Pelanggaran GDPR dan tanggung jawab perdata

Melayani

GDPR mengatur prinsip-prinsip perlindungan data pribadi orang perseorangan dan membebankan banyak kewajiban pada entitas yang memproses data ini. Administrator data pribadi memiliki, antara lain, kewajiban untuk memprosesnya hanya sejauh yang diperlukan untuk mencapai tujuan pemrosesan dan sejumlah kewajiban informasi terhadap subjek data. Pelanggaran terhadap GDPR mungkin memiliki konsekuensi negatif bagi pengusaha.

Berbagai jenis tanggung jawab

Sesuai dengan ketentuan GDPR dan Undang-Undang Perlindungan Data Polandia, pengontrol data mungkin mengalami pelanggaran aturan perlindungan data:

  • tanggung jawab administratif,

  • tanggung jawab pidana,

  • tanggung jawab perdata.

Tanggung jawab administratif dilakukan oleh badan pengawas, yang di Polandia adalah Presiden Kantor Perlindungan Data Pribadi. Tergantung pada jenis dan keadaan pelanggaran, Presiden Kantor Perlindungan Data Pribadi dapat mengenakan denda pada pengontrol data atau menerapkan tindakan korektif (misalnya dalam bentuk peringatan, pengingat, perintah untuk perilaku tertentu, larangan data pengolahan).

Entitas yang memproses data pribadi, yang pemrosesannya tidak dapat diterima, atau entitas yang tidak berwenang untuk melakukan aktivitas tersebut, dapat dikenai pertanggungjawaban pidana - tindakan ini dapat dikenai denda, pembatasan, atau bahkan penjara. Juga merupakan pelanggaran untuk menggagalkan atau menghalangi inspeksi yang dilakukan oleh otoritas pengawas.

Orang yang terluka berhak atas kompensasi

Ketentuan GDPR memberikan setiap orang perseorangan yang barang-barangnya telah dilanggar hak untuk mengajukan klaim independen untuk kompensasi atas pelanggaran ketentuan GDPR.

Dasar untuk permintaan ini adalah ketentuan Seni. 82 detik. 1 GDPR sehubungan dengan ketentuan pasal. 92 dari Undang-Undang Perlindungan Data Pribadi. Pasal 82 detik. 1 dan 2 GDPR
1. Setiap orang yang menderita kerugian berupa uang atau bukan uang sebagai akibat dari pelanggaran Peraturan ini berhak untuk memperoleh ganti rugi dari pengawas atau pengolah atas kerugian yang diderita.
2. Setiap pengontrol yang terlibat dalam pemrosesan harus bertanggung jawab atas kerusakan yang disebabkan oleh pemrosesan yang melanggar Peraturan ini. Pengolah bertanggung jawab atas kerusakan yang disebabkan oleh pemrosesan hanya jika ia tidak memenuhi kewajiban yang secara langsung dikenakan Peraturan ini pada pengolah, atau jika ia telah bertindak di luar atau bertentangan dengan instruksi yang sah dari pengontrol. Atas dasar yang tidak tercakup dalam ketentuan GDPR, ketentuan KUH Perdata Polandia akan berlaku. Kerusakan berupa uang adalah kerusakan pada properti orang alami, dipahami baik sebagai kerugian aktual dan kehilangan manfaat potensial. Kerusakan non-uang berarti kerusakan, kerusakan pada barang-barang non-uang dari orang alami (misalnya menderita stres).

Orang perseorangan berhak atas kompensasi jika:

  • mengalami kerusakan (baik berupa uang maupun bukan uang);

  • kerusakan tersebut merupakan akibat dari pelanggaran aturan perlindungan data pribadi;

  • ada hubungan sebab-akibat antara kerusakan pada orang alami dan perilaku (tindakan atau kelalaian) pengontrol data;

  • pelanggaran terhadap ketentuan GDPR oleh pengontrol dapat disalahkan;

Kondisi tersebut di atas harus dipenuhi secara kumulatif. Pengontrol data tidak akan bertanggung jawab atas kerugian jika dia membuktikan bahwa dia tidak bertanggung jawab atas kejadian yang menyebabkan kerusakan tersebut. Beban untuk membuktikan keadaan yang membenarkan pemberian kompensasi terletak pada penggugat, yaitu pada orang alami yang meminta kompensasi diberikan kepadanya. Dalam prakteknya, ini berarti bahwa penggugat harus menunjukkan bukti selama persidangan yang secara jelas menunjukkan bahwa telah terjadi pelanggaran terhadap ketentuan perlindungan data pribadi, pelanggaran tersebut adalah tindakan yang bersalah dari pengontrol data dan orang alami telah mengalami kerusakan tertentu. Tanggung jawab atas kerusakan dapat ditanggung tidak hanya oleh pengontrol data, tetapi juga oleh entitas yang memproses data pribadi atas nama pengontrol, jika telah bertindak bertentangan dengan instruksi yang diberikan oleh pengontrol data. Pengontrol data dapat membela diri terhadap klaim penggugat, yang menunjukkan bahwa dia tidak bertanggung jawab atas peristiwa yang mengakibatkan kerusakan pada orang tersebut.

