(143) Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on SEUT 263 artiklassa määrätyin edellytyksin oikeus nostaa kumoamiskanne Euroopan unionin tuomioistuimessa tietosuojaneuvoston päätöksiä vastaan.
Asianomaisten valvontaviranomaisten, joille kyseiset päätökset on osoitettu ja jotka haluavat riitauttaa ne, on SEUT 263 artiklan mukaisesti nostettava kanne kahden kuukauden kuluessa siitä, kun päätökset on annettu niille tiedoksi.
Jos tietosuojaneuvoston päätökset koskevat suoraan ja erikseen rekisterinpitäjää, henkilötietojen käsittelijää tai valituksen tekijää, viimeksi mainittu voi nostaa SEUT 263 artiklan mukaisesti kumoamiskanteen kyseisiä päätöksiä vastaan kahden kuukauden kuluessa kyseisten päätösten julkaisemisesta tietosuojaneuvoston verkkosivustolla.
Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä olisi oltava oikeus tehokkaisiin oikeussuojakeinoihin toimivaltaisessa kansallisessa tuomioistuimessa sellaista valvontaviranomaisen päätöstä vastaan, joka tuottaa kyseistä henkilöä koskevia oikeusvaikutuksia, sanotun kuitenkaan rajoittamatta tätä oikeutta SEUT 263 artiklan nojalla.
Tällaiset päätökset koskevat etenkin valvontaviranomaisen tutkintavaltuuksien, korjaavien valtuuksien ja hyväksymisvaltuuksien käyttöä tai valitusten käsittelemättä jättämistä tai hylkäämistä.
Tämä oikeus tehokkaisiin oikeussuojakeinoihin ei kuitenkaan koske valvontaviranomaisten toimenpiteitä, jotka eivät ole oikeudellisesti sitovia, kuten valvontaviranomaisen antamia lausuntoja tai neuvoja.
Kanne valvontaviranomaista vastaan olisi nostettava sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut, ja se olisi toteutettava kyseisen jäsenvaltion prosessioikeuden mukaisesti.
Kyseisten tuomioistuinten olisi käytettävä täyttä oikeudellista toimivaltaa, mukaan lukien toimivalta tarkastella kaikkia tosiseikkoja koskevia ja oikeudellisia kysymyksiä, jotka ovat niiden käsiteltäväksi saatetun asian kannalta merkittäviä.
- = -
(145) Kantajan olisi voitava valita, nostaako se kanteen rekisterinpitäjää tai henkilötietojen käsittelijää vastaan niiden jäsenvaltioiden tuomioistuimissa, joihin rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut, vai rekisteröidyn asuinjäsenvaltiossa, paitsi jos rekisterinpitäjä on jäsenvaltion viranomainen, jonka toiminta liittyy sen julkisen vallan käyttöön.
- = -
(146) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava luonnollisille henkilöille vahingot, jotka ovat aiheutuneet tietojenkäsittelystä, jossa on rikottu tätä asetusta.
Rekisterinpitäjä tai henkilötietojen käsittelijä olisi vapautettava korvausvelvollisuudesta, jos se osoittaa, ettei se ole millään tavalla vastuussa kyseisestä vahingosta.
Vahingon käsite olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon.
Tämä ei vaikuta korvausvaatimuksiin, jotka johtuvat unionin oikeuden tai jäsenvaltion lainsäädännön muiden sääntöjen rikkomisesta.
Käsittelyllä, jolla rikotaan tätä asetusta, tarkoitetaan myös tietojenkäsittelyä, jossa ei noudateta tämän asetuksen mukaisesti hyväksyttyjä delegoituja säädöksiä ja täytäntöönpanosäädöksiä tai tätä asetusta täsmentäviä jäsenvaltion lainsäädännön mukaisia sääntöjä.
Rekisteröityjen olisi saatava täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta.
Jos rekisterinpitäjät tai henkilötietojen käsittelijät ovat osallistuneet samaan tietojenkäsittelyyn, ne kaikki olisi katsottava vastuuvelvollisiksi koko vahingosta.
Jos ne kuitenkin on yhdistetty samaan oikeudelliseen menettelyyn jäsenvaltion lainsäädännön mukaisesti, korvauksen suorittaminen voidaan jakaa sen mukaan, missä määrin kukin rekisterinpitäjä tai henkilötietojen käsittelijä on vastuussa käsittelyn aiheuttamasta vahingosta, kunhan vahingon kärsineelle rekisteröidylle taataan täysi ja tosiasiallinen korvaus.
Rekisterinpitäjä tai henkilötietojen käsittelijä, joka on maksanut täyden korvauksen, voi myöhemmin nostaa takautumiskanteen muita samaan tietojenkäsittelyyn osallistuneita rekisterinpitäjiä tai henkilötietojen käsittelijöitä vastaan.
- = -