În conformitate cu art. 77 din RGPD, fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă RGPD. Autoritatea de supraveghere la care s-a depus plângerea informează reclamantul cu privire la evoluția și rezultatul plângerii, inclusiv posibilitatea de a exercita o cale de atac judiciară.
Astfel, fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.
De asemenea, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care autoritatea de supraveghere care este competentă nu tratează o plângere sau nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii depuse în temeiul art. 77 din RGPD.
Potrivit art. 79 din RGPD, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta regulamentul.
Persoana vizată are dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul intern, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecției drepturilor și libertăților persoanelor vizate în ceea ce privește protecția datelor lor cu caracter personal, să depună plângerea în numele său, să exercite în numele său, dreptul de a depune o plângere la o autoritate de supraveghere, dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere și dreptul la o cale de atac judiciară eficientă împotriva unui operator sau unei persoane împuternicite de operator, precum și să exercite dreptul de a primi despăgubiri în numele persoanei vizate, dacă acest lucru este prevăzut în dreptul intern.
În conformitate cu art. 82 din RGPD, orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a RGPD are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.
În aceste condiții, orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă RGPD. Persoana împuternicită de operator este răspunzătoare pentru prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligațiile din prezentul regulament care revin în mod specific persoanelor împuternicite de operator sau a acționat în afara sau în contradicție cu instrucțiunile legale ale operatorului. Operatorul sau persoana împuternicită de operator este exonerat(ă) de răspundere dacă dovedește că nu este răspunzător (răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul.
În cazul în care mai mulți operatori sau mai multe persoane împuternicite de operator, sau un operator și o persoană împuternicită de operator sunt implicați (implicate) în aceeași operațiune de prelucrare și răspund, pentru orice prejudiciu cauzat de prelucrare, fiecare operator sau persoană împuternicită de operator este răspunzător (răspunzătoare) pentru întregul prejudiciu pentru a asigura despăgubirea efectivă a persoanei vizate.
În cazul în care un operator sau o persoană împuternicită de operator a plătit în totalitate despăgubirile pentru prejudiciul ocazionat, respectivul operator sau respectiva persoană împuternicită de operator are dreptul să solicite de la ceilalți operatori sau celelalte persoane împuternicite de operator implicate în aceeași operațiune de prelucrare recuperarea acelei părți din despăgubiri care corespunde părții lor de răspundere pentru prejudiciu.
Așa cum se dispune prin art. 83 din RGPD, condițiile generale pentru impunerea amenzilor administrative de către fiecare autoritate de supraveghere sunt:
- impunerea unor amenzi administrative eficace, proporționale și disuasive;
- în funcție de circumstanțele fiecărui caz în parte, amenzile administrative sunt impuse în completarea sau în locul măsurilor menționate la articolul 58 alineatul (2) literele (a)-(h) și (j) din RGPD, care vizează:
- emiterea de avertizări în atenția unui operator sau a unei persoane împuternicite de operator cu privire la posibilitatea ca operațiunile de prelucrare prevăzute să încalce dispozițiile RGPD;
- emiterea de mustrări adresate unui operator sau unei persoane împuternicite de operator în cazul în care operațiunile de prelucrare au încălcat dispozițiile RGPD;
- darea de dispoziții operatorului sau persoanei împuternicite de operator să respecte cererile persoanei vizate de a-și exercita drepturile în temeiul RGPD;
- darea de dispoziții operatorului sau persoanei împuternicite de operator să asigure conformitatea operațiunilor de prelucrare cu dispozițiile RGPD, specificând, după caz, modalitatea și termenul-limită pentru aceasta;
- obligarea operatorului să informeze persoana vizată cu privire la o încălcare a protecției datelor cu caracter personal;
- impunerea unei limitări temporare sau definitive, inclusiv o interdicție asupra prelucrării;
- dispunerea asupra rectificării sau ștergerii datelor cu caracter personal sau restricționării prelucrării, precum și notificarea acestor acțiuni destinatarilor cărora le-au fost divulgate datele cu caracter personal;
- retragerea certificării sau obligarea organismului de certificare să retragă certificare eliberată sau de a obliga organismul de certificare să nu elibereze o certificare în cazul în care cerințele de certificare nu sunt sau nu mai sunt îndeplinite;
- dispunerea suspendării fluxurilor de date către un destinatar dintr-o țară terță sau către o organizație internațională.