Apeliacijų paprastumas ir sankcijų griežtumas

Ištrauka iš Bruno DUMAY knygos: GDPR IŠŠIKRAVIMAS – vadovams, strateginiams skyriams ir įmonių bei organizacijų darbuotojams – Gaëlle MONTEILLER pratarmė

Nepaisant savo išmanumo ir nuoseklumo, nepaisant visų Europos Sąjungos šalių vienybės skelbiant ir vykdant jo nuostatas, BDAR, kaip ir bet kuris kitas reglamentas, trūktų patikimumo, taigi ir veiksmingumo, jei nebūtų numatyta galimybė taikyti dideles sankcijas tiems, kurie turėtų jį taikyti, jei nesilaiko reikalavimų.

Ištikimi savo pirmenybei, kurią jie teikia asmenims, palyginti su organizacijomis, rengėjai numatė teisių gynimo priemones, kurias lengva įgyvendinti ir kurios, įrodžius nusižengimą, greičiausiai sukels apkaltinamuosius nuosprendžius ir sankcijas. 77 straipsnis šiuo klausimu aiškiai nurodo: „... kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai... jeigu mano, kad su juo susijusių asmens duomenų tvarkymas pažeidžia šį reglamentą.“ O jeigu priežiūros institucijos, kuri turi tris mėnesius prašymui išnagrinėti, sprendimas duomenų subjekto netenkina, jis gali pateikti apeliaciją teisme (78 straipsnis).

Tačiau ieškinį taip pat galima pareikšti tiesiogiai duomenų valdytojui. 79 straipsnio pavadinimas šiuo klausimu nepalieka aiškumo: „Teisė į veiksmingą teisminę teisių gynimo priemonę prieš duomenų valdytoją arba tvarkytoją.“ 1 dalyje nurodoma: „...kiekvienas duomenų subjektas turi teisę į veiksmingą teisminę teisių gynimo priemonę, jeigu jis mano, kad jo teisės pagal šį reglamentą buvo pažeistos...“.

Todėl matome, kad labai lengva imtis veiksmų – pirmiausia administracinių, o vėliau galbūt ir teisminių – prieš subjektą ir (arba) asmenį, kuris tvarko duomenis. Duomenų subjektui pakanka „manyti“, kad tvarkymas nebuvo atliktas laikantis teisės aktų, kad galėtų imtis veiksmų. Jis gali veikti vienas arba būti atstovaujamas „ne pelno siekiančios įstaigos, organizacijos ar asociacijos... kurios įstatuose nustatyti tikslai yra viešojo intereso labui ir kuri veikia duomenų subjektų teisių ir laisvių apsaugos srityje...“ (80-1 straipsnis). Dar geriau – „valstybės narės gali numatyti, kad bet kuri įstaiga, organizacija ar asociacija, nepriklausomai nuo duomenų subjekto suteiktų įgaliojimų, atitinkamoje valstybėje narėje turėtų teisę pateikti skundą priežiūros institucijai...“ (80-2 straipsnis). Kitaip tariant, BDAR palieka valstybėms narėms teisę suteikti specializuotai struktūrai teisę pačiai inicijuoti procesą, net jei į ją nesikreipė asmuo.

Šios nuostatos taip pat atveria duris kolektyviniams ieškiniams, kurie Prancūzijoje jau buvo įvesti 2014 m. Hamono įstatymu, o vėliau – 2016 m. lapkričio 18 d. įstatymu, vadinamu „teisingumo modernizavimu XXI amžiuje“.^e „[...] amžiuje.“ Pastarasis įstatymas leidžia tik nutraukti nusikaltimą. BDAR atveria kompensacijos galimybę, net jei ji atrodo labiau individuali, o ne kolektyvinė.

Iš tiesų, po teisės pateikti apeliaciją, savo ruožtu nustatoma teisė į kompensaciją: „Kiekvienas asmuo, patyręs materialinę ar moralinę žalą dėl šio reglamento pažeidimo, turi teisę gauti kompensaciją už patirtą žalą iš duomenų valdytojo arba tvarkytojo“ (82-1 straipsnis).

