Apellatsiooni lihtsus ja sanktsioonide rangus

Katkend Bruno DUMAY raamatust: GDPR DEKRÜPTSIOON – ettevõtete ja organisatsioonide juhtidele, strateegilistele osakondadele ja töötajatele – eessõna Gaëlle MONTEILLERilt

Vaatamata oma intelligentsusele ja sidususele, hoolimata kõigi Euroopa Liidu riikide ühtsusest selle sätete teatavaks tegemisel ja jõustamisel, puuduks isikuandmete kaitse üldmäärusel, nagu igal teisel määrusel, usaldusväärsus ja seega ka tõhusus, kui sellega ei kaasneks märkimisväärsete sanktsioonide võimalus juhul, kui need, kes peaksid seda kohaldama, ei järgi nõudeid.

Jäädes truuks üksikisikute eelistamisele organisatsioonide ees, on koostajad ette näinud õiguskaitsevahendid, mida on lihtne rakendada ning mis tõestatud rikkumise korral tõenäoliselt kaasa toovad süüdimõistvaid otsuseid ja sanktsioone. Artikkel 77 on selles osas selge: „... igal andmesubjektil on õigus esitada järelevalveasutusele kaebus... kui ta leiab, et temaga seotud isikuandmete töötlemine rikub käesolevat määrust.“ Ja kui järelevalveasutuse otsus, millel on taotluse menetlemiseks aega kolm kuud, andmesubjekti ei rahulda, saab ta esitada kaebuse (artikkel 78).

Kuid hagi saab esitada ka otse vastutava töötleja vastu. Artikli 79 pealkiri ei jäta selles osas ebaselgust: „Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu.“ Lõige 1 täpsustab: „...igal andmesubjektil on õigus tõhusale õiguskaitsevahendile, kui ta leiab, et tema käesoleva määruse kohaseid õigusi on rikutud...“.

Seega näeme, et andmeid töötleva üksuse ja/või isiku vastu on väga lihtne algatada hagi, esmalt halduslikku ja seejärel võimalik, et ka kohtulikku. Hagi esitamiseks piisab sellest, kui andmesubjekt „leiab“, et töötlemine ei ole olnud nõuetekohane. Ta saab tegutseda üksi või lasta end esindada „mittetulundusühingul, organisatsioonil või ühingul..., mille põhikirjalised eesmärgid on avalikus huvis ja mis tegutseb andmesubjektide õiguste ja vabaduste kaitse valdkonnas...“ (artikkel 80-1). Veelgi parem, „liikmesriigid võivad ette näha, et igal asutusel, organisatsioonil või ühingul on andmesubjekti poolt antud volitustest sõltumatult õigus esitada kõnealuses liikmesriigis kaebus järelevalveasutusele...“ (artikkel 80-2). Teisisõnu, isikuandmete kaitse üldmäärus jätab liikmesriikidele õiguse anda spetsialiseeritud struktuurile õigus ise menetlust algatada, isegi kui üksikisik ei ole seda taotlenud.

Need sätted avavad ukse ka kollektiivhagidele, mis Prantsusmaal kehtestati juba 2014. aasta Hamoni seadusega ja seejärel 18. novembri 2016. aasta seadusega, mida tuntakse kui „õigusemõistmise moderniseerimist 21. sajandil“.^e „sajandil." Viimane seadus lubab ainult süüteo lõpetamist. Isikuandmete kaitse üldmäärus avab võimaluse hüvitisele, isegi kui see tundub pigem individuaalne kui kollektiivne.

Tõepoolest, pärast edasikaebamisõigust kehtestatakse omakorda õigus hüvitisele: „Igal isikul, kes on käesoleva määruse rikkumise tagajärjel kannatanud materiaalset või moraalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest“ (art. 82-1).

