Praėjus daugiau kaip metams po Bendrojo duomenų apsaugos reglamento (BDAR) įsigaliojimo, baudas už įvairius BDAR nuostatų pažeidimus jau yra skyrusi ne viena Europos valstybė. Vokietijos, Prancūzijos, Ispanijos, Lenkijos, Portugalijos, Austrijos priežiūros institucijų, už įvairius BDAR nuostatų pažeidimus, paskirtų baudų dydžiai siekia nuo 4 000 Eur iki 400 000 Eur. Šiais metais pirmoji, daugiau, kaip 60 000 Eur siekianti bauda, už BDAR nuostatų pažeidimus buvo paskirta ir Lietuvoje. Valstybinei duomenų apsaugos inspekcijai paskyrus pirmąją solidaus dydžio baudą tapo akivaizdu, kad pereinamasis laikotarpis skirtas BDAR nuostatų integravimui baigėsi.
Vis tik, valstybinės priežiūros institucijos skirta administracinė bauda – tik viena iš galimų neigiamų pasekmių, kurias gali sąlygoti netinkamas BDAR nuostatų įgyvendindamas. BDAR yra numatyta teisė asmeniui (duomenų subjektui), dėl BDAR pažeidimo patyrusiam turtinę ir (ar) neturtiną žalą, reikalauti tokios žalos atlyginimo.
Turtinės ir (ar) neturtinės žalos asmeniui kilimą gali sąlygoti asmens duomenų saugumo pažeidimas. BDAR asmens duomenų saugumo pažeidimas apibrėžiamas, kaip bendrovės tvarkomų bei saugomų asmens duomenų netyčinis arba neteisėtas sunaikinamas, praradimas, atskleidimas arba neteisėtos prieigos prie saugomų ir tvarkomų duomenų suteikimas. Dėl duomenų saugumo pažeidimo asmuo gali prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jis gali patirti finansinių nuostolių, gali būti pakenkta jo reputacijai ir kt.
Dėl BDAR nuostatų pažeidimo turtinę ir (ar) neturtinę žalą patyręs asmuo dėl tokios žalos atlyginimo, visų pirma, su reikalavimu turėtų kreiptis į jo asmens duomenis tvarkančią bei BDAR nuostatas pažeidusią bendrovę. Bendrovė nuo atsakomybės galėtų būti atleista tik tuo atveju, jei įrodytų, kad dėl asmens duomenų saugumo pažeidimo nėra jos kaltės. Ginčo nepavykus išspręsti taikiai, jo nagrinėjamas galiausiai „persikeltų“ į teismą.
Šiuo atveju, baudą sumokėti bei turtinę ir (ar) neturtinę žalą asmeniui atlyginti turės bendrovė. Tačiau svarbu tai, kad atsakomybė dėl BDAR nuostatų pažeidimo gali kilti ir bendrovės vadovui.
Vilniaus apygardos teismas, spręsdamas klausimą dėl baudos už BDAR nuostatų pažeidimus skyrimo bendrovės vadovui, kaip fiziniam asmeniui, konstatavo, jog pagal šiuo metu galiojančius teisės aktus administracinės nuobaudos gali būti skiriamos tik juridiniams, o ne fiziniams asmenims. Vis tik, toks sprendimas nereiškia, kad atsakomybė vadovui negali būti pritaikyta remiantis kitais teisiniais pagrindais. Bendrovės vadovas, kaip juridinio asmens valdymo organas, iš esmės turi daugiausiai pareigų pagal įstatymą. Atitinkamai bendrovės vadovas atsako ne tik už sandorių bendrovės vardu sudarymą, informacijos apie bendrovę pateikimą įvairiems subjektams, bet ir už tinkamą bendrovės veiklos organizavimą.
Bendrovės vadovo teisinis statusas lemia tai, jog vadovas organizuodamas bendrovės veiklą privalo pasirūpinti ir užtikrinti, kad bendrovės veikla būtų teisėta. O iš šio „išplaukia“, kad būtent bendrovės vadovas atsako, kad bendrovėje būtų integruotas ir taikomas BDAR, o be to ir tai, kad bendrovėje taikoma asmens duomenų apsaugos politika iš ties būtų veiksminga bei pakankama. Netinkamas bendrovės vadovo pareigų vykdymas, įskaitant ir BDAR neįgyvendinimą ar netinkamą įgyvendinimą, gali lemti civilinės atsakomybės vadovui kilimą. Kreiptis su ieškiniu į teismą reikalaujant atlyginti bendrovės patirtus nuostolius, kuriais šiame kontekste būtų laikoma Valstybinės asmens duomenų apsaugos inspekcijos bendrovei paskirta bauda ir (ar) bendrovės asmeniui atlyginta turtinė ir (ar) neturtinė žala, turi teisę bendrovės akcininkai. Atlyginti bendrovės patirtus nuostolius vadovas būtų įpareigotas tik tuomet, jei būtų įrodytos visos privalomos civilinės atsakomybės sąlygos.
Už BDAR nuostatų pažeidimus atsakomybė gali kilti ne tik bendrovei, kaip juridiniam asmeniui, jos vadovui, kaip bendrovės valdymo organui, bet ir bendrovės darbuotojui.
Darbo kodeksas numato, kad kiekviena darbo sutarties šalis privalo atlyginti savo darbo pareigų pažeidimu dėl jos kaltės kitai sutarties šaliai padarytą turtinę ir neturtinę žalą. Bendrovė įgyja teisę reikalauti darbuotojo atlyginti bendrovės patirtą žalą, esant darbo kodekse numatytiems atvejams – vienas jų, kai žala padaryta tyčia, esant darbuotojo kaltei. Taigi, laikytina, kad jei darbuotojas, kurio darbo funkcijos apima asmens duomenų tvarkymą, pažeistų bendrovėje patvirtintų vidinių su asmens duomenų teisine apsauga susijusių taisyklių nuostatas ir bendrovei dėl to kiltų žala, bendrovė turėtų teisę reikalauti iš darbuotojo žalos atlyginimo. Pastebėtina, kad atsakomybė darbuotojui būtų taikoma tik tuo atveju, jei bendrovė įrodytų, kad bendrovėje buvo įgyvendintos tinkamos technines ir organizacines priemones skirtos bendrovėje tvarkomų ir saugomų asmens duomenų saugumui užtikrinti bei tai, kad bendrovė prieš pavesdamas darbuotojui tvarkyti asmens duomenis, darbuotoją apmokė ir supažindino su bedrovės vidaus teisės aktais, nustatančiais asmens duomenų tvarkymo ir apsaugos taisykles.