Kas mokės šią kompensaciją? Padėtis aiški: „Bet kuris duomenų valdytojas, dalyvaujantis tvarkyme, yra atsakingas už žalą, atsiradusią dėl tvarkymo, kuris pažeidžia šį reglamentą. Tvarkytojas laikomas atsakingu už žalą, atsiradusią dėl tvarkymo, tik tuo atveju, jei jis nesilaikė šiame reglamente nustatytų įpareigojimų“ (82-2 straipsnis). Bet kuri šalis vis tiek gali įrodyti kaltės nebuvimą: „Duomenų valdytojas arba tvarkytojas atleidžiamas nuo atsakomybės pagal 2 dalį, jei įrodo, kad įvykis, dėl kurio atsirado žala, jokiu būdu nėra jam priskirtinas“ (82-3 straipsnis).

Kai dalyvauja keli subjektai, „kiekvienas duomenų valdytojas arba tvarkytojas yra atsakingas už visą žalą, siekiant užtikrinti duomenų subjektui veiksmingą kompensaciją“ (82-4 straipsnis). Tai neužkerta kelio kompensacijai: „Kai duomenų valdytojas arba tvarkytojas pagal 4 dalį visiškai atlygino patirtą žalą, jis turi teisę reikalauti iš kitų duomenų valdytojų arba tvarkytojų, dalyvavusių tame pačiame tvarkyme, kompensacijos dalies, atitinkančios jų atsakomybės už žalą dalį“ (82-5 straipsnis).

Nustačius atsakomybę, kaip galima taikyti sankcijas? Priežiūros institucija turi visus būtinus įgaliojimus, kad duomenų valdytojas arba tvarkytojas imtųsi veiksmų, įskaitant duomenų tvarkymo apribojimą arba uždraudimą, asmens duomenų ištaisymą arba ištrynimą, perdavimo sustabdymą, sertifikato panaikinimą ir administracinės baudos skyrimą (58-2 straipsnis).

83 straipsnyje nustatytos administracinių baudų skyrimo sąlygos, kurios turi būti „proporcingos ir atgrasančios“ (83-1 str.). 11 kriterijų, išvardytų straipsnio 2 dalyje, „sprendžiant, ar skirti administracinę baudą“, rodo, kad kiekviena nuobauda bus nustatoma kiekvienu atveju atskirai, atsižvelgiant, žinoma, į tai, „ar pažeidimas buvo padarytas tyčia, ar dėl neatsargumo“. 4 ir 5 dalyse išvardyti įvairūs galimi pažeidimai ir nustatyta maksimali baudų suma; iki 20 000 000 EUR arba, įmonės atveju, iki 4,1 TP3T jos metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Pakanka pasakyti, kad tokio dydžio baudos gali rimtai pakenkti įmonės stabilumui (pažymėtina, kad pastaraisiais metais CNIL taikytos maksimalios baudos siekė 150 000 EUR).

Kalbant apie teisių gynimo priemones, kurių būtų galima prašyti ir gauti teisinių veiksmų atveju, tiek dėl priežiūros institucijos sprendimo, tiek prieš duomenų valdytoją ar tvarkytoją, galime manyti, kad jos taip pat bus „proporcingos ir atgrasančios“ (šie du žodžiai kartu skamba kaip oksimoronas, bet akivaizdu, kad jie neatitinka BDAR dvasios).

Todėl priežiūros institucija yra visagalė, o tai, beje, paverčia šio tipo įstaigą institucijomis, jungiančiomis tris galias – įstatymų leidžiamąją (net jei jos tik siūlo įstatymą), vykdomąją ir teisminę – kurios didelėse demokratinėse valstybėse paprastai yra atskirtos. Vien tik nesilaikymas priežiūros institucijos pagal 58-2 straipsnį išduoto draudimo gali užtraukti maksimalią baudą (83-5 straipsnis). Tarptautinio duomenų tvarkymo atveju sankcijas bendrai skiria atitinkamos priežiūros institucijos.

Kitų sankcijų, „ypač už pažeidimus, už kuriuos netaikomos 83 straipsnyje numatytos administracinės baudos“, gali nustatyti valstybės narės (84-1 straipsnis).

Dar kartą prisiminkime pagrindinį principą: kiekvienas privalo išlaikyti savo asmens duomenų nuosavybę ir kontrolę. Bet kuri organizacija, pažeidžianti šį principą, gali būti nubausta.