Анализ решения суда о штрафе за нарушение ст. 15 Общего регламента защиты данных ЕС
IT-право

Ответственность за нарушение ст. 15 DS-GVO [GDPR]

Ответственность за нарушение ст. 15 Общего регламента защиты данных ЕС

В соответствии со статьей 15 Европейского общего регламента защиты данных (GDPR, DS-GVO), наемный работник имеет право запрашивать у контролера, т.е. ответственного лица по обработке личных данных (работодателя) информацию о том, как именно, и в каком объеме обрабатываются персональные данные наемного работника.

За нарушение данной нормы, а именно, за несвоевременный ответ и за неполную информацию, на ответственное лицо может быть наложен денежный штраф.

В данной публикации мы рассмотрим и прокомментируем один из судебных прецедентов немецкого судопроизводства, который касается нарушений ст. 15 Общего регламента защиты данных ЕС.

Согласно ст. 15 DS-GVO, информацию об обработке личных данных следует предоставлять объекту данных (наемному работнику) быстро и в полном объеме.

Суд по трудовым спорам города Дюссельдорфа принял решение (Az. 9 Ca 6557/18) от 5 марта 2020 г, что:

за несоблюдение требований ст. 15 DS-GVO, работодатель должен выплатить сотруднику компенсацию в размере 5.000 евро.

Это решение существенно раскрывает подход судебных органов, в вопросе определения размеров штрафа.

Следует заметить, что в последнее время участились жалобы сотрудников из-за нарушений работодателем ст. 15 DS-GVO. Об этом свидетельствует практика WERNER Rechtsanwälte Informatiker, а именно, увеличилось количество обращений предприятий с целью защиты по аналогичным трудовым спорам.

Суть спора

В суде речь шла об информационном запросе, который работодатель-ответчик получил по почте 7 июня 2018 года. Информация была предоставлена пятью месяцами позже, а именно 10 декабря 2018 года с использованием записи данных, хранящейся в электронном виде.

Суд выяснил, что:

Ответчик (работодатель) заявил сотруднику, что обработка данных осуществляется для целей трудовых отношений, а именно для их заключения и прекращения, для выполнения существующих юридических обязательств и для защиты законных интересов в соответствии сo ст. 26 федерального закона о защите данных (BDSG) и ст. 6, пункт 1, лит. b), c) и f) Регламента ЕС о защите данных.

Истец (сотрудник) заявил о нарушениях работодателем положений DS-GVO. В том числе о том, что предоставленная информация не была прозрачной и была недостаточно понятной. Также истец ходатайствовал о возмещении нематериального ущерба.

Юридическое обоснование

Суд согласился с истцом. Он раскритиковал недостаточную прозрачность информации, предоставленную работодателем сотруднику.

В частности суд указал на то, что:

должны быть соблюдены требования по предоставлению точной, прозрачной, понятной и легкодоступной информации в соответствии со статьей 12 абзацем 1 DS-GVO.

Трудовой суд посчитал, что информация была слишком общей и, следовательно, непрозрачной:

Ответчик указал обобщенный список целей обработки данных, содержащий почти весь спектр целей в частноправовых сделках, не давая конкретной и подробной информации о целях обработки данных ответчиком-работодателем.

Так как ответчик (работодатель) сослался на приложение в несколько сотен страниц, то он и по этой причине нарушил требования к прозрачности, в соответствии со ст. 12, абзацем 1 DS-GVO.

Суд подчеркнул, что предоставленная информация исчерпывается ссылкой на сборник документов в Приложении 1, который не соответствует требованиям статьи 12, абзаца 1, предложения 1 DS-GVO о прозрачности информации.

Комментарий WERNER RI

Информация о целях обработки и категориях персональных данных была указана в виде ссылок на общие договорные отношения и на сборник документов, состоящий из нескольких сотен страниц. Это является нарушением требования прозрачности в соответствии со статьей 12, абзацем 1 DS-GVO.

Компенсация за любое нарушение положений DS-GVO

Согласно статье 82, абзацу 1 DS-GVO, любое «нарушение положений» Регламента защиты данных ЕС может служить основанием для выплаты компенсации.

В данном споре ответчик дважды нарушил правила, а именно:

  • сроки предоставления информации;
  • требования прозрачности в отношении целей обработки.

