Geen individuele afdwinging van sancties tegenover toezichthoudende autoriteiten voor gegevensbescherming – Achtergronden bij een recent arrest van het Hof van Justitie van de EU
Met het arrest van 14 maart 2024 (Zaak C-768/21) heeft het Hof van Justitie van de Europese Unie (HvJ-EU) verduidelijkt dat betrokkenen geen afdwingbaar recht hebben om van een toezichthoudende autoriteit voor gegevensbescherming te eisen dat zij een boete oplegt of andere corrigerende maatregelen treft tegen verantwoordelijken bij een schending van de gegevensbescherming. Deze uitspraak onderstreept de rol en de beoordelingsruimte van toezichthoudende autoriteiten en heeft verstrekkende gevolgen voor de rechtsbescherming van betrokkenen.
Wettelijk kader en de taak van de toezichthoudende autoriteiten
De structuur van de Algemene Verordening Gegevensbescherming
De Algemene Verordening Gegevensbescherming (AVG), als het belangrijkste regelwerk van het Europese gegevensbeschermingsrecht, voorziet voor overtredingen van gegevensbeschermingsverplichtingen in een gelaagd systeem van sancties en corrigerende maatregelen. De verantwoordelijkheid voor de handhaving hiervan berust in de eerste plaats bij de nationale toezichthoudende autoriteiten. De autoriteiten zijn volgens art. 57 e.v. AVG verplicht om klachten te onderzoeken, feiten op te helderen en bij vastgestelde overtredingen eigenstandig passende maatregelen te nemen.
Taak als ‘hoeder’ van het gegevensbeschermingsrecht
De rol van de toezichthoudende autoriteiten is niet beperkt tot de enkele rechtshandhaving in individuele gevallen. Zij fungeren eerder als een onafhankelijke instantie die bemiddelt tussen betrokkenen en verantwoordelijken en de naleving van het gegevensbeschermingsrecht waarborgt. Hun werkzaamheden worden gekenmerkt door procedurele beoordelingsvrijheid, waardoor zij adequaat kunnen reageren op verschillende overtredingen.
Betreft: Geen individueel recht op sancties of corrigerende maatregelen
Aanleiding en besluit van het HvJ-EU
De uitspraak had betrekking op een zaak waarin een betrokkene de oplegging van een boete eiste tegen een verantwoordelijke. De toezichthoudende autoriteit startte weliswaar een onderzoek, maar legde geen sanctie op. Volgens het HvJ-EU is de autoriteit bij de keuze en beoordeling van maatregelen niet gebonden aan individuele verzoeken.
Kern van de uitspraak is dat betrokkenen weliswaar recht hebben op een effectieve behandeling van hun klacht en informatie over de uitkomst ervan, maar geen specifiek recht kunnen doen gelden op een bepaalde maatregel – bijvoorbeeld een boete. De keuze en mate van eventuele sancties liggen volledig binnen de beoordelingsvrijheid van de autoriteit.
Motivering van het Hof
De rechters benadrukten dat de sanctieregelingen van de AVG in de eerste plaats het algemeen belang beschermen en niet primair individuele vorderingen tot schadevergoeding of genoegdoening regelen. Wordt een schending van de gegevensbescherming vastgesteld, dan is de autoriteit veeleer verplicht om binnen haar beoordelingsruimte passende maatregelen te treffen. De beslissing over het soort en de hoogte van de sanctie wordt daarbij onafhankelijk genomen van het verzoek van de betrokkene.
Gevolgen voor de rechtsbescherming van betrokkenen
Rechten van de betrokkene
Betrokkenen kunnen nog steeds klachten indienen en grondig onderzoek eisen. Bij een klacht is de bevoegde toezichthoudende autoriteit verplicht de feiten objectief te beoordelen en het resultaat te communiceren. Een afdwingbaar recht op het opleggen van een specifieke sanctie bestaat echter niet. Wil de betrokkene verdergaand optreden tegen verantwoordelijken, dan staat een civielrechtelijke schadevergoedingsvordering open, die echter afzonderlijk moet worden ingediend.
Betekenis voor de praktijk
Voor bedrijven, overheidsinstanties en overige verwerkers van persoonsgegevens brengt de uitspraak meer rechtszekerheid bij het omgaan met verzoeken en klachten van betrokkenen. Op het gebied van interne compliance en in toezichthoudende procedures is de beoordelingsruimte van de autoriteiten van belang. Betrokkenen dienen er echter rekening mee te houden dat zij een sanctie voor de verantwoordelijke niet kunnen afdwingen, maar afhankelijk zijn van het oordeel van de autoriteit.
Vooruitblik en lopende ontwikkelingen
Het arrest laat de grenzen zien van de individuele rechtsbescherming binnen het Europese gegevensbeschermingsrecht. De rol van de toezichthoudende autoriteiten blijft daarmee versterkt, terwijl de handhaving van individuele aanspraken op schadevergoeding of het opleggen van boetes voorbehouden blijft aan speciale wettelijke regelingen en afzonderlijke gerechtelijke procedures. Het is afwachten hoe nationale rechtbanken en autoriteiten het arrest in de praktijk zullen implementeren en in hoeverre eventueel aanpassing van klachtenprocedures nodig wordt geacht.
Bij verdere vragen over vraagstukken rond gegevensbescherming, bestuursprocedures of sanctiepraktijk staan de Rechtsanwälte van MTR Legal u graag bij met diepgaande juridische raad en jarenlange ervaring op het gebied van gegevensbeschermingsrecht.
Bron:
EuGH, Urteil vom 14.03.2024, C-768/21, https://curia.europa.eu/juris/document/document.jsf?docid=284844
