Valitusten helppous ja seuraamusten ankaruus

Ote Bruno DUMAYn kirjasta: GDPR:n purkaminen – yritysten ja organisaatioiden johtajille, strategisille osastoille ja työntekijöille – Esipuhe: Gaëlle MONTEILLER

Älykkyydestään ja johdonmukaisuudestaan huolimatta, huolimatta kaikkien Euroopan unionin maiden yhtenäisyydestä sen säännösten tunnetuksi tekemisessä ja täytäntöönpanossa, GDPR, kuten mikä tahansa asetus, menettäisi uskottavuuttaan ja siten tehokkuuttaan, jos siihen ei liittyisi merkittävien seuraamusten mahdollisuutta, jos sitä soveltavat tahot eivät noudata sitä.

Uskollisena yksilöiden etusijalle organisaatioihin nähden laatijat ovat säätäneet helposti toteutettavista oikeussuojakeinoista, jotka todennäköisesti johtavat tuomioihin ja seuraamuksiin todistettujen väärinkäytösten tapauksessa. Artikla 77 on tässä suhteessa selkeä: "... rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle... jos hän katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta." Ja jos valvontaviranomaisen päätös, jolla on kolme kuukautta aikaa käsitellä pyyntö, ei tyydytä rekisteröityä, hän voi tehdä valituksen oikeuteen (artikla 78).

Mutta kanne voidaan nostaa myös suoraan rekisterinpitäjää vastaan. Artiklan 79 otsikko on tässä suhteessa yksiselitteinen: "Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan." Artiklan 1 kohdassa täsmennetään: "...jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tämän asetuksen mukaisia oikeuksiaan on loukattu...".

Voimme siis nähdä, että on erittäin helppo aloittaa toimia, ensin hallinnollisia ja sitten mahdollisesti oikeudellisia, tietoja käsittelevää yhteisöä ja/tai henkilöä vastaan. Riittää, että rekisteröity "katsoo", että käsittely ei ole ollut sääntöjen mukaista, toimiakseen. Hän voi toimia yksin tai häntä voi edustaa "voittoa tavoittelematon elin, järjestö tai yhdistys... jonka lakisääteiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröityjen oikeuksien ja vapauksien suojelun alalla..." (artikla 80-1). Vielä parempi on, että "jäsenvaltiot voivat säätää, että elimellä, järjestöllä tai yhdistyksellä on rekisteröidyn antamasta toimeksiannosta riippumatta oikeus tehdä valitus valvontaviranomaiselle kyseisessä jäsenvaltiossa..." (artikla 80-2). Toisin sanoen GDPR jättää jäsenvaltioiden tehtäväksi antaa erikoistuneelle taholle oikeuden aloittaa itse menettelyt, vaikka henkilö ei olisi ottanut sitä vastaan.

Nämä säännökset mahdollistavat myös ryhmäkanteet, jotka otettiin Ranskassa käyttöön jo vuoden 2014 Hamonin lailla ja sitten 18. marraskuuta 2016 annetulla lailla, joka tunnetaan nimellä "oikeusjärjestelmän modernisointi 2000-luvulla".^e "vuosisata." Jälkimmäinen laki sallii vain rikoksen lopettamisen. GDPR avaa mahdollisuuden korvaukseen, vaikka se vaikuttaisikin enemmän yksilölliseltä kuin kollektiiviselta.

Itse asiassa valitusoikeuden jälkeen vahvistetaan oikeus korvaukseen: "Jokaisella, joka on kärsinyt aineellista tai henkistä vahinkoa tämän asetuksen rikkomisen seurauksena, on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus kärsitystä vahingosta" (artikla 82-1).

Kuka maksaa tämän korvauksen? Asiat ovat selkeitä: "Jokainen käsittelyyn osallistuva rekisterinpitäjä on vastuussa vahingoista, jotka aiheutuvat tämän asetuksen vastaisesta käsittelystä. Käsittelijä on vastuussa käsittelystä aiheutuneista vahingoista vain, jos se ei ole noudattanut tässä asetuksessa säädettyjä velvoitteita" (82 artiklan 2 kohta). Kumpikin osapuoli voi edelleen osoittaa, ettei ole syyllistynyt mihinkään: "Rekisterinpitäjä tai käsittelijä vapautetaan 2 kohdan mukaisesta vastuusta, jos se osoittaa, että vahinkoa aiheuttanut tapahtuma ei ole millään tavalla sen johtuvuus" (82 artiklan 3 kohta).

Kun mukana on useita toimijoita, "jokainen rekisterinpitäjä tai henkilötietojen käsittelijä on vastuussa vahingosta kokonaisuudessaan, jotta rekisteröidylle voidaan taata tehokas korvaus" (artikla 82-4). Tämä ei kuitenkaan estä korvauksen maksamista: "Kun rekisterinpitäjä tai henkilötietojen käsittelijä on 4 kohdan mukaisesti korvannut kärsityn vahingon kokonaisuudessaan, sillä on oikeus vaatia samaan käsittelyyn osallistuneilta muilta rekisterinpitäjiltä tai henkilötietojen käsittelijöiltä heidän vastuutaan vahingosta vastaava osuus korvauksesta" (artikla 82-5).

Nyt kun vastuut on määritelty, miten seuraamuksia voidaan määrätä? Valvontaviranomaisella on kaikki tarvittavat valtuudet vaatia rekisterinpitäjää tai henkilötietojen käsittelijää toimimaan järjestykseen, mukaan lukien käsittelyn rajoittaminen tai kieltäminen, henkilötietojen oikaisemisen tai poistamisen määrääminen, siirtojen keskeyttäminen, varmennuksen peruuttaminen ja hallinnollisen sakon määrääminen (58-2 artikla).

Artiklassa 83 esitetään hallinnollisten sakkojen edellytykset, joiden on oltava "oikeasuhtaisia ja varoittavia" (artikla 83-1). Artiklan 2 kohdassa luetellut 11 kriteeriä "hallinnollisen sakon määräämisestä päätettäessä" osoittavat, että jokainen seuraamus määritetään tapauskohtaisesti ottaen huomioon tietenkin sen, "onko rikkomus tehty tahallisesti vai tuottamuksesta". Artiklan 4 ja 5 kohdassa luetellaan erilaiset mahdolliset rikkomukset ja määritetään sakkojen enimmäismäärät; enintään 20 000 000 euroa tai yrityksen osalta enintään 4,1 TP3T euroa sen vuotuisesta maailmanlaajuisesta liikevaihdosta, sen mukaan kumpi on suurempi. Riittää, kun todetaan, että tällaisen suuruiset sakot voivat vakavasti heikentää yrityksen vakautta (huomautettakoon, että CNIL:n viime vuosina soveltamat enimmäissakot ovat olleet 150 000 euroa).

Mitä tulee oikeussuojakeinoihin, joita voitaisiin pyytää ja saada oikeustoimien yhteydessä joko valvontaviranomaisen päätöstä tai rekisterinpitäjää tai henkilötietojen käsittelijää vastaan, voimme olettaa, että nekin ovat "oikeasuhtaisia ja varoittavia" (nämä kaksi sanaa yhdessä kuulostavat oksimoronilta, mutta ne eivät selvästikään ole GDPR:n hengen mukaisia).

Valvontaviranomaisella on siis kaikkivaltius, mikä tekee tällaisesta elimestä instituution, joka yhdistää kolme valtaa – lainsäädäntövallan (vaikka ne vain ehdottaisivat lakia), toimeenpanovallan ja tuomiovallan – jotka ovat yleensä erillään suurissa demokratioissa. Pelkästään valvontaviranomaisen 58-2 artiklan nojalla antaman kieltomääräyksen noudattamatta jättäminen voi johtaa enimmäissakkoon (83-5 artikla). Kansainvälisen käsittelyn tapauksessa seuraamuksen päättävät asianomaiset valvontaviranomaiset yhteisesti.

Muita seuraamuksia, "erityisesti rikkomuksista, joihin ei sovelleta 83 artiklassa säädettyjä hallinnollisia sakkoja", voivat päättää jäsenvaltiot (84 artiklan 1 kohta).

Palautetaanpa jälleen kerran mieleen perusperiaate: jokaisella on oltava omistusoikeus ja hallinta omiin henkilötietoihinsa. Organisaatioille, jotka rikkovat tätä periaatetta, voidaan määrätä seuraamuksia.