Svakom od nas GDPR daje tri mogućnosti u zaštiti svojih prava kada su u pitanju kršenja GDPR-a:
 
1. Prijava Agenciji za zaštitu osobnih podataka (AZOP), pri čemu AZOP može izreći upravnu movčanu kaznu voditelju i/ili izvršitelju obrade dok oštećen pojedinac ne dobiva naknadu za pretrpljenu štetu - članak 77. GDPR-a.
 
2. Sudski postupak protiv voditelja i/ili izvršitelja obrade izravno pred sudom, koji, osim mogućih kazni voditelju i/ili izvršitelju obrade, donosi i mogućnost naknade štete za pojedinca koji je pretrpio određenu materijalnu ili nematerijalnu štetu zbog nezakonitog postupanja voditelja i/ili izvršitelja obrade - članak 82. GDPR-a.
 
3. Oba postupka istovremeno i neovisno jedan o drugom.
 
 
Kao što vidimo, postoji pogrešno tumačenje u javnosti da kazni za javna tijela ili tijela javne vlasti nema.
 
Zakonom o provedbi Opće uredbe o zaštiti podataka tijelima javne vlasti AZOP ne može izreći upravnu novčanu kaznu, ali tijela javne vlasti nisu izuzeta od kazni i odštetnih zahtjeva koje izriču sudovi nakon sudskih postupaka.
 
U EU sve više primjećujemo da osobe, koje smatraju da su zbog nepoštivanja GDPR-a pretrpjele štetu, isključivo ciljaju na dobivanje novčane odštete i stoga takva kršenja prijavjuju tužbom sudu, dok novčane kazne voditeljima ili izvršiteljima obrade nisu tako atraktivna opcija.
 
GDPR navodi i vrste mogućih šteta za pojedince uzrokovanih kršenjem njegovih odredbi, kao što su gubitak nadzora nad osobnim podacima ili ograničavanje prava, diskriminacija, krađa identiteta ili prijevara, financijski gubici, neovlašteni obrnuti postupak pseudonimizacije, šteta za ugled, gubitak povjerljivosti osobnih podataka zaštićenih poslovnom tajnom ili bilo koja druga ekonomska ili društvena štetu za pojedinca.
 
Sad je pitanje što se pod pojmom štete za pojedinca može smatrati valjanim.
 
Donosimo primjer iz Njemačke gdje je zaposlenik tužio svog poslodavca jer je njegove osobne podatke koristio za svrhe testiranja novog softwarea.
 
Sud je ocijenio da se njegov poslodavac zaista ogriješio o GDPR jer je svrhe testiranja softwarea trebao koristio "umjetne" a ne stvarne osobne podatke, s obzirom na sve rizike koji mogu nastati prilikom testiranja.
 
Međutim, sud je utvrdio da potencijalni rizik gubitka kontrole nad osobnim podacima zaposlenika u okviru testiranja softwarea ne predstavlja i stvarnu pretpljenu materijalnu ili nematerijalnu štetu te stoga zaposlenik nema pravo na izravnu novčanu odštetu od svog poslodavca.
 
Ključ leži u pojmu "pretpljena šteta" da bi pojedinac imao pravo na odštetu. Naravno, na sudu treba to i moći dokazati.
 
Više o njemačkom slučaju:
 
https://gdprhub.eu/index.php?title=LAG_Baden-W%C3%BCrttemberg_-_17_Sa_37/20&mtc=today