een verwerkingsverantwoordelijke of een verwerker is vrijgesteld van aansprakelijkheid op grond van lid 2 indien hij bewijst dat de gebeurtenis die de schade heeft veroorzaakt, niet aan hem is toe te rekenen" (art. 82-3).

Wanneer er meerdere partijen bij betrokken zijn, "is elk van de verwerkingsverantwoordelijken of verwerkers aansprakelijk voor de schade in zijn geheel, teneinde de betrokkene een daadwerkelijke schadevergoeding te garanderen" (art. 82-4). Dit staat echter niet in de weg aan schadevergoeding: "Wanneer een verwerkingsverantwoordelijke of verwerker overeenkomstig lid 4 de geleden schade volledig heeft vergoed, is hij gerechtigd om van de andere verwerkingsverantwoordelijken of verwerkers die aan dezelfde verwerking hebben deelgenomen, het deel van de schadevergoeding te vorderen dat overeenkomt met hun aandeel in de aansprakelijkheid voor de schade" (art. 82-5).

Nu de verantwoordelijkheden zijn vastgelegd, hoe kunnen sancties worden opgelegd? De toezichthoudende autoriteit beschikt over alle bevoegdheden om een verwerkingsverantwoordelijke of verwerker tot de orde te roepen, waaronder het opleggen van een beperking of verbod op de verwerking, het bevelen van rectificatie of wissing van persoonsgegevens, het opschorten van doorgiften, het intrekken van certificeringen en het opleggen van een administratieve boete (artikel 58-2).

Artikel 83 stelt de voorwaarden voor administratieve boetes vast, die "evenredig en afschrikkend" moeten zijn (art. 83-1). De 11 criteria die in lid 2 van dit artikel worden genoemd voor "de beslissing of een administratieve boete moet worden opgelegd", tonen aan dat elke boete per geval wordt bepaald, waarbij uiteraard rekening wordt gehouden met "de vraag of de overtreding opzettelijk of uit nalatigheid is begaan". De leden 4 en 5 sommen de verschillende mogelijke overtredingen op en bepalen het maximumbedrag van de boetes; tot € 20.000.000 of, voor een bedrijf, tot € 4,% van de jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag het hoogst is. Het spreekt voor zich dat boetes van een dergelijk bedrag de stabiliteit van een bedrijf ernstig kunnen ondermijnen (ter informatie: de maximumboetes die de CNIL de afgelopen jaren heeft toegepast, bedroegen € 150.000).

Wat betreft de rechtsmiddelen die kunnen worden aangevraagd en verkregen in het geval van een rechtszaak, hetzij tegen het besluit van de toezichthoudende autoriteit, hetzij tegen de verwerkingsverantwoordelijke of de verwerker, kunnen we ervan uitgaan dat deze eveneens "evenredig en afschrikkend" zullen zijn (de combinatie van deze twee woorden klinkt als een contradictio in terminis, maar dat is duidelijk niet in de geest van de AVG).

De toezichthoudende autoriteit is dus almachtig, wat er overigens toe leidt dat dit soort instellingen die drie bevoegdheden combineren – wetgevend (ook al suggereren ze alleen de wet), uitvoerend en rechterlijk – in grote democratieën doorgaans gescheiden zijn. Het niet naleven van een bevel van de toezichthoudende autoriteit op grond van artikel 58-2 kan leiden tot de maximumboete (art. 83-5). In geval van grensoverschrijdende verwerking zal de sanctie gezamenlijk door de betrokken toezichthoudende autoriteiten worden vastgesteld.

Andere sancties, "met name voor overtredingen die niet onderworpen zijn aan de administratieve boetes bedoeld in artikel 83", kunnen door de lidstaten worden vastgesteld (art. 84-1).

Laten we het basisprincipe nog eens onder de aandacht brengen: iedereen moet eigenaarschap en controle over zijn of haar persoonsgegevens behouden. Elke organisatie die dit principe schendt, kan worden gesanctioneerd.

Ontdek Viqtor®
nl_NL_formalNL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL nl_NL_formalNL