Svakom od nas GDPR daje tri mogućnosti u zaštiti svojih prava kada su u pitanju kršenja GDPR-a:

 

  1. Prijava Agenciji za zaštitu osobnih podataka (AZOP), pri čemu AZOP može izreći upravnu movčanu kaznu voditelju i/ili izvršitelju obrade dok oštećen pojedinac ne dobiva naknadu za pretrpljenu štetu - članak 77. GDPR-a.

 

  1. Sudski postupak protiv voditelja i/ili izvršitelja obrade izravno pred sudom, koji, osim mogućih kazni voditelju i/ili izvršitelju obrade, donosi i mogućnost naknade štete za pojedinca koji je pretrpio određenu materijalnu ili nematerijalnu štetu zbog nezakonitog postupanja voditelja i/ili izvršitelja obrade - članak 82. GDPR-a.

 

  1. Oba postupka istovremeno i neovisno jedan o drugom.

 

Kao što vidimo, postoji pogrešno tumačenje u javnosti da kazni za javna tijela ili tijela javne vlasti nema.

Zakonom o provedbi Opće uredbe o zaštiti podataka tijelima javne vlasti AZOP ne može izreći upravnu novčanu kaznu, ali tijela javne vlasti nisu izuzeta od kazni i odštetnih zahtjeva koje izriču sudovi nakon sudskih postupaka.

U EU sve više primjećujemo da osobe, koje smatraju da su zbog nepoštivanja GDPR-a pretrpjele štetu, isključivo ciljaju na dobivanje novčane odštete i stoga takva kršenja prijavljuju tužbom sudu, dok novčane kazne voditeljima ili izvršiteljima obrade nisu tako atraktivna opcija.

GDPR navodi i vrste mogućih šteta za pojedince uzrokovanih kršenjem njegovih odredbi, kao što su gubitak nadzora nad osobnim podacima ili ograničavanje prava, diskriminacija, krađa identiteta ili prijevara, financijski gubici, šteta za ugled, gubitak povjerljivosti osobnih podataka zaštićenih poslovnom tajnom ili bilo koja druga ekonomska ili društvena šteta za pojedinca.

 

Sad je pitanje što se pod pojmom štete za pojedinca može smatrati valjanim.

Imamo slučaj iz Njemačke u kojem je haker neovlašteno upao u web server i ukrao osobne podatke korisnika web stranice.

Korisnik web stranice čiji su podaci bili na taj način ukradeni tužio je vlasnika kompromitirane web stranice s optužbom da je web stranica nezakonito i predugo zadržala njegove osobne podatke i da nije osigurala neophodnu razinu sigurnosti čuvanja njegovih osobnih podataka.

Zatražio je novčanu kompenzaciju za štete nastale hakerskim napadom na web stranicu.

Sud je u presudi odlučio da podnositelj odštetnog zahtjeva mora dokazati da su njegovi osobni podaci bili predmetom povrede, štoviše, činjenica da je web stranica bila hakirana ne znači automatski da su i njegovi osobni podaci kompromitirani.

Sud traži od tog korisnika da dokaže štetu koja mu je nanesena, uključujući i dokaze za nematerijalnu štetu ili na hrvatskom "duševnu bol".

Više o njemačkom slučaju:

https://gdprhub.eu/index.php?title=Rb._Gelderland_-_8500601&mtc=today