Enostavnost pritožb in strogost sankcij

Odlomek iz knjige Bruna DUMAYA: DEŠIFRIRANJE GDPR – Za vodje, strateške oddelke in zaposlene v podjetjih in organizacijah – Predgovor Gaëlle MONTEILLER

Kljub svoji inteligenci in skladnosti, kljub enotnosti vseh držav Evropske unije pri seznanjanju z določbami in njihovem izvrševanju, bi bila GDPR, tako kot vsaka uredba, brez verodostojnosti in s tem učinkovitosti, če je ne bi spremljala možnost znatnih sankcij v primeru neupoštevanja s strani tistih, ki naj bi jo uporabljali.

V skladu s prednostjo, ki jo dajejo posameznikom pred organizacijami, so pripravljavci predvideli pravna sredstva, ki jih je enostavno izvajati in ki lahko v primeru dokazane kršitve sprožijo obsodbe in sankcije. Člen 77 je v zvezi s tem jasen: »... ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico vložiti pritožbo pri nadzornem organu ... če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo.« In če odločitev nadzornega organa, ki ima tri mesece časa za obravnavo zahteve, ne zadovolji posameznika, na katerega se nanašajo osebni podatki, lahko nato vloži pravno pritožbo (člen 78).

Tožba pa se lahko vloži tudi neposredno proti upravljavcu. Naslov 79. člena v zvezi s tem ne pušča dvoumnosti: »Pravica do učinkovitega sodnega sredstva proti upravljavcu ali obdelovalcu.« Odstavek 1 določa: »... ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega sodnega sredstva, če meni, da so bile kršene njegove pravice iz te uredbe...«.

Vidimo torej, da je zelo enostavno sprožiti postopek, najprej upravni, nato pa morebiti sodni, proti subjektu in/ali osebi, ki obdeluje podatke. Dovolj je, da posameznik, na katerega se nanašajo osebni podatki, »meni«, da obdelava ni bila skladna, da ukrepa. Lahko deluje sam ali pa ga zastopa »neprofitni organ, organizacija ali združenje ... katerega zakonski cilji so v javnem interesu in je dejavno na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki ...« (člen 80-1). Še bolje, »države članice lahko določijo, da ima vsak organ, organizacija ali združenje, neodvisno od kakršnega koli mandata, ki ga je podelil posameznik, na katerega se nanašajo osebni podatki, v zadevni državi članici pravico vložiti pritožbo pri nadzornem organu ...« (člen 80-2). Z drugimi besedami, GDPR prepušča državam članicam, da specializirani strukturi podelijo pravico, da sama začne postopek, tudi če se nanj ni obrnil posameznik.

Te določbe odpirajo tudi vrata skupinskim tožbam, ki jih je v Franciji že uvedla Hamonova zakonodaja iz leta 2014 in nato zakon z dne 18. novembra 2016, znana kot "modernizacija pravosodja v 21. stoletju".^e stoletja." Ta slednji zakon dovoljuje le prenehanje kaznivega dejanja. GDPR odpira možnost odškodnine, četudi se ta zdi bolj individualna kot kolektivna.

Dejansko se po pravici do pritožbe vzpostavi tudi pravica do odškodnine: »Vsakdo, ki je utrpel premoženjsko ali moralno škodo zaradi kršitve te uredbe, ima pravico do odškodnine za nastalo škodo od upravljavca ali obdelovalca« (člen 82-1).

Kdo bo plačal to odškodnino? Stvari so jasne: »Vsak upravljavec, ki sodeluje pri obdelavi, je odgovoren za škodo, ki jo povzroči obdelava, ki predstavlja kršitev te uredbe. Obdelovalec je odgovoren za škodo, ki jo povzroči obdelava, le če ni izpolnil obveznosti iz te uredbe« (člen 82-2). Vsaka stranka lahko še vedno dokaže odsotnost krivde: »Upravljavec ali obdelovalec je oproščen odgovornosti v skladu z odstavkom 2, če dokaže, da dogodek, ki je povzročil škodo, nikakor ni mogoč pripisati njemu« (člen 82-3).

Kadar je vpletenih več akterjev, „je vsak od upravljavcev ali obdelovalcev odgovoren za škodo v celoti, da se posamezniku, na katerega se nanašajo osebni podatki, zagotovi učinkovito odškodnino“ (člen 82-4). To pa ne preprečuje odškodnine: „Ko je upravljavec ali obdelovalec v skladu z odstavkom 4 v celoti povrnil nastalo škodo, je upravičen od drugih upravljavcev ali obdelovalcev, ki so sodelovali pri isti obdelavi, zahtevati delež odškodnine, ki ustreza njihovemu deležu odgovornosti za škodo“ (člen 82-5).

Kako se lahko zdaj, ko so bile odgovornosti določene, naložijo sankcije? Nadzorni organ ima vsa potrebna pooblastila, da od upravljavca ali obdelovalca podatkov zahteva ukrepanje, vključno z naložitvijo omejitve ali prepovedi obdelave, odreditvijo popravka ali izbrisa osebnih podatkov, začasno ustavitvijo prenosov, odvzemom certifikata in naložitvijo upravne globe (člen 58-2).

Člen 83 določa pogoje za upravne globe, ki morajo biti „sorazmerne in odvračilne“ (člen 83-1). Enajst meril, naštetih v 2. odstavku člena za „odločanje o naložitvi upravne globe“, kaže, da se bo vsaka kazen določila za vsak primer posebej, seveda ob upoštevanju „ali je bila kršitev storjena namerno ali iz malomarnosti“. Odstavka 4 in 5 naštevata različne možne kršitve in določata najvišji znesek glob; do 20.000.000 EUR ali za podjetje do 4,1 TP3T njegovega letnega svetovnega prometa, kar je višje. Dovolj je reči, da lahko globe v takšnem znesku resno spodkopljejo stabilnost podjetja (za zapisnik, najvišje kazni, ki jih je CNIL uporabil v zadnjih letih, so znašale 150.000 EUR).

Kar zadeva pravna sredstva, ki bi jih bilo mogoče zahtevati in pridobiti v primeru pravnega postopka, bodisi zoper odločitev nadzornega organa bodisi zoper upravljavca podatkov ali obdelovalca, lahko domnevamo, da bodo tudi ta „sorazmerna in odvračilna“ (ti dve besedi skupaj zvenita kot oksimoron, vendar očitno nista v duhu GDPR).

Nadzorni organ je torej vsemogočen, kar mimogrede pomeni, da so te vrste organske institucije, ki združujejo tri oblasti – zakonodajno (tudi če le predlagajo zakon), izvršilno in sodno – ki so v velikih demokracijah običajno ločene. Že samo neizpolnjevanje odredbe, ki jo izda nadzorni organ v skladu s členom 58-2, lahko povzroči najvišjo možno globo (člen 83-5). V primeru nadnacionalne obdelave bodo sankcijo skupaj sprejeli zadevni nadzorni organi.

Druge sankcije, „zlasti za kršitve, za katere ne veljajo upravne globe iz člena 83“, lahko določijo države članice (člen 84-1).

Še enkrat se spomnimo osnovnega načela: vsakdo mora ohraniti lastništvo in nadzor nad svojimi osebnimi podatki. Vsaka organizacija, ki krši to načelo, je lahko sankcionirana.