Contoh 1.

Jika pengontrol data menggunakan data orang pribadi yang bertentangan dengan keinginannya, ia berisiko bertanggung jawab atas kerusakan.

Jika data orang perseorangan digunakan sesuai dengan hukum (misalnya sehubungan dengan kebutuhan untuk melakukan kontrak) dan administrator mengambil sejumlah tindakan untuk melindungi data dari penggunaan yang tidak sah, tetapi data orang perseorangan itu dicuri sebagai akibat dari serangan peretasan, yang secara objektif tidak dapat dicegah oleh administrator, administrator dapat membela diri terhadap permintaan pembayaran dengan memohon tanpa kesalahan.

Jika, sebagai akibat dari prosedur, ternyata pengontrol telah melanggar aturan perlindungan, tetapi entitas lain terlibat dalam proses tersebut (misalnya, administrator atau pemroses data lain), maka pengontrol yang telah membayar kompensasi atas kerusakan disebabkan dapat menuntut penggantian dari badan lain, bagian dari kompensasi yang sama dengan bagian dari kerusakan yang menjadi tanggung jawab mereka.

Mulai masa percobaan 30 hari gratis tanpa pamrih!

Pelanggaran ketentuan GDPR - Presiden Kantor Perlindungan Data Pribadi dapat berpartisipasi dalam proses

Proses pemberian kompensasi untuk kerusakan materi atau non-uang yang diderita oleh orang alami didasarkan pada ketentuan Hukum Acara Perdata, dengan mempertimbangkan peraturan khusus yang diatur dalam Undang-Undang tentang Perlindungan Data Pribadi. Pengadilan daerah adalah pengadilan yang berwenang mengadili perkara mengenai pelanggaran ketentuan perlindungan data pribadi. Kasus ganti rugi akan - terlepas dari jumlah yang disengketakan - selalu tertunda di pengadilan distrik. Undang-undang tidak mengatur peraturan khusus mengenai yurisdiksi lokal pengadilan, dan oleh karena itu harus dianggap bahwa itu akan menjadi pengadilan yurisdiksi umum terdakwa, yaitu kompeten untuk kursinya.

Undang-Undang Perlindungan Data Pribadi mengatur kompetensi khusus untuk Presiden Kantor Perlindungan Data Pribadi:

  • kewajiban untuk memberi tahu Presiden Kantor Perlindungan Data Pribadi tentang pengajuan gugatan dan tentang kesimpulan akhir dari kasus tersebut;

  • kewajiban untuk menangguhkan proses jika kasus mengenai pelanggaran yang sama terhadap ketentuan perlindungan data pribadi telah dimulai di hadapan Presiden Kantor;

  • Presiden Kantor Perlindungan Data Pribadi memiliki hak untuk melakukan tindakan atas nama orang perseorangan;

  • Presiden Kantor Perlindungan Data Pribadi dapat bergabung dengan proses yang sudah tertunda;

  • Presiden Kantor Perlindungan Data Pribadi memiliki hak untuk mengajukan pandangan yang signifikan tentang masalah tersebut ke pengadilan yang mendengarkan kasus tersebut.

Temuan yang dibuat dalam keputusan akhir Presiden Kantor Perlindungan Data Pribadi tentang pelanggaran ketentuan tentang perlindungan data pribadi atau dalam keputusan akhir pengadilan tata usaha negara mengikat pengadilan dalam proses untuk memperbaiki kerusakan yang disebabkan oleh pelanggaran ketentuan GDPR sehubungan dengan pelanggaran ketentuan ini. Jika klaim penggugat telah diperiksa oleh Presiden Kantor Perlindungan Data Pribadi (atau pengadilan administrasi sehubungan dengan prosedur pengaduan), pengadilan akan menghentikan proses yang dimulai oleh petisi - tetapi hanya jika klaim penggugat telah diterima dalam proses administrasi.