Jednoduchosť odvolaní a prísnosť sankcií

Úryvok z knihy Bruna DUMAYA: DEŠIFROVANIE GDPR – Pre manažérov, strategické oddelenia a zamestnancov spoločností a organizácií – Predslov od Gaëlle MONTEILLER

Napriek svojej inteligencii a súdržnosti, napriek jednote všetkých krajín Európskej únie pri zverejňovaní a presadzovaní svojich ustanovení by GDPR, rovnako ako každé nariadenie, postrádal dôveryhodnosť, a teda aj účinnosť, ak by ho nesprevádzala možnosť významných sankcií v prípade nedodržiavania zo strany tých, ktorí ho majú uplatňovať.

V súlade s uprednostňovaním jednotlivcov pred organizáciami autori stanovili nápravné opatrenia, ktoré sa dajú jednoducho implementovať a v prípade preukázaného porušenia predpisov pravdepodobne povedú k odsúdeniu a sankciám. Článok 77 je v tomto smere jasný: „... každá dotknutá osoba má právo podať sťažnosť dozornému orgánu... ak sa domnieva, že spracovanie osobných údajov, ktoré sa jej týkajú, porušuje toto nariadenie.“ A ak rozhodnutie dozorného orgánu, ktorý má na vybavenie žiadosti tri mesiace, dotknutú osobu neuspokojí, môže podať súdne odvolanie (článok 78).

Žalobu však možno podať aj priamo proti prevádzkovateľovi. Názov článku 79 v tomto smere nenecháva žiadnu nejasnosť: „Právo na účinný súdny prostriedok nápravy proti prevádzkovateľovi alebo sprostredkovateľovi.“ Odsek 1 špecifikuje: „...každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak sa domnieva, že jej práva podľa tohto nariadenia boli porušené...“.

Vidíme teda, že je veľmi jednoduché začať konanie, najprv správne, potom prípadne súdne, proti subjektu a/alebo osobe, ktorá spracúva údaje. Stačí, aby dotknutá osoba „uvažovala“, že spracovanie nebolo v súlade so zákonom, aby konala. Môže konať samostatne alebo byť zastúpená „neziskovým subjektom, organizáciou alebo združením... ktorého zákonné ciele sú vo verejnom záujme a ktoré pôsobí v oblasti ochrany práv a slobôd dotknutých osôb...“ (článok 80-1). Ešte lepšie je, že „členské štáty môžu stanoviť, že akýkoľvek subjekt, organizácia alebo združenie, nezávisle od akéhokoľvek mandátu zvereného dotknutou osobou, má v príslušnom členskom štáte právo podať sťažnosť dozornému orgánu...“ (článok 80-2). Inými slovami, GDPR ponecháva na členských štátoch, aby špecializovanej štruktúre udelili právo začať konanie sama, aj keď sa na ňu jednotlivec nepodal.

Tieto ustanovenia tiež otvárajú dvere hromadným žalobám, ktoré už boli vo Francúzsku zavedené Hamonovým zákonom z roku 2014 a potom zákonom z 18. novembra 2016, známym ako „modernizácia súdnictva v 21. storočí“.^e storočia.“ Tento posledný zákon umožňuje iba ukončenie trestného činu. GDPR otvára možnosť odškodnenia, aj keď sa tá javí skôr individuálna ako kolektívna.

V skutočnosti po práve na odvolanie prichádza aj právo na náhradu škody: „Každá osoba, ktorá utrpela majetkovú alebo morálnu ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu vzniknutej škody od prevádzkovateľa alebo spracovateľa“ (článok 82-1).