Kes selle hüvitise eest maksab? Asjad on selged: „Iga töötlemises osalev vastutav töötleja vastutab kahju eest, mis on tekkinud käesoleva määruse rikkumisena toimuva töötlemise tagajärjel. Volitatud töötleja vastutab töötlemise tagajärjel tekkinud kahju eest ainult juhul, kui ta ei ole täitnud käesolevas määruses sätestatud kohustusi“ (artikkel 82-2). Mõlemad pooled saavad siiski tõendada süü puudumist: „Vastutav töötleja või volitatud töötleja vabastatakse lõike 2 kohasest vastutusest, kui ta tõendab, et kahju põhjustanud sündmus ei ole mingil viisil tema süüks pandud“ (artikkel 82-3).

Kui kaasatud on mitu osalejat, „vastutab iga vastutav töötleja või volitatud töötleja kahju eest täies ulatuses, et tagada andmesubjektile tõhus hüvitis“ (artikkel 82-4). See ei takista hüvitise maksmist: „Kui vastutav töötleja või volitatud töötleja on lõike 4 kohaselt kahju täielikult hüvitanud, on tal õigus nõuda teistelt samas töötlemises osalenud vastutavatelt töötlejatelt või volitatud töötlejatelt hüvitise osa, mis vastab nende vastutusele kahju tekitamise eest“ (artikkel 82-5).

Nüüd, kui vastutus on kindlaks määratud, kuidas saab sanktsioone määrata? Järelevalveasutusel on kõik vajalikud volitused andmetöötleja või volitatud töötleja korrale kutsumiseks, sealhulgas andmete töötlemise piiramiseks või keelamiseks, isikuandmete parandamiseks või kustutamiseks, edastamise peatamiseks, sertifikaadi tühistamiseks ja haldustrahvi määramiseks (artikkel 58-2).

Artikkel 83 sätestab haldustrahvide tingimused, mis peavad olema „proportsionaalsed ja hoiatavad” (art. 83-1). Artikli lõikes 2 loetletud 11 kriteeriumi „haldustrahvi määramise otsustamiseks” näitavad, et iga karistus määratakse igal üksikjuhul eraldi, võttes loomulikult arvesse, „kas rikkumine pandi toime tahtlikult või hooletuse tõttu”. Lõigetes 4 ja 5 loetletakse erinevad võimalikud rikkumised ja määratakse trahvide maksimaalne summa; kuni 20 000 000 eurot või ettevõtte puhul kuni 4,1 TP3T eurot tema aastasest ülemaailmsest käibest, olenevalt sellest, kumb on suurem. Piisab, kui öelda, et sellise suurusega trahvid võivad ettevõtte stabiilsust tõsiselt kahjustada (märkusena võib öelda, et CNIL-i poolt viimastel aastatel kohaldatud maksimaalsed karistused olid 150 000 eurot).

Mis puutub õiguskaitsevahenditesse, mida saaks taotleda ja saada kohtumenetluse korral kas järelevalveasutuse otsuse või andmetöötleja või volitatud töötleja vastu, siis võime eeldada, et need on samuti „proportsionaalsed ja hoiatavad” (need kaks sõna koos kõlavad nagu oksüümoron, kuid on selge, et need ei ole GDPR-i vaimus).

Järelevalveasutus on seega kõikvõimas, mis muuseas teeb seda tüüpi organist institutsiooni, mis ühendab kolme võimu – seadusandliku (isegi kui need ainult seaduse ettepanekut esitavad), täidesaatva ja kohtuvõimu –, mis on suurtes demokraatiates tavaliselt eraldatud. Ainuüksi järelevalveasutuse poolt artikli 58-2 alusel tehtud ettekirjutuse mittetäitmine võib kaasa tuua maksimaalse trahvi (artikkel 83-5). Riikidevahelise töötlemise korral määravad karistuse asjaomased järelevalveasutused ühiselt.

Muude sanktsioonide, „eelkõige rikkumiste eest, mille suhtes ei kohaldata artiklis 83 sätestatud haldustrahve“, võivad otsustada liikmesriigid (artikkel 84-1).

Tuletagem veel kord meelde põhiprintsiipi: igaühel peab säilima omandiõigus ja kontroll oma isikuandmete üle. Iga organisatsiooni, kes seda põhimõtet rikub, võidakse karistada.