.webp)
Op 8 januari 2025 heeft het Europees Hof van Justitie een opmerkelijke beslissing genomen in de zaak Bindl v Commission (T-354/22). Het Hof heeft geoordeeld dat de Europese Commissie een Duitse burger 400 EUR moet betalen wegens het doorsturen van zijn IP adres naar de VS (Meta) in 2022.
🔎 Wat gebeurde er precies?
· Tijdens het aanmelden voor een evenement via een website van de Europese Commissie werd een IP-adres doorgestuurd naar de hostingservers van Amerikaanse onderneming AWS en via “Sign in with Facebook” doorgestuurd heeft naar Meta in de VS.
· Op dat moment was er geen adequaatheidsbesluit of andere passende waarborg overeenkomstig de GDPR aanwezig die de transfer kon verantwoorden.
· Het Hof stelt dat de doorsturing naar de Europese servers van AWS geen probleem is. Contractueel was voorzien dat de data steeds in de EU blijven. De doorsturing naar Meta wordt echter wel als een inbreuk aanzien aangezien de servers effectief in de VS staan.
· Om een schadevergoeding te bekomen moet naast de inbreuk ook de schade en het oorzakelijk verband worden aangetoond. Hierbij stelt het Hof dat ook immateriële schade kan vergoed worden, zonder dat het ernstcriterium hoeft te worden aangetoond. Het feit dat de verzoeker ‘in een situatie van onzekerheid is gebracht aangaande de verwerking van zijn persoonsgegevens’, te weten zijn IP-adres, wordt als voldoende schade aanzien die begroot werd op 400 EUR.
💡 Waarom is dit belangrijk?
Deze zaak zet een precedent voor de niet-contractuele aansprakelijkheid van instellingen en ondernemingen bij GDPR-inbreuken. Hoewel 400 EUR als een klein bedrag kan klinken, kan dit bedrag snel oplopen wanneer een inbreuk betrekking heeft op een lijst van mensen. De drempel om een schadevergoeding te bekomen is bovendien erg laag: onzekerheid over de verwerking van persoonsgegevens is nu voldoende om schade aan te tonen.
Mijn opinie over deze uitspraak:
Aan de ene kant zorgt deze uitspraak er voor dat het eenvoudiger wordt om een schadevergoeding te verkrijgen naar aanleiding van een privacy inbreuk. Dit was tot nog toe eerder uitzonderlijk, of was beperkt tot een symbolische euro. Dit is op zich geen slechte evolutie, want op vandaag was er weinig voordeel te halen uit een inbreuk, waardoor een procedure instellen weinig zin had. Ook het instellen van groepsvorderingen tegen grote spelers kan meer impact hebben.
De drempel om schade aan te tonen is echter heel erg laag gelegd. De uitspraak zet de deur open naar het ‘misbruiken’ van beperkte privacyinbreuken die vooral als tegenreactie worden ingesteld naar aanleiding van een discussie of om ondernemingen of personen het leven zuur te maken. Ik ben harde voorstander om effectieve inbreuken die iemand schade berokkenen strenger aan te pakken maar 100% conformiteit met de GDPR bestaat niet dus als een ‘onzekerheid omtrent de verwerking van persoonsgegevens’ voldoende is om schade aan te tonen kan zowat iedere onderneming tegen de spreekwoordelijke lamp lopen.
Vragen? Wij staan klaar voor jou!
Olivier Sustronck