Kto zaplatí túto kompenzáciu? Veci sú jasné: „Každý prevádzkovateľ zapojený do spracovania zodpovedá za škodu spôsobenú spracovaním, ktoré predstavuje porušenie tohto nariadenia. Sprostredkovateľ zodpovedá za škodu spôsobenú spracovaním iba vtedy, ak si nesplnil povinnosti stanovené v tomto nariadení“ (článok 82-2). Ktorákoľvek strana môže stále preukázať neexistenciu zavinenia: „Prevádzkovateľ alebo sprostredkovateľ je oslobodený od zodpovednosti podľa odseku 2, ak dokáže, že udalosť, ktorá spôsobila škodu, mu v žiadnom prípade nemožno pripísať“ (článok 82-3).

Ak je zapojených viacero subjektov, „každý z prevádzkovateľov alebo sprostredkovateľov je zodpovedný za škodu v plnom rozsahu, aby sa dotknutej osobe zaručila účinná náhrada škody“ (článok 82-4). To potom nebráni náhrade škody: „Ak prevádzkovateľ alebo sprostredkovateľ v súlade s odsekom 4 plne nahradil vzniknutú škodu, má právo požadovať od ostatných prevádzkovateľov alebo sprostredkovateľov, ktorí sa zúčastnili na tom istom spracovaní, podiel na náhrade škody zodpovedajúci ich podielu na zodpovednosti za škodu“ (článok 82-5).

Teraz, keď boli stanovené zodpovednosti, ako možno ukladať sankcie? Dozorný orgán má všetky potrebné právomoci na to, aby vyzval prevádzkovateľa alebo sprostredkovateľa údajov na nariadenie, vrátane uloženia obmedzenia alebo zákazu spracovania, nariadenia opravy alebo vymazania osobných údajov, pozastavenia prenosov, odobratia certifikácie a uloženia administratívnej pokuty (článok 58-2).

Článok 83 stanovuje podmienky pre správne pokuty, ktoré musia byť „primerané a odrádzajúce“ (článok 83-1). Jedenásť kritérií uvedených v odseku 2 tohto článku pre „rozhodovanie o tom, či uložiť správnu pokutu“, ukazuje, že každá sankcia sa bude určovať individuálne, pričom sa samozrejme zohľadní „či bolo porušenie spáchané úmyselne alebo z nedbanlivosti“. Odseky 4 a 5 vymenúvajú rôzne možné porušenia a určujú maximálnu výšku pokút; do výšky 20 000 000 EUR alebo v prípade spoločnosti do výšky 4,1 TP3T z jej ročného celosvetového obratu, podľa toho, ktorá suma je vyššia. Stačí povedať, že pokuty takejto výšky môžu vážne ohroziť stabilitu spoločnosti (pre informáciu, maximálne pokuty uložené CNIL v posledných rokoch dosiahli 150 000 EUR).

Pokiaľ ide o opravné prostriedky, ktoré by sa mohli požadovať a získať v prípade právnych krokov, či už proti rozhodnutiu dozorného orgánu alebo proti prevádzkovateľovi alebo sprostredkovateľovi, môžeme predpokladať, že budú tiež „primerané a odrádzajúce“ (tieto dve slová spolu znejú ako oxymoron, ale jednoznačne nie sú v duchu GDPR).

Dozorný orgán je preto všemohúci, čo mimochodom robí z tohto typu orgánov inštitúcie kombinujúce tri moci – legislatívnu (aj keď len navrhujú zákon), výkonnú a súdnu – ktoré sú vo veľkých demokraciách zvyčajne oddelené. Samotné nedodržanie súdneho príkazu vydaného dozorným orgánom podľa článku 58-2 môže viesť k maximálnej pokute (článok 83-5). V prípade nadnárodného spracovania sankciu prijmú spoločne príslušné dozorné orgány.

Členské štáty môžu rozhodnúť o ďalších sankciách, „najmä za porušenia, na ktoré sa nevzťahujú správne pokuty ustanovené v článku 83“ (článok 84-1).

Pripomeňme si ešte raz základnú zásadu: každý si musí zachovať vlastníctvo a kontrolu nad svojimi osobnými údajmi. Akákoľvek organizácia, ktorá túto zásadu poruší, môže byť sankcionovaná.