Căi de atac.

Răspundere și sancțiuni
(Capitolul VIII)

În conformitate cu principiile dreptului comun si fără a aduce atingere oricăror alte căi de
atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o
autoritate de supraveghere, în special în statul membru în care îşi are reşedinţa obişnuită, în care
se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră
că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament.
Autoritatea de supraveghere la care s-a depus plângerea informează reclamantul cu privire la
evoluţia şi rezultatul plângerii, inclusiv posibilitatea de a exercita o cale de atac judiciară în
temeiul articolului 78.1
Toate reglementarile sunt cuprinse in GDPR in cadrul capitolului VIII. Sunt prevăzute
cazurile si modalitățile de atac a persoanelor fizice si juridice în cazul în care le sunt îcălcate
drepturile cu privire la protecția datelor personale.
Orice încălcare a noului regulament este supusă unui regim de sancțiuni financiare cu
amenzi de până la 4% din cifra de afaceri globală anuală sau de 20 milioane EUR, oricare dintre
acestea este mai mare. La stabilirea nivelului amenzii, autoritatea de supraveghere trebuie să ia în
considerare o serie de factori, inclusiv gravitatea încălcării, dacă încălcarea a fost intenționată
sau rezultatul neglijenței și orice măsuri luate pentru a atenua încălcarea. În plus, persoanele pot
da în judecată organizațiile pentru compensare pentru a acoperi atât pagubele materiale, cât și
cele nemateriale (de exemplu, suferință).
Având în vedere magnitudinea eventualelor amenzi, drepturile persoanelor fizice de a
introduce cazuri și cererea de despăgubiri, precum și prevalența și eficacitatea criminalității
cibernetice, riscul unei încălcări a datelor ar trebui să treacă direct în registrul de risc al
consiliului, cu respectarea înaltă a ordinii de zi a conducerii superioare.
Conform Articolului 83 – ”Condiții generale de impunere a amenzilor administrative”,
aplicarea penalităților va fi, în fiecare caz, eficace, proporțională și disuasivă (descurajantă).
Amenzile administrative se acordă în funcție de:
 Natura, gravitatea și durata încălcării;
 Caracterul intenționat sau neglijent al încălcării;

1
GDPR, Cap VIII, art 77
 Orice acțiune întreprinsă de operator sau de procesator pentru a diminua daunele suferite de
persoanele vizate;
 Gradul de responsabilitate al operatorului sau al procesatorului, ținând cont de măsurile
tehnice și organizatorice implementate de aceștia;
 Orice încălcări anterioare relevante;
 Gradul de cooperare;
 Categoriile de date cu caracter personal afectate de încălcare;
 Modul în care încălcarea a devenit cunoscută;
 Existența unor cazuri anterioare în care au fost ordonate competențe corective împotriva
operatorului sau a procesatorului;
 Respectarea codurilor de conduită aprobate sau a mecanismelor de certificare aprobate;
 Existența unor alți factori agravanți sau atenuanți.
Care sunt situațiile în care amenda e de 2% din cifra de afaceri?

Conform Articolului 83, Alineatul 4, se impune o amendă de 10 000 000 EUR sau, în
cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 2% din exercițiul
financiar precedent (oricare dintre acestea este mai mare) în situațiile în care autoritatea de
supraveghere constată încălcarea următoarelor Articole:
 Obligațiile operatorului și ale procesatorului de date stabilite în Articolele 8, 11, 25 la 39, 42
și 43;
 Obligațiile corpului de certificare conforme cu Articolele 42 și 43;
 Obligațiile corpului de monitorizare aferente Articolului 41 (Alineat 4)
Care sunt situațiile în care amenda e de 4% din cifra de afaceri?

Conform Articolului 83, Alineatul 4, se impune o amendă de 20 000 000 EUR sau, în cazul unei
întreprinderi, cifra de afaceri anuală totală la nivel mondial de 4% în exercițiul financiar
precedent (oricare dintre acestea este mai mare) în următoarele condiții de încălcare:
 Principiile de bază ale procesării, incluzând condițiile pentru consimțământ,
aferente Articolelor 5, 6, 7 și 9;
 Drepturile subiecților aferente Articolelor de la 12 la 22;
 Transferul datelor personale către un recipient dintr-o țară terță sau o organizație
internațională, aferent Articolelor de la 44 la 49.
Norme privind sancțiunile impuse de fiecare stat membru
 În Articolul 83, Alineatul 7 se mai specifică faptul că ”Fără a aduce atingere
competenţelor corective ale autorităţilor de supraveghere menţionate la articolul 58 alineatul (2),
fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi
impuse amenzi administrative autorităţilor publice şi organismelor publice stabilite în statul
membru respectiv.”
Mai departe se prevede că exercitarea de către autoritatea de supraveghere a competenţelor sale
în temeiul Art.83are loc cu condiţia existenţei unor garanţii procedurale adecvate în conformitate
cu dreptul Uniunii şi cu dreptul intern, inclusiv căi de atac judiciare eficiente şi dreptul la un
proces echitabil.
Dar acestea nu sunt toate sancțiunile prevăzute de GDPR. În Articolul 84: ”Sancţiuni”, Alineatul
1 se specifică faptul că statele membre au dreptul de a stabili normele privind alte sancţiuni
aplicabile în caz de încălcare a Regulamentului, în special pentru încălcări care nu fac obiectul
unor amenzi administrative în temeiul Articolului 83, şi iau toate măsurile necesare pentru a
garanta faptul că acestea sunt puse în aplicare. Sancţiunile respective trebuie să fie eficace,
proporţionale şi disuasive. Totodată, până la 25 mai 2018 fiecare stat membru trebuie să
informeze Comisia cu privire la dispoziţiile de drept intern pe care le adoptă în temeiul
alineatului (1), precum şi, fără întârziere, cu privire la orice modificare ulterioară a acestora.