Remedii și răspunderi

Privire de ansamblu

  • Persoanele fizice au următoarele drepturi (față de operatori și procesatori):
  • dreptul de a depune o plângere la autoritățile de supraveghere dacă datele lor au fost prelucrate într-o manieră care nu respectă RGPD;
  • dreptul la o cale de atac efectivă dacă o autoritate competentă de supraveghere nu reușește să soluționeze corect o plângere;
  • dreptul la o cale de atac efectivă împotriva unui operator sau a unui procesator relevant; și
  • dreptul la despăgubire de către un operator sau de către un procesator relevant pentru daune materiale sau morale care rezultă din încălcarea RGPD.
  • Atât persoanele fizice, cât și cele juridice au dreptul de a face apel la instanțele naționale împotriva unei decizii obligatorii din punct de vedere juridic cu privire la acestea, făcute de o autoritate de supraveghere.
  • Persoanele fizice pot pretinde și daune morale, nu doar materiale. Sunt facilitate acțiunile colective.
  • Remediile judicare și răspunderea pentru despăgubire se extind atât la operatorii, cât și la procesatorii de date care încalcă Regulamentul.

 

Lista de acțiuni

  • Operatorii și procesatorii acestora ar trebui să se asigure că acordurile de prelucrare a datelor și aranjamentele de gestionare a contractelor specifică în mod clar domeniul de aplicare a responsabilităților procesatorului și ar trebui să convină la mecanisme de soluționare a litigiilor privind răspunderile respective pentru soluționarea cererilor de despăgubire.
  • Operatorii și procesatorii ar trebui să convină a raporta altor operatori sau procesatori implicați în aceeași prelucrare orice încălcări relevante ale conformității și orice plângeri sau reclamații primite de la persoanele vizate relevante.
  • Operatorii de date comuni și operatorii implicați în aceleași operațiuni de prelucrare ar trebui să convină asupra obligațiilor ce le revin în materie de respectare a protecției datelor, încălcări ale securității datelor și asupra mecanismelor de soluționare a litigiilor privind obligațiile pentru soluționarea cererilor de despăgubire.

Plângeri adresate autorităților de supraveghere

Drepturile persoanelor vizate de a se plânge autorităților de supraveghere sunt ușor consolidate în comparație cu Directiva privind protecția datelor. Directiva obligă autoritățile de supraveghere să audieze cererile depuse de persoanele vizate pentru a verifica legalitatea procesării datelor și pentru a informa persoanele vizate că a avut loc un control.

În conformitate cu RGPD, persoanele vizate ale căror date cu caracter personal sunt prelucrate într-un mod care nu respectă RGPD au un drept specific de a depune o plângere la autoritățile de supraveghere, iar autoritățile de supraveghere trebuie să informeze persoanele vizate cu privire la progresul și rezultatul plângerilor.

Căile de atac judiciare împotriva deciziilor autorităților de supraveghere

Atât persoanele vizate, cât și celelalte părți afectate au dreptul la o cale de atac eficientă în raport cu anumite acte și decizii ale autorităților de supraveghere.

  • Orice persoană are dreptul la o cale de atac efectivă împotriva deciziilor cu caracter obligatoriu din punct de vedere juridic care o privesc, luate de o autoritate de supraveghere.
  • Persoana vizată are dreptul la o cale de atac efectivă în cazul în care o autoritate de supraveghere nu reușește să gestioneze o plângere sau nu informează persoana vizată în termen de 3 luni în legătură cu progresul sau rezultatul plângerii sale.

Considerentul 143 explică faptul că deciziile și acțiunile care pot fi contestate în instanțele de judecată includ exercitarea de către autoritatea de supraveghere a competențelor de investigare, corectare și autorizare sau refuzul sau respingerea plângerilor. Dreptul nu cuprinde alte măsuri ale autorităților de supraveghere care nu sunt obligatorii din punct de vedere juridic, cum ar fi avizele emise sau consilierea furnizată de autoritățile de supraveghere.

Căi de atac împotriva operatorilor și a procesatorilor de date

Persoanele vizate ale căror drepturi au fost încălcate au dreptul la o cale de atac efectivă împotriva operatorului de date sau a procesatorului care răspunde de presupusa încălcare. Aceasta se extinde dincolo de dispoziția echivalentă din Directiva privind protecția datelor, care oferă o cale de atac doar împotriva operatorilor de date, nu și împotriva procesatorilor.

Răspunderea pentru despăgubiri

Orice persoană care a suferit un prejudiciu ca urmare a încălcării RGPD are dreptul de a primi despăgubiri de la operator sau de la procesator. Conform Directivei privind protecția datelor, răspunderea pentru despăgubiri este limitată doar pentru operatori.

Se emite următoarea dispoziție pentru alocarea răspunderii pentru despăgubiri între operatori și procesatori:

  • operatorii sunt răspunzători pentru prejudiciile cauzate de prelucrarea care nu este în conformitate cu RGPD;
  • procesatorii sunt responsabili numai pentru prejudiciile cauzate de orice prelucrare care încalcă obligațiile impuse în mod specific procesatorilor de către RGPD sau cauzate de prelucrarea care este în afara sau contrară instrucțiunilor legale ale operatorului; și
  • pentru a asigura o despăgubire eficientă pentru persoanele vizate, operatorii și procesatorii care sunt implicați în aceeași prelucrare și care sunt responsabili pentru orice prejudiciu cauzat, poartă fiecare răspunderea pentru întreaga despăgubire. Cu toate acestea, un procesator sau un operator care este ținut să plătească despăgubiri pe această bază are dreptul să recupereze de la alte părți relevante acea parte a despăgubirii corespunzătoare părții lor din răspunderea pentru prejudiciu.

Deși Directiva privind protecția datelor se referă doar la dreptul la despăgubiri „materiale”, RGPD prevede că despăgubirea poate fi recuperată atât pentru pierderi pecuniare, cât și pentru pierderi non- pecuniare. Această clarificare este, totuși, în concordanță cu interpretarea actuală din dreptul englez a sensului prejudiciului în vederea cererilor de despăgubire în temeiul Legii privind protecția datelor (a se vedea Google Inc. v. Vidal-Hall & alții [2015] EWCA Civ. 311).

RGPD prevede că operatorii și procesatorii sunt scutiți de răspundere dacă nu sunt „în niciun fel responsabili pentru evenimentul care a dat naștere prejudiciului”. Această derogare pare a fi puțin mai restrânsă decât derogarea ce poate fi solicitată în temeiul Directivei privind protecția datelor de către un operator care poate dovedi că „nu este responsabil pentru evenimentul care a cauzat prejudiciul”.

Organisme reprezentative

RGPD permite entităților reprezentative, care acționează în numele persoanelor vizate, să depună plângeri la autoritățile de supraveghere și să solicite căi de atac judiciare împotriva unei decizii a unei autorități de supraveghere sau împotriva unor operatori sau procesatori de date. Dispoziția se aplică oricărui organism reprezentativ care este:

  • un organism, o organizație sau o asociație non-profit;
  • constituit corespunzător în conformitate cu dreptul intern al statelor membre;
  • cu obiective statutare care sunt în interes public; și
  • activ în domeniul protecției datelor.

Persoanele vizate pot de asemenea să mandateze aceste organisme să exercite în numele lor drepturi de recuperare a despăgubirilor de la operatori sau procesatori, cu condiția ca acest lucru să fie permis de dreptul intern al statelor membre.

Atunci când sunt împuternicite în acest sens de dreptul intern, aceste organisme reprezentative pot depune, independent de mandatul din partea persoanei vizate, plângeri la autoritățile de supraveghere și pot solicita căi de atac împotriva deciziilor unei autorități de supraveghere sau împotriva operatorilor sau procesatorilor de date.

Nu există nicio dispoziție echivalentă în Directiva privind protecția datelor.

Amenzi administrative

Privire de ansamblu

  • Autoritățile de supraveghere sunt împuternicite să impună amenzi administrative importante atât operatorilor de date, cât și procesatorilor.
  • Amenzile pot fi impuse în locul sau pe lângă măsurile care pot fi ordonate de autoritățile de supraveghere. Acestea pot fi impuse pentru o gamă largă de contravenții, inclusiv încălcări pur procedurale.
  • Amenzile administrative sunt mai degrabă discreționare decât obligatorii; acestea trebuie impuse de la caz la caz și trebuie „să fie eficiente, proporționale și cu efect de descurajare”.
  • Există două niveluri de amenzi administrative:
  • Anumite contravenții vor fi supuse unor amenzi administrative de până la 10 000 000 EUR sau, în cazul întreprinderilor, de până la 2% din cifra de afaceri globală, oricare dintre acestea este mai mare.
  • Altele vor face obiectul unor amenzi administrative de până la 20 000 000 EUR sau, în cazul întreprinderilor, de până la 4% din cifra de afaceri globală, oricare dintre acestea este mai mare.
  • Statele membre pot stabili dacă și în ce măsură autoritățile publice ar trebui să facă obiectul unor amenzi administrative.

Lista de acțiuni

  • Efectuați o analiză a nivelului de conformitate cu RGPD pentru a identifica zonele cu cele mai multe neconformități materiale și pentru a prioritiza pașii de atenuare, în special în ceea ce privește activitățile de prelucrare cu risc ridicat.
  • Actualizați registrele de risc.
  • Evaluați expunerea la răspundere în conformitate cu dispozițiile existente ale clienților, furnizorilor și/sau partenerilor, inclusiv prin evaluarea clauzelor de limitare a răspunderii contractuale și a clauzelor de excludere.
  • Verificați aranjamentele de asigurare.

Considerații generale

Amenzile administrative nu se aplică în mod automat și se impun de la caz la caz. Considerentul 148 clarifică faptul că, în cazul unei încălcări minore sau în cazul în care o amendă ar impune o sarcină disproporționată unei persoane fizice, se poate emite o mustrare în locul unei amenzi.

În prezent, există un grad ridicat de variație între statele membre în ceea ce privește impunerea de sancțiuni financiare de către autoritățile de supraveghere. Deși aranjamentele din cadrul RGPD prevăd sancțiuni maxime și permit autorităților de supraveghere un anumit grad de apreciere în ceea ce privește impunerea acestora, Considerentul 150 arată că mecanismul de coerență poate fi utilizat pentru a promova aplicarea consecventă a amenzilor administrative.

Cu toate acestea, statele membre pot stabili norme privind dacă și în ce măsură pot fi aplicate amenzi administrative autorităților și organismelor publice stabilite în acel stat membru.

Amenzile administrative maxime

RGPD stabilește două seturi de praguri maxime pentru amenzile administrative care pot fi impuse pentru încălcările relevante.

În fiecare caz, amenda maximă este exprimată în euro sau, în cazul întreprinderilor, ca procent din cifra de afaceri anuală globală a exercițiului financiar precedent, oricare dintre acestea este mai mare. Considerentul 150 confirmă că, în acest context, termenul „întreprindere” ar trebui înțeles în sensul Articolelor 101 și 102 din Tratatul privind funcționarea Uniunii Europene („TFUE”) (i.e., în sens larg, ca entități implicate în activități economice).

Încălcarea următoarelor dispoziții RGPD atrage amenzi administrative până la 20 000 000 EUR sau, în cazul întreprinderilor, de până la 4% din cifra de afaceri globală, în funcție de valoarea cea mai mare:

  • principiile de bază pentru prelucrare, inclusiv condițiile pentru consimțământ (Articolele 5, 6, 7 și 9);
  • drepturile persoanelor vizate (Articolele 12-22);
  • transferuri internaționale (Articolele 44-49);
  • obligațiile care decurg din legile statelor membre adoptate în temeiul Capitolului IX; și
  • nerespectarea unei ordonanțe impuse de autoritățile de supraveghere (menționate la Articolul 58(2)) sau nerespectarea anchetei unei autorități de supraveghere în temeiul Articolului 58(1).

Alte încălcări sunt supuse unor amenzi administrative de până la 10 000 000 EUR sau, în cazul întreprinderilor, de până la 2% din cifra de afaceri globală, oricare dintre acestea este mai mare. Contravențiile supuse acestor amenzi maxime includ încălcarea următoarelor obligații:

  • să obțină consimțământul pentru prelucrarea datelor referitoare la copii (Articolul 8);
  • să pună în aplicare măsuri tehnice și organizatorice care să asigure protecția datelor de la momentul conceperii și protecția implicită (Articolul 25);
  • operatorii în comun să accepte obligațiile de conformitate (Articolul 26);
  • operatorii și procesatorii care nu sunt stabiliți în UE să desemneze reprezentanți(articolul 27);
  • obligațiile operatorilor în legătură cu angajarea procesatorilor (Articolul 28);
  • procesatorii să subcontracteze numai cu acordul prealabil al operatorului și să prelucreze date numai la instrucțiunile operatorului (Articolele 28-29);
  • să păstreze evidențe scrise (Articolul 30);
  • operatorii și procesatorii să coopereze cu autoritățile de supraveghere (Articolul 31);
  • să pună în aplicare măsuri tehnice și organizatorice (Articolul 32);
  • să raporteze încălcările atunci când RGPD solicită acest lucru (Articolele 33-34);
  • obligațiile în legătură cu efectuarea evaluării impactului asupra protecției vieții private (Articolele 35-36);
  • obligațiile privind numirea responsabililor cu protecția datelor (Articolele 37-39);
  • impuse organismelor de certificare (Articolele 42-43); și
  • obligația impusă organismelor de monitorizare de a lua măsuri în cazul încălcării codurilor de conduită (Articolul 41).

Atunci când aceeași prelucrare sau prelucrarea conexă implică încălcarea mai multor prevederi ale RGPD, amenzile nu pot depăși suma specificată pentru cea mai gravă încălcare.

Factori de luat în considerare

Articolul 83(2) din RGPD enumeră factorii care trebuie luați în considerare atunci când se stabilește dacă se impune o amendă administrativă și se decide cu privire la cuantumul amenzii. Acestea includ:

  • natura, gravitatea și durata încălcării ținând seama de natura, amploarea sau scopul prelucrării în cauză, precum și de numărul persoanelor vizate și de nivelul prejudiciului suferit de acestea;
  • dacă încălcarea este intenționată sau din neglijență;
  • acțiunile întreprinse de operator sau de procesator pentru diminuarea prejudiciilor suferite de persoanele vizate;
  • gradul de responsabilitate al operatorului sau al procesatorului;
  • orice încălcări anterioare relevante;
  • gradul de cooperare cu autoritatea de supraveghere;
  • categoriile de date cu caracter personal afectate;
  • dacă încălcarea a fost notificată autorității de supraveghere de către operator sau procesator;
  • orice istoric al aplicării;
  • respectarea codurilor de conduită aprobate în conformitate cu Articolul 40 sau a mecanismelor de certificare aprobate în conformitate cu Articolul 42; și
  • alți factori agravanți sau atenuanți aplicabili circumstanțelor cauzei (de exemplu, beneficiile financiare obținute, pierderile evitate, direct sau indirect, prin încălcare).

Dacă amenzile se aplică persoanelor care nu sunt întreprinderi, autoritatea de supraveghere ar trebui să ia în considerare, de asemenea, situația economică a persoanei și nivelul general al veniturilor din statul membru.