Hacking en privacy. Is een vordering tot vergoeding van immateriële schade op grond van de vrees voor mogelijk misbruik van persoonsgegevens mogelijk of niet? Hof van Justitie spreekt zich uit (LegalNews)

Privacy & Gegevensbescherming | 15 december 2023

Auteur: Marc Vandecasteele (LegalNews)

De feiten

De NAP is een instantie die ressorteert onder de Bulgaarse minister van Financiën. In het kader van haar taken, die onder meer bestaan in het vaststellen, veiligstellen en invorderen van vorderingen van openbare schuldeisers, is zij verantwoordelijk voor de verwerking van persoonsgegevens in de zin van artikel 4, punt 7, AVG. Op 15 juli 2019 hebben de media gemeld dat ongeoorloofde toegang tot het IT-systeem van de NAP had plaatsgevonden en dat er na die cyberaanval persoonsgegevens uit dat systeem op internet waren gepubliceerd.

Meer dan zes miljoen natuurlijke personen van Bulgaarse of buitenlandse nationaliteit zijn geraakt door deze gebeurtenissen. Enkele honderden van hen, waaronder verzoekster in het hoofdgeding, hebben tegen de NAP vorderingen ingesteld tot vergoeding van de immateriële schade die volgens hen uit de bekendmaking van hun persoonsgegevens is voortgevloeid.

De visie van het Hof van Justitie

1) De artikelen 24 en 32 van verordening 2016/679 moeten aldus worden uitgelegd dat het feit dat de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens heeft plaatsgevonden door „derden” in de zin van artikel 4, punt 10, van deze verordening, op zich niet volstaat om aan te nemen dat de door de betrokken verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen niet „passend” waren in de zin van die artikelen 24 en 32.

2) Artikel 32 van verordening 2016/679 moet aldus worden uitgelegd dat de vraag of de door de verwerkingsverantwoordelijke op grond van dit artikel getroffen technische en organisatorische maatregelen passend zijn, door de nationale rechterlijke instanties concreet moet worden beoordeeld, door rekening te houden met de aan de betrokken verwerking verbonden risico’s en door te beoordelen of de aard, de inhoud en de uitvoering van die maatregelen afgestemd zijn op die risico’s.

3) Het beginsel van verantwoordelijkheid van de verwerkingsverantwoordelijke, dat is geformuleerd in artikel 5, lid 2, van verordening 2016/679 en dat nader is uitgewerkt in artikel 24 ervan, moet aldus worden uitgelegd dat het in het kader van een vordering tot schadevergoeding op grond van artikel 82 van deze verordening aan de betrokken verwerkingsverantwoordelijke staat om aan te tonen dat de beveiligingsmaatregelen die hij op grond van artikel 32 van die verordening heeft getroffen, passend zijn.

4) Artikel 32 van verordening 2016/679 en het Unierechtelijke doeltreffendheidsbeginsel moeten aldus worden uitgelegd dat een deskundigenrapport geen systematisch noodzakelijk en toereikend bewijsmiddel kan vormen voor de beoordeling of de beveiligingsmaatregelen die de verwerkingsverantwoordelijke op grond van dat artikel heeft getroffen, passend zijn.

5) Artikel 82, lid 3, van verordening 2016/679 moet aldus worden uitgelegd dat de verwerkingsverantwoordelijke niet van zijn verplichting uit hoofde van artikel 82, leden 1 en 2, van deze verordening tot vergoeding van de door een persoon geleden schade kan worden vrijgesteld op de enkele grond dat deze schade het gevolg is van het feit dat de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens heeft plaatsgevonden door „derden” in de zin van artikel 4, punt 10, van die verordening. Die verantwoordelijke moet daartoe bewijzen dat hij op geen enkele wijze verantwoordelijk is voor het betrokken schadeveroorzakende feit.

6) Artikel 82, lid 1, van verordening 2016/679 moet aldus worden uitgelegd dat de vrees die een betrokkene na een inbreuk op deze verordening koestert voor mogelijk misbruik van zijn persoonsgegevens door derden, op zich „immateriële schade” in de zin van deze bepaling kan vormen.