Indien een derde schade lijdt als gevolg van het niet nakomen van verplichtingen op grond van de AVG door een organisatie, kunnen bestuurders van die organisatie (in beginsel) niet hoofdelijk aansprakelijk worden gesteld op grond van de AVG. De AVG voorziet namelijk niet in bepalingen waarin een dergelijke hoofdelijke aansprakelijkheid is opgenomen. Hoofdelijke aansprakelijkheid van bestuurders wordt geregeld in nationale wetgeving, namelijk in het Burgerlijk Wetboek (BW). Hiervoor geldt dus het ‘reguliere’ regime voor bestuursaansprakelijkheid.
Op het moment dat een organisatie schade lijdt als gevolg van het niet nakomen van de AVG door een werknemer, is het tevens niet mogelijk om die werknemer aansprakelijk te stellen op grond van de AVG (ervan uitgaande dat geen sprake is van opzet of bewuste roekeloosheid). Verder is het verboden om werknemers een boete op te leggen voor het niet naleven van de AVG. In situaties waarin een werknemer een fout maakt, dus niet opzettelijk, is sprake van een wanprestatie op grond van het BW. Een wanprestatie van de werknemer komt op grond van het BW voor rekening van de werkgever. Het is wel mogelijk om beleid op te stellen dat ziet op het niet naleven van bepalingen uit de AVG.
Op grond van de AVG is de organisatie als verwerkingsverantwoordelijke aansprakelijk voor schade als gevolg van het niet naleven van de AVG. Over het afwenden van deze aansprakelijkheid is niets bepaald in de AVG. Let er wel op dat wanneer een werknemer voor eigen doeleinden de gegevens gaat gebruiken, zonder dat de werkgever hiervan op de hoogte is, de werknemer verwerkingsverantwoordelijke is. Dit brengt mee dat hij dan wel voor de verwerking kan worden aangesproken.
