Svakom od nas GDPR daje tri mogućnosti u zaštiti svojih prava kada su u pitanju kršenja GDPR-a:
 
1. Prijava Agenciji za zaštitu osobnih podataka (AZOP)
 
AZOP može izreći upravnu movčanu kaznu voditelju i/ili izvršitelju obrade dok oštećen pojedinac ne dobiva naknadu za pretrpljenu štetu - članak 77. GDPR-a.
 
2. Sudski postupak protiv voditelja i/ili izvršitelja obrade izravno pred sudom
 
Osim mogućih kazni voditelju i/ili izvršitelju obrade, donosi i mogućnost naknade štete za pojedinca koji je pretrpio određenu materijalnu ili nematerijalnu štetu zbog nezakonitog postupanja voditelja i/ili izvršitelja obrade - članak 82. GDPR-a.
 
3. Oba postupka istovremeno i neovisno jedan o drugom
 
 
Kao što vidimo, postoji pogrešno tumačenje u javnosti da kazni za javna tijela ili tijela javne vlasti nema.
 
Zakonom o provedbi Opće uredbe o zaštiti podataka tijelima javne vlasti AZOP ne može izreći upravnu novčanu kaznu, ali tijela javne vlasti nisu izuzeta od kazni i odštetnih zahtjeva koje izriču sudovi nakon sudskih postupaka.
 
U EU sve više primjećujemo da osobe, koje smatraju da su zbog nepoštivanja GDPR-a pretrpjele štetu, isključivo ciljaju na dobivanje novčane odštete i stoga takva kršenja prijavljuju tužbom sudu, dok novčane kazne voditeljima ili izvršiteljima obrade nisu tako atraktivna opcija.
 
GDPR navodi i vrste mogućih šteta za pojedince uzrokovanih kršenjem njegovih odredbi, kao što su gubitak nadzora nad osobnim podacima ili ograničavanje prava, diskriminacija, krađa identiteta ili prijevara, financijski gubici, šteta za ugled, gubitak povjerljivosti osobnih podataka zaštićenih poslovnom tajnom ili bilo koja druga ekonomska ili društvena šteta za pojedinca.
 
Sad je pitanje što se pod pojmom štete za pojedinca može smatrati valjanim. Nije dovoljno samo izjaviti da smo pretrpjeli štetu.
 
Imamo slučaj iz Njemačke u kojem se pojedinac pozvao na članak 82. GDPR-a ali je temeljio svoju sudsku tužbu samo na činjenici da se tužena pravna osoba ogriješila o određene GDPR obveze, točnije, na nepostojanje valjanog zakonitog temelja obrade njegovih osobnih podataka, ali bez obrazloženja i dokaza kakva mu je konkretno materijalna ili nematerijalna šteta nanesena time.
 
Više o njemačkom slučaju:
 
https://gdprhub.eu/index.php?title=OLG_Bremen_-_1_W_18/21&mtc=today