В решении суд указал следующее:

Нематериальный ущерб возникает не только в «очевидных случаях», когда обработка, противоречащая защите данных, приводит к дискриминации, потере конфиденциальности, ущербу репутации или другим неблагоприятным (социальным) последствиям, но также когда соответствующее лицо лишается своих прав и свобод, или не может проверить обработку личных данных, касающиеся этого лица. Такая проверка возможна лишь при полной, своевременной и прозрачной информации.

Комментарий WERNER RI

Понятие ущерба следует толковать широко, и следует учитывать объем целей регламента защиты данных ЕС. Следовательно, в случае нарушения защиты данных, должен быть возмещен не только конкретный материальный ущерб, например, понесенные расходы, такие как судебные издержки и адвокатский гонорар, но также и нематериальный ущерб, например, компенсация за боль и страдания (Schmerzensgeld).

Поскольку компенсация должна иметь разумный эффект, то сумма зависит, не только от нанесенного нематериального ущерба, но и от финансовой устойчивости контролера.

В соответствии с законом о защите данных, право субъекта данных на информацию особенно заслуживает защиты и должно иметь особое значение при оценке суммы требования о возмещении ущерба. При рассмотрении вышеуказанных нарушений суд, на основании статьи 83, абзац 2 DS-GVO, учитывал критерии оценки нематериального ущерба. Эти критерии включают: тип, серьезность и продолжительность нарушения, степень вины, меры по уменьшению ущерба, прочее.

При оценке конкретной суммы ущерба учитываются не только интересы заинтересованного лица, но положение лица, ответственного за обработку данных. Это могут быть, например, финансовая устойчивость, размер предприятия-ответчика, возможные выгоды от нарушения защиты данных.

Другими словами, нарушение обязанности предоставлять информацию, в соответствии со статьей 15 DS-GVO, более слабым в финансовом отношении ответственным лицом, приведет к снижению размера компенсации.

Из каких составных частей состоял штраф в размере 5.000 евро?

Выражаясь в конкретных цифрах, после взвешивания совокупных данных об истце и об ответчике, с учетом конкретных нарушений защиты данных, указанные 5.000 евро включают следующие штрафные санкции:

  • за задержку предоставления информации в течение первых двух месяцев по 500 евро за месяц (вместе 1.000 евро), в течение следующих трех месяцев по 1.000 евро (вместе 3.000 евро);
  • за непрозрачность информации – за каждый случай по 500 евро (вместе 1.000 евро).

Заключение WERNER RI

  1. Прежде всего, следует обратить внимание на то, что в данном случае, последнее слово судом, вероятно, еще не сказано.
    Трудовой суд г. Дюссельдорфа удовлетворил возможность подачи апелляции. Работодатель воспользовался этим правом и апелляция уже находится на рассмотрении в Земельном суде по трудовым спорам  г. Дюссельдорфа (Landesarbeitsgericht, LAG).
    С нашей точки зрения, вероятно, окончательное решение по делу будет принято в вышестоящей судебной инстанции, а возможно, и в решении верховного суда.
  2. По-прежнему интересно наблюдать, как будет увеличиваться размер компенсации. Теперь в юридической дискуссии фигурирует еще одно судебное решение, на основании которого можно предсказать увеличение претензии работника к предприятию.
  3. Большинство компаний отвечают с задержкой на запросы информации, в соответствии с законом о защите данных. Своевременное предоставление информации является проблемой, особенно у крупного бизнеса при массовых сделках.
  4. Согласно этому судебному решению, требования к прозрачности повысились. Общие ссылки на существующие договорные отношения между истцом-сотрудником и ответчиком-работодателем не прозрачны. Ответственным лицам стоит критически проанализировать свою готовность предоставить информацию о защите данных. При необходимости, механизм предоставления данных следует скорректировать. В противном случае существует риск возмещения ущерба объекту личных данных.

Дополнительная информация:

Полный текст решения Az. 9 Ca 6557/18 от 5 марта 2020 г.

Оригинал публикации: Arbeitsgericht Düsseldorf: Auskunft verpennt?

Публикации по теме:

Защита персональных данных в ЕС

Организация защиты личных данных в ЕС

Штрафы за нарушения защиты данных

Автор русской версии

RA Roman Pusep, Rechtsanwalt, Fachanwalt für IT-Recht

Юридические консультации, сопровождение и поддержка интернет-проектов:

WERNER Rechtsanwälte Informatiker

Добавить комментарий