Vastuu ja oikeus korvauksen saamiseen

1. Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.
2. Kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta. Henkilötietojen käsittelijä on vastuussa käsittelystä aiheutuneesta vahingosta vain, jos se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja tämän asetuksen velvoitteita tai jos se on toiminut rekisterinpitäjän lainmukaisen ohjeistuksen ulkopuolella tai sen vastaisesti.
3. Rekisterinpitäjä tai henkilötietojen käsittelijä on vapautettava vastuusta 2 kohdan nojalla, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.
4. Jos samaan tietojenkäsittelyyn osallistuu useampi kuin yksi rekisterinpitäjä tai henkilötietojen käsittelijä taikka rekisterinpitäjä ja henkilötietojen käsittelijä, ja jos ne ovat 2 ja 3 kohdan mukaisesti vastuussa käsittelystä aiheutuneesta mahdollisesta vahingosta, kukin rekisterinpitäjä tai henkilötietojen käsittelijä on vastuussa koko vahingosta, jotta voidaan varmistaa, että rekisteröity saa tosiasiallisen korvauksen.
5. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on 4 kohdan mukaisesti maksanut täyden korvauksen aiheutuneesta vahingosta, rekisterinpitäjällä tai henkilötietojen käsittelijällä on oikeus periä muilta samaan tietojenkäsittelyyn osallistuneilta rekisterinpitäjiltä tai henkilötietojen käsittelijöiltä se osuus korvauksesta, joka vastaa niiden 2 kohdassa säädettyjen edellytysten mukaista vastuuta aiheutuneesta vahingosta.
6. Tuomioistuinmenettelyt korvauksen saamista koskevan oikeuden käyttämiseksi toteutetaan 79 artiklan 2 kohdassa tarkoitetun jäsenvaltion kansallisen lainsäädännön nojalla toimivaltaisissa tuomioistuimissa.
(146) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava luonnollisille henkilöille vahingot, jotka ovat aiheutuneet tietojenkäsittelystä, jossa on rikottu tätä asetusta. Rekisterinpitäjä tai henkilötietojen käsittelijä olisi vapautettava korvausvelvollisuudesta, jos se osoittaa, ettei se ole millään tavalla vastuussa kyseisestä vahingosta. Vahingon käsite olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon. Tämä ei vaikuta korvausvaatimuksiin, jotka johtuvat unionin oikeuden tai jäsenvaltion lainsäädännön muiden sääntöjen rikkomisesta. Käsittelyllä, jolla rikotaan tätä asetusta, tarkoitetaan myös tietojenkäsittelyä, jossa ei noudateta tämän asetuksen mukaisesti hyväksyttyjä delegoituja säädöksiä ja täytäntöönpanosäädöksiä tai tätä asetusta täsmentäviä jäsenvaltion lainsäädännön mukaisia sääntöjä. Rekisteröityjen olisi saatava täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta. Jos rekisterinpitäjät tai henkilötietojen käsittelijät ovat osallistuneet samaan tietojenkäsittelyyn, ne kaikki olisi katsottava vastuuvelvollisiksi koko vahingosta. Jos ne kuitenkin on yhdistetty samaan oikeudelliseen menettelyyn jäsenvaltion lainsäädännön mukaisesti, korvauksen suorittaminen voidaan jakaa sen mukaan, missä määrin kukin rekisterinpitäjä tai henkilötietojen käsittelijä on vastuussa käsittelyn aiheuttamasta vahingosta, kunhan vahingon kärsineelle rekisteröidylle taataan täysi ja tosiasiallinen korvaus. Rekisterinpitäjä tai henkilötietojen käsittelijä, joka on maksanut täyden korvauksen, voi myöhemmin nostaa takautumiskanteen muita samaan tietojenkäsittelyyn osallistuneita rekisterinpitäjiä tai henkilötietojen käsittelijöitä vastaan.