Boetes en Aansprakelijkheid

In artikel 83 lid 4, 5 en 6 AVG staan de inbreuken die kunnen leiden tot administratieve boetes van maximaal 20 000 000 EUR of 4 % van de totale wereldwijde jaaromzet. Iedere schending van een recht van de betrokkene of het niet vervullen van een plicht door de verantwoordelijke of de verwerker kan als een inbreuk worden aangemerkt. Een betrokkene is een natuurlijke persoon over wie persoonsgegevens worden verwerkt. De rechten van de betrokkene zijn terug te vinden in hoofdstuk 3 van de AVG.

Wie is aansprakelijk?

De organisatie die verantwoordelijk is voor de persoonsgegevens – de organisatie die het doel heeft bepaald voor het verzamelen van persoonsgegevens – kan aansprakelijk gesteld worden bij een inbreuk zoals bedoeld in artikel 82 AVG. Echter in sommige situaties is het niet duidelijk wie dat doel heeft bepaald en dus de verantwoordelijkheid voor persoonsgegevens draagt. Aan de privacy officer de taak hierover te adviseren.

Ook een verwerker – verwerkt persoonsgegevens in opdracht van een verwerkingsverantwoordelijke - kan met een schadeclaim geconfronteerd worden. Een verwerker is bijvoorbeeld aansprakelijk als bewezen wordt dat hij niet op basis van rechtmatige instructies van de verantwoordelijke heeft gehandeld.

Wanneer géén aansprakelijkheid?

Helaas is niet te voorspellen in welke mate boetes en schadeclaims een rol gaan spelen. De theorie van de AVG zal in de praktijk moeten blijken uit jurisprudentie en het optreden van de Autoriteit Persoonsgegevens. De verantwoordelijke of verwerker moet kunnen aantoen dat hij op geen enkele wijze verantwoordelijkheid draagt voor het schadeveroorzakende feit. Een privacy officer kan doorslaggevende een rol spelen bij het vinden en beoordelen van bewijs. Ook kan hij adviseren bij het opstellen van contracten ter voorkoming van aansprakelijkheid.