Kdo je odgovoren v primeru kršitve GDPR?

Načeloma vsak, vključno z upravljavci podatkov in obdelovalci podatkov odgovarja za svoja lastna dejanja. Za zaščito osebe, na katero se nanašajo podatki, GDPR določa, da je obdelovalec podatkov prav tako neposredno odgovoren osebi, na katero se nanašajo podatki (2. odstavek 79. člena GDPR). Vendar gre pri tem GDPR še korak dalje z določbo, da sta upravljavec podatkov in obdelovalec podatkov skupno in solidarno odgovorna za vse dogodke kršitve (4. odstavek 82. člena GDPR). Vendar pa GDPR vsebuje nekaj omejitev glede odgovornosti obdelovalca podatkov (4. odstavek 82. člena GDPR). To pomeni, da so obdelovalci podatkov zlasti izpostavljeni povečanemu riziku. Ta ureditev odgovornosti se neposredno uporablja samo za odškodninske zahtevke osebe, na katere se nanašajo podatki po civilnem pravu in obdelovalec podatkov je odgovoren za škodo, povzročeno fizični osebi kot posledico obdelave, če obdelovalec podatkov ni izpolnjeval zahtev GDPR, določenih posebej za obdelovalce ali kjer je obdelovalec podatkov ravnal izven ali v nasprotju z zakonitimi navodili upravljavca podatkov (2. točka 82. člena GDPR).