Facilités des recours et lourdeurs des sanctions

Ευκολία άσκησης εφέσεων και αυστηρότητα των κυρώσεων

Απόσπασμα από το βιβλίο του Bruno DUMAY: ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΗ GDPR – Για διευθυντές, στρατηγικά τμήματα και υπαλλήλους εταιρειών και οργανισμών – Πρόλογος από την Gaëlle MONTEILLER

Παρά την ευφυΐα και τη συνοχή του, παρά την ενότητα όλων των χωρών της Ευρωπαϊκής Ένωσης στη γνωστοποίηση και την εφαρμογή των διατάξεων του, ο ΓΚΠΔ, όπως κάθε κανονισμός, θα στερούνταν αξιοπιστίας και, ως εκ τούτου, αποτελεσματικότητας, εάν δεν συνοδευόταν από την πιθανότητα σημαντικών κυρώσεων σε περίπτωση μη συμμόρφωσης από εκείνους που υποτίθεται ότι τον εφαρμόζουν.

Πιστοί στην υπεροχή που δίνουν στα άτομα έναντι των οργανισμών, οι συντάκτες έχουν προβλέψει ένδικα μέσα που είναι εύκολα στην εφαρμογή τους και είναι πιθανό να οδηγήσουν σε καταδίκες και κυρώσεις σε περίπτωση αποδεδειγμένης παράβασης. Το Άρθρο 77 είναι σαφές ως προς αυτό: «... κάθε υποκείμενο δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή... εάν θεωρεί ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν παραβιάζει τον παρόντα Κανονισμό». Και εάν η απόφαση της εποπτικής αρχής, η οποία έχει προθεσμία τριών μηνών για να επεξεργαστεί το αίτημα, δεν ικανοποιεί το υποκείμενο των δεδομένων, μπορεί στη συνέχεια να ασκήσει νομική προσφυγή (Άρθρο 78).

Ωστόσο, η αγωγή μπορεί επίσης να ασκηθεί απευθείας κατά του υπευθύνου επεξεργασίας. Ο τίτλος του άρθρου 79 δεν αφήνει καμία ασάφεια ως προς αυτό: «Δικαίωμα αποτελεσματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία». Η παράγραφος 1 ορίζει: «...κάθε υποκείμενο των δεδομένων έχει δικαίωμα αποτελεσματικής δικαστικής προσφυγής εάν θεωρεί ότι τα δικαιώματά του βάσει του παρόντος κανονισμού έχουν παραβιαστεί...».

Μπορούμε επομένως να δούμε ότι είναι πολύ εύκολο να κινηθεί αγωγή, πρώτα διοικητική και στη συνέχεια ενδεχομένως δικαστική, κατά μιας οντότητας ή/και ενός προσώπου που επεξεργάζεται δεδομένα. Αρκεί ένα υποκείμενο δεδομένων να «θεωρήσει» ότι η επεξεργασία δεν έχει γίνει σύμφωνα με τους κανονισμούς για να ενεργήσει. Μπορεί να ενεργήσει μόνο του ή να εκπροσωπηθεί από «μη κερδοσκοπικό φορέα, οργανισμό ή ένωση... του οποίου οι καταστατικοί στόχοι είναι δημόσιου συμφέροντος και δραστηριοποιείται στον τομέα της προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων...» (άρθρο 80-1). Ακόμα καλύτερα, «τα κράτη μέλη μπορούν να προβλέπουν ότι οποιοσδήποτε φορέας, οργανισμός ή ένωση, ανεξάρτητα από οποιαδήποτε εντολή που του έχει ανατεθεί από ένα υποκείμενο δεδομένων, έχει, στο εν λόγω κράτος μέλος, το δικαίωμα να υποβάλει καταγγελία στην εποπτική αρχή...» (άρθρο 80-2). Με άλλα λόγια, ο ΓΚΠΔ αφήνει στα κράτη μέλη την αρμοδιότητα να δώσουν σε μια εξειδικευμένη δομή το δικαίωμα να κινήσει η ίδια τη διαδικασία, ακόμη και αν δεν έχει κατασχεθεί από ένα φυσικό πρόσωπο.

Αυτές οι διατάξεις αφήνουν επίσης ανοιχτή την πόρτα σε ομαδικές αγωγές, οι οποίες έχουν ήδη θεσπιστεί στη Γαλλία με τον νόμο Hamon του 2014 και στη συνέχεια με τον νόμο της 18ης Νοεμβρίου 2016, γνωστό ως «εκσυγχρονισμός της δικαιοσύνης στον 21ο αιώνα».μι αιώνα." Αυτός ο τελευταίος νόμος επιτρέπει μόνο την παύση του αδικήματος. Ο ΓΚΠΔ ανοίγει τη δυνατότητα αποζημίωσης, ακόμη και αν αυτή φαίνεται περισσότερο ατομική παρά συλλογική.

Πράγματι, μετά το δικαίωμα έφεσης, θεσπίζεται με τη σειρά του το δικαίωμα αποζημίωσης: «Κάθε πρόσωπο που έχει υποστεί υλική ή ηθική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού έχει το δικαίωμα να λάβει αποζημίωση για τη ζημία που υπέστη από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία» (άρθρο 82-1).

Ποιος θα πληρώσει για αυτήν την αποζημίωση; Τα πράγματα είναι σαφή: «Κάθε υπεύθυνος επεξεργασίας που εμπλέκεται στην επεξεργασία ευθύνεται για ζημία που προκαλείται από επεξεργασία που συνιστά παραβίαση του παρόντος κανονισμού. Ο εκτελών την επεξεργασία ευθύνεται για ζημία που προκαλείται από επεξεργασία μόνο εάν δεν έχει συμμορφωθεί με τις υποχρεώσεις που ορίζονται στον παρόντα κανονισμό» (Άρθρο 82-2). Οποιοδήποτε μέρος μπορεί να αποδείξει την απουσία υπαιτιότητας: «Ένας υπεύθυνος επεξεργασίας ή ένας εκτελών την επεξεργασία απαλλάσσεται από την ευθύνη βάσει της παραγράφου 2 εάν αποδείξει ότι το γεγονός που προκάλεσε τη ζημία δεν μπορεί να αποδοθεί σε κανέναν από αυτόν» (Άρθρο 82-3).

Όταν εμπλέκονται περισσότεροι του ενός φορείς, «κάθε ένας από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία ευθύνεται για το σύνολο της ζημίας, προκειμένου να διασφαλιστεί η αποτελεσματική αποζημίωση του υποκειμένου των δεδομένων» (άρθρο 82-4). Αυτό δεν εμποδίζει την αποζημίωση: «Όταν ένας υπεύθυνος επεξεργασίας ή ένας εκτελών την επεξεργασία έχει, σύμφωνα με την παράγραφο 4, αποζημιώσει πλήρως τη ζημία που υπέστη, δικαιούται να απαιτήσει από τους άλλους υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία που έχουν συμμετάσχει στην ίδια επεξεργασία το μερίδιο αποζημίωσης που αντιστοιχεί στο μερίδιό τους στην ευθύνη για τη ζημία» (άρθρο 82-5).

Τώρα που έχουν καθοριστεί οι ευθύνες, πώς μπορούν να επιβληθούν κυρώσεις; Η εποπτική αρχή έχει όλες τις απαραίτητες εξουσίες για να καλέσει έναν υπεύθυνο επεξεργασίας ή έναν εκτελούντα την επεξεργασία να τεθεί ενώπιον της δικαιοσύνης, συμπεριλαμβανομένης της επιβολής περιορισμού ή απαγόρευσης της επεξεργασίας, της εντολής διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα, της αναστολής των διαβιβάσεων, της ανάκλησης της πιστοποίησης και της επιβολής διοικητικού προστίμου (Άρθρο 58-2).

Το Άρθρο 83 ορίζει τις προϋποθέσεις για τα διοικητικά πρόστιμα, τα οποία πρέπει να είναι «αναλογικά και αποτρεπτικά» (άρθρο 83-1). Τα 11 κριτήρια που αναφέρονται στην παράγραφο 2 του άρθρου για την «απόφαση επιβολής διοικητικού προστίμου» δείχνουν ότι κάθε ποινή θα καθορίζεται κατά περίπτωση, λαμβάνοντας υπόψη, φυσικά, «το αν η παράβαση διαπράχθηκε εκ προθέσεως ή εξ αμελείας». Οι παράγραφοι 4 και 5 απαριθμούν τις διάφορες πιθανές παραβάσεις και καθορίζουν το μέγιστο ποσό των προστίμων· έως 20.000.000 € ή, για μια εταιρεία, έως 4,1 TP3T € του ετήσιου παγκόσμιου κύκλου εργασιών της, όποιο από τα δύο είναι υψηλότερο. Αρκεί να πούμε ότι τα πρόστιμα ενός τέτοιου ποσού μπορούν να υπονομεύσουν σοβαρά τη σταθερότητα μιας εταιρείας (για την ιστορία, οι μέγιστες ποινές που επέβαλε η CNIL τα τελευταία χρόνια ανήλθαν σε 150.000 €).

Όσον αφορά τα ένδικα μέσα που θα μπορούσαν να ζητηθούν και να ληφθούν σε περίπτωση νομικής δράσης, είτε κατά της απόφασης της εποπτικής αρχής είτε κατά του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, μπορούμε να υποθέσουμε ότι θα είναι επίσης «αναλογικά και αποτρεπτικά» (αυτές οι δύο λέξεις μαζί ακούγονται σαν οξύμωρο, αλλά σαφώς δεν είναι στο πνεύμα του ΓΚΠΔ).

Συνεπώς, η εποπτική αρχή είναι παντοδύναμη, γεγονός που, παρεμπιπτόντως, καθιστά αυτό το είδος φορέα θεσμικό όργανο που συνδυάζει τρεις εξουσίες - νομοθετική (ακόμα και αν υποδηλώνουν μόνο τον νόμο), εκτελεστική, δικαστική - συνήθως διαχωρισμένες στις μεγάλες δημοκρατίες. Η μη συμμόρφωση και μόνο με μια εντολή που εκδίδεται από την εποπτική αρχή βάσει του άρθρου 58-2 μπορεί να οδηγήσει στο μέγιστο πρόστιμο (άρθρο 83-5). Στην περίπτωση διακρατικής επεξεργασίας, η κύρωση θα θεσπίζεται από κοινού από τις αρμόδιες εποπτικές αρχές.

Άλλες κυρώσεις, «ιδίως για παραβάσεις που δεν υπόκεινται στα διοικητικά πρόστιμα που προβλέπονται στο άρθρο 83», μπορούν να αποφασιστούν από τα κράτη μέλη (άρθρο 84-1).

Ας υπενθυμίσουμε για άλλη μια φορά τη βασική αρχή: όλοι πρέπει να διατηρούν την κυριότητα και τον έλεγχο των προσωπικών τους δεδομένων. Οποιοσδήποτε οργανισμός παραβιάζει αυτήν την αρχή μπορεί να υποστεί κυρώσεις.

Ανακαλύψτε το Viqtor®
elEL
fr_FRFR en_USEN de_DE_formalDE es_ESES it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL elEL