Jednostavnost žalbe i ozbiljnost sankcija

Ulomak iz knjige Bruna DUMAYA: DEŠIFRACIJA GDPR-a – Za menadžere, strateške odjele i zaposlenike tvrtki i organizacija – Predgovor Gaëlle MONTEILLER

Unatoč svojoj inteligenciji i koherentnosti, unatoč jedinstvu svih zemalja Europske unije u obznanjivanju i provođenju svojih odredbi, GDPR-u, kao i svakom propisu, nedostajala bi vjerodostojnost, a time i učinkovitost, kada ga ne bi pratila mogućnost značajnih sankcija u slučaju nepoštivanja od strane onih koji bi ga trebali primjenjivati.

Vjerni prednosti koju daju pojedincima nad organizacijama, sastavljači su predvidjeli pravne lijekove koji se jednostavno provode i vjerojatno pokreću osuđujuće presude i sankcije u slučaju dokazanog nedoličnog ponašanja. Članak 77. je u tom pogledu jasan: „... svaki subjekt podataka ima pravo podnijeti pritužbu nadzornom tijelu... ako smatra da obrada osobnih podataka koji se na njega odnose krši ovu Uredbu.“ A ako odluka nadzornog tijela, koje ima tri mjeseca za obradu zahtjeva, ne zadovolji subjekta podataka, tada može podnijeti pravnu žalbu (članak 78.).

No tužba se može podnijeti i izravno protiv kontrolora. Naslov članka 79. ne ostavlja nikakvu dvosmislenost u tom pogledu: „Pravo na učinkovit sudski lijek protiv kontrolora ili obrađivača.“ Stavak 1. precizira: „...svaki ispitanik ima pravo na učinkovit sudski lijek ako smatra da su mu povrijeđena prava prema ovoj Uredbi...“.

Stoga možemo vidjeti da je vrlo lako pokrenuti postupak, prvo upravni, a zatim eventualno sudski, protiv subjekta i/ili osobe koja obrađuje podatke. Dovoljno je da subjekt podataka „smatra“ da obrada nije bila u skladu s propisima da bi djelovao. On ili ona može djelovati samostalno ili ga zastupa „neprofitno tijelo, organizacija ili udruga... čiji su zakonski ciljevi od javnog interesa i aktivna je u području zaštite prava i sloboda ispitanika...“ (čl. 80-1). Još bolje, „države članice mogu propisati da svako tijelo, organizacija ili udruga, neovisno o bilo kojem mandatu koji im je povjerio ispitanik, ima u dotičnoj državi članici pravo podnijeti pritužbu nadzornom tijelu...“ (čl. 80-2). Drugim riječima, GDPR ostavlja državama članicama da daju specijaliziranoj strukturi pravo da sama pokrene postupak, čak i ako ga pojedinac nije pokrenuo.

Ove odredbe također ostavljaju vrata otvorenima za kolektivne tužbe, koje su u Francuskoj već uvedene Hamonovim zakonom iz 2014., a zatim i zakonom od 18. studenog 2016., poznatim kao „modernizacija pravosuđa u 21. stoljeću“.^e stoljeća." Ovaj potonji zakon dopušta samo prestanak prekršaja. GDPR otvara mogućnost odštete, čak i ako se to čini više individualnim nego kolektivnim.

Doista, nakon prava na žalbu, redom se utvrđuje pravo na naknadu štete: „Svaka osoba koja je pretrpjela materijalnu ili moralnu štetu kao rezultat kršenja ove uredbe ima pravo dobiti naknadu za pretrpljenu štetu od kontrolora ili obrađivača“ (čl. 82-1).

Tko će platiti tu odštetu? Stvari su jasne: „Svaki voditelj obrade uključen u obradu odgovoran je za štetu uzrokovanu obradom koja predstavlja kršenje ove Uredbe. Obrađivač će biti odgovoran za štetu uzrokovanu obradom samo ako nije ispunio obveze utvrđene ovom Uredbom“ (čl. 82-2). Svaka stranka i dalje može dokazati nepostojanje krivnje: „Voditelj obrade ili obrađivač oslobođeni su odgovornosti prema stavku 2 ako dokažu da se događaj koji je uzrokovao štetu ni na koji način ne može pripisati njima“ (čl. 82-3).

Kada je uključeno više aktera, „svaki od kontrolora ili obrađivača bit će odgovoran za štetu u cijelosti kako bi se ispitaniku jamčila učinkovita odšteta“ (čl. 82-4). To tada ne sprječava odštetu: „Kada je kontrolor ili obrađivač, u skladu sa stavkom 4, u potpunosti nadoknadio pretrpljenu štetu, ima pravo od ostalih kontrolora ili obrađivača koji su sudjelovali u istoj obradi tražiti dio odštete koji odgovara njihovom udjelu u odgovornosti za štetu“ (čl. 82-5).

Sada kada su odgovornosti utvrđene, kako se mogu izreći sankcije? Nadzorno tijelo ima sve potrebne ovlasti pozvati voditelja obrade ili obrađivača na djelovanje, uključujući nametanje ograničenja ili zabrane obrade, nalaganje ispravka ili brisanja osobnih podataka, obustavu prijenosa, povlačenje certifikata i izricanje upravne novčane kazne (članak 58-2).

Članak 83. utvrđuje uvjete za administrativne novčane kazne, koje moraju biti "proporcionalne i odvraćajuće" (čl. 83-1). Jedanaest kriterija navedenih u stavku 2. članka za "odlučivanje o tome hoće li se izreći administrativna novčana kazna" pokazuju da će se svaka kazna određivati od slučaja do slučaja, uzimajući u obzir, naravno, "je li prekršaj počinjen namjerno ili iz nemara". Stavci 4. i 5. navode različite moguće prekršaje i određuju maksimalni iznos novčanih kazni; do 20.000.000 eura ili, za tvrtku, do 4,1 TP3T njezinog godišnjeg prometa diljem svijeta, ovisno o tome što je veće. Dovoljno je reći da novčane kazne takvog iznosa mogu ozbiljno potkopati stabilnost tvrtke (za zapisnik, maksimalne kazne koje je CNIL primjenjivao posljednjih godina iznosile su 150.000 eura).

Što se tiče pravnih sredstava koja bi se mogla zatražiti i dobiti u slučaju pravnog postupka, bilo protiv odluke nadzornog tijela ili protiv voditelja obrade podataka ili obrađivača, možemo pretpostaviti da će i ona biti „razmjerna i odvraćajuća“ (ove dvije riječi zajedno zvuče kao oksimoron, ali očito nisu u duhu GDPR-a).

Nadzorno tijelo je stoga svemoćno, što, usput rečeno, ovu vrstu tijela čini institucijama koje kombiniraju tri vlasti – zakonodavnu (čak i ako samo predlažu zakon), izvršnu i sudsku – obično odvojene u velikim demokracijama. Samo nepoštivanje naloga koji je izdalo nadzorno tijelo prema članku 58-2 može rezultirati maksimalnom novčanom kaznom (čl. 83-5). U slučaju transnacionalne obrade, sankciju će zajednički donijeti nadležna nadzorna tijela.

Druge sankcije, „posebno za prekršaje koji ne podliježu upravnim novčanim kaznama predviđenim člankom 83.“, mogu odrediti države članice (čl. 84-1).

Podsjetimo se još jednom na osnovno načelo: svatko mora zadržati vlasništvo i kontrolu nad svojim osobnim podacima. Svaka organizacija koja prekrši ovo načelo može biti sankcionirana.