Прецедентное право в вопросах нарушений законодательства о защите данных растет. Начиная с 2018 года, немецкие суды проводят слушания, в которых ответчиками выступают компании нарушившие Общий регламент защиты персональных данных ЕС (далее «DS-GVO» или «GDPR»).
В данной публикации рассмотрим вынесенные судебные решения, чтобы ответить на вопрос:
При каких условиях физическое лицо может требовать компенсацию за ущерб, нанесенный при обработке его личных данных?
Этот вопрос интересен с правовой точки зрения. В случае положительной судебной практики можно ожидать немалого количества исков от возможных субъектов данных.
Содержание публикации
Иски возможