Apelācijas iesniegšanas vienkāršība un sankciju bardzība

Fragments no Bruno DUMAY grāmatas: GDPR ATŠĶIRŠANA – uzņēmumu un organizāciju vadītājiem, stratēģiskajiem departamentiem un darbiniekiem – Gaëlle MONTEILLER priekšvārds

Neskatoties uz GDPR inteliģenci un saskaņotību, neskatoties uz visu Eiropas Savienības valstu vienotību tās noteikumu darīšanā zināmus un tos īstenojot, tai, tāpat kā jebkurai regulai, trūktu ticamības un līdz ar to arī efektivitātes, ja tai nebūtu pievienotas ievērojamu sankciju iespējas gadījumā, ja tie, kuriem tā būtu jāpiemēro, neievēro noteikumus.

Uzticīgi savai prioritātei, ko tie piešķir indivīdiem pār organizācijām, projekta autori ir paredzējuši tiesiskās aizsardzības līdzekļus, kas ir vienkārši īstenojami un, iespējams, novedīs pie notiesāšanas un sankcijām pierādīta pārkāpuma gadījumā. 77. pants šajā ziņā ir skaidrs: "... jebkuram datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādei..., ja tas uzskata, ka ar viņu saistīto personas datu apstrāde pārkāpj šo regulu." Un, ja uzraudzības iestādes lēmums, kurai ir trīs mēneši pieprasījuma izskatīšanai, neapmierina datu subjektu, tas var iesniegt apelāciju tiesā (78. pants).

Taču prasību var celt arī tieši pret pārzini. 79. panta nosaukums šajā ziņā neatstāj nepārprotamu: "Tiesības uz efektīvu tiesisko aizsardzību pret pārzini vai apstrādātāju." 1. punktā ir precizēts: "...katram datu subjektam ir tiesības uz efektīvu tiesisko aizsardzību, ja viņš vai viņa uzskata, ka viņa vai viņas tiesības saskaņā ar šo regulu ir pārkāptas...".

Tādēļ mēs varam redzēt, ka ir ļoti viegli uzsākt darbību, vispirms administratīvu, pēc tam, iespējams, tiesas, pret struktūru un/vai personu, kas apstrādā datus. Lai rīkotos, datu subjektam pietiek ar to, ka viņš "uzskata", ka apstrāde nav notikusi atbilstoši noteikumiem. Viņš vai viņa var rīkoties patstāvīgi vai arī viņu var pārstāvēt "bezpeļņas struktūra, organizācija vai apvienība... kuras statūtos noteiktie mērķi ir sabiedrības interesēs un kura darbojas datu subjektu tiesību un brīvību aizsardzības jomā..." (80. panta 1. punkts). Vēl labāk, "dalībvalstis var paredzēt, ka jebkurai struktūrai, organizācijai vai apvienībai neatkarīgi no datu subjekta uzticētajām pilnvarām attiecīgajā dalībvalstī ir tiesības iesniegt sūdzību uzraudzības iestādei..." (80. panta 2. punkts). Citiem vārdiem sakot, VDAR atstāj dalībvalstu ziņā piešķirt specializētai struktūrai tiesības pašai uzsākt tiesvedību, pat ja persona tajā nav vērsusies.

Šie noteikumi arī paver iespējas kolektīvajām prasībām, kas Francijā jau tika ieviestas ar 2014. gada Hamonas likumu un pēc tam ar 2016. gada 18. novembra likumu, kas pazīstams kā "tieslietu modernizācija 21. gadsimtā".^e gadsimtā." Šis pēdējais likums ļauj tikai izbeigt nodarījumu. GDPR paver iespēju saņemt kompensāciju, pat ja tā šķiet drīzāk individuāla, nevis kolektīva.

Patiešām, pēc tiesībām iesniegt apelāciju, savukārt tiek noteiktas tiesības uz kompensāciju: "Ikvienai personai, kurai šīs regulas pārkāpuma rezultātā nodarīts materiāls vai morāls kaitējums, ir tiesības saņemt kompensāciju par nodarīto kaitējumu no pārziņa vai apstrādātāja" (82-1. pants).

Kas maksās par šo kompensāciju? Lieta ir skaidra: "Jebkurš apstrādē iesaistītais pārzinis ir atbildīgs par kaitējumu, ko radījusi apstrāde, kas ir šīs regulas pārkāpums. Apstrādātājs ir atbildīgs par kaitējumu, ko radījusi apstrāde, tikai tad, ja tas nav izpildījis šajā regulā noteiktos pienākumus" (82. panta 2. punkts). Jebkura no pusēm joprojām var pierādīt vainas neesamību: "Pārzinis vai apstrādātājs ir atbrīvots no atbildības saskaņā ar 2. punktu, ja tas pierāda, ka notikums, kas izraisījis kaitējumu, nekādā veidā nav attiecināms uz to" (82. panta 3. punkts).

Ja ir iesaistīti vairāki dalībnieki, "katrs pārzinis vai apstrādātājs ir atbildīgs par nodarīto kaitējumu pilnībā, lai garantētu datu subjektam efektīvu kompensāciju" (82. panta 4. punkts). Tas neliedz kompensācijas izmaksu: "Ja pārzinis vai apstrādātājs saskaņā ar 4. punktu ir pilnībā atlīdzinājis nodarīto kaitējumu, tam ir tiesības pieprasīt no citiem pārziņiem vai apstrādātājiem, kas piedalījušies tajā pašā apstrādē, kompensācijas daļu, kas atbilst viņu atbildības daļai par nodarīto kaitējumu" (82. panta 5. punkts).

Tagad, kad atbildība ir noteikta, kā var piemērot sankcijas? Uzraudzības iestādei ir visas nepieciešamās pilnvaras saukt datu pārzini vai apstrādātāju pie kārtības, tostarp ierobežot vai aizliegt apstrādi, pieprasīt personas datu labošanu vai dzēšanu, apturēt pārsūtīšanu, atsaukt sertifikāciju un uzlikt administratīvu naudas sodu (58-2. pants).

83. pantā ir izklāstīti administratīvo naudas sodu nosacījumi, kuriem jābūt “samērīgiem un atturošiem” (83. panta 1. daļa). Panta 2. punktā uzskaitītie 11 kritēriji “lēmuma pieņemšanai par administratīvā naudas soda uzlikšanu” liecina, ka katrs sods tiks noteikts katrā gadījumā atsevišķi, protams, ņemot vērā “to, vai pārkāpums ir izdarīts tīši vai nolaidības dēļ”. 4. un 5. punktā ir uzskaitīti dažādi iespējamie pārkāpumi un noteikta maksimālā naudas sodu summa; līdz 20 000 000 eiro vai uzņēmumam līdz 4,1 TP3T eiro no tā gada apgrozījuma pasaulē, atkarībā no tā, kura summa ir lielāka. Pietiek pateikt, ka šāda apmēra naudas sodi var nopietni apdraudēt uzņēmuma stabilitāti (jāņem vērā, ka CNIL pēdējos gados piemērotie maksimālie sodi ir 150 000 eiro).

Attiecībā uz tiesiskās aizsardzības līdzekļiem, ko varētu pieprasīt un iegūt tiesvedības gadījumā vai nu pret uzraudzības iestādes lēmumu, vai pret datu pārzini vai apstrādātāju, varam pieņemt, ka tie arī būs “samērīgi un atturoši” (šie divi vārdi kopā izklausās pēc oksimorona, taču tie acīmredzami neatbilst GDPR garam).

Tāpēc uzraudzības iestāde ir visvarena, kas, starp citu, padara šāda veida struktūru par institūciju, kas apvieno trīs pilnvaras – likumdošanas varu (pat ja tās tikai ierosina likumu), izpildvaru un tiesu varu –, kas lielās demokrātijās parasti ir atdalītas. Jau pati uzraudzības iestādes izdotā aizlieguma neievērošana saskaņā ar 58-2. pantu var izraisīt maksimālo naudas sodu (83-5. pants). Starptautiskas apstrādes gadījumā sankcijas kopīgi pieņems attiecīgās uzraudzības iestādes.

Citas sankcijas, "jo īpaši par pārkāpumiem, par kuriem nepiemēro 83. pantā paredzētos administratīvos naudas sodus", var noteikt dalībvalstis (84. panta 1. daļa).

Vēlreiz atcerēsimies pamatprincipu: ikvienam ir jāpatur īpašumtiesības uz saviem personas datiem un kontrole pār tiem. Jebkura organizācija, kas pārkāpj šo principu, var tikt sodīta.