Conclusie A-G: immateriële schadevergoeding bij datalekken

HvJ 27 april 2023, IT 4266; Zaak C‑340/21 (Prejudiciële verwijzing) A-G Pitruzella geeft in zijn conclusie antwoord op vijf vragen die gesteld zijn aan het Hof van Justitie (hierna: het Hof). De vijf vragen hebben betrekking op dezelfde kwestie, namelijk onder welke voorwaarden immateriële schade vergoed kan worden aan een persoon wiens persoonsgegevens in het bezit zijn van een overheidsinstantie die na een hackaanval op het internet zijn gepubliceerd.

De vragen zijn gesteld naar aanleiding van een gegevenslek bij de Bulgaarse belastingdienst. Hierbij zijn fiscale en socialezekerheidsgegevens op internet geplaatst. De gedupeerde burgers hebben daarom hun belastingdienst gedagvaard om een vergoeding te krijgen voor de immateriële schade. De vordering is gebaseerd op een vermeende schending van de nationale regels en de verplichting om persoonsgegevens te verwerken in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG), die een passend veiligheidsniveau moet garanderen. De rechtbank wees de vordering af omdat er geen immateriële schade zou zijn geleden. De zaak is uiteindelijk doorverwezen naar de hoogste bestuursrechter in Bulgarije, die het Hof heeft gevraagd of de AVG zo moet worden uitgelegd dat er sprake is van immateriële schade als persoonsgegevens ongeoorloofd worden verstrekt.

De vijf vragen aan het Hof zien vooral toe op de interpretatie van verschillende artikelen van de AVG met betrekking tot de aansprakelijkheid van de verwerkingsverantwoordelijke (belastingdienst in casu) en de bescherming van persoonsgegevens.

Pitruzella oordeelt enerzijds dat een inbreuk in verband met persoonsgegevens op zichzelf niet voldoende is om te concluderen dat de maatregelen van de verwerkingsverantwoordelijke niet passend waren voor het beschermen van de persoonsgegevens. Anderzijds oordeelt hij dat het feit dat de schadeveroorzakende inbreuk door toedoen van een derde heeft plaatsgevonden, op zichzelf geen reden is om de verwerkingsverantwoordelijke vrij te stellen van aansprakelijkheid. De betrokken nationale rechter moet voor een vordering tot schadevergoeding dus een concrete analyse uitvoeren van zowel de inhoud van de maatregelen als de wijze waarop ze zijn toegepast.

Tot slot stelt Pitruzella dat de vorm van vrees voor mogelijk misbruik van de eigen persoonsgegevens in de toekomst, immateriële schade kan opleveren waarvoor een recht op schadevergoeding bestaat. De voorwaarde hiervoor is dat de betrokkene bewijst dat hijzelf reële en zekere emotionele schade heeft geleden. De betrokken rechter moet deze voorwaarde in elk geval afzonderlijk toetsen.

84.  In het licht van het bovenstaande geef ik het Hof in overweging om de prejudiciële vragen te beantwoorden als volgt:

De artikelen 5, 24, 32 en 82 van verordening 2016/679 moeten aldus worden uitgelegd dat:

louter een ‚inbreuk in verband met persoonsgegevens’, zoals gedefinieerd in artikel 4, punt 12, op zichzelf niet volstaat om te concluderen dat de door de verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen niet ‚passend’ waren om de bescherming van de betreffende gegevens te waarborgen;

de betrokken nationale rechter bij de beoordeling of de door de verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen passend zijn, een toetsing moet verrichten die een concrete analyse omvat van zowel de inhoud van die maatregelen als de wijze waarop zij zijn toegepast en de gevolgen ervan in de praktijk;

in het kader van een vordering tot schadevergoeding in de zin van artikel 82 AVG de verwerkingsverantwoordelijke verplicht is om te bewijzen dat de door hem getroffen maatregelen passend zijn in de zin van artikel 32 van deze verordening;

het in overeenstemming met het beginsel van de procedurele autonomie een zaak is van de interne rechtsorde van elke lidstaat om toelaatbare bewijsmethoden en de bewijskracht ervan vast te stellen, met inbegrip van maatregelen van instructie waartoe nationale rechters opdracht kunnen of moeten geven, teneinde te beoordelen of een verwerkingsverantwoordelijke van persoonsgegevens passende maatregelen heeft getroffen in de zin van deze verordening, met inachtneming van de in het Unierecht vastgelegde beginselen van gelijkwaardigheid en doeltreffendheid;

het feit dat de schadeveroorzakende inbreuk op deze verordening door toedoen van een derde heeft plaatsgevonden, op zichzelf geen reden is om de verwerkingsverantwoordelijke vrij te stellen van aansprakelijkheid en dat de verwerkingsverantwoordelijke, om in aanmerking te komen voor de vrijstelling in die bepaling, moet bewijzen dat hij op geen enkele wijze verantwoordelijk is voor de inbreuk;

de schade in de vorm van vrees voor mogelijk misbruik van de eigen persoonsgegevens in de toekomst, waarvan het bestaan door de betrokkene is aangetoond, immateriële schade kan opleveren waarvoor een recht op schadevergoeding bestaat, op voorwaarde dat de betrokkene bewijst dat hijzelf reële en zekere emotionele schade heeft geleden en dat de betrokken nationale rechter dit in elk afzonderlijk geval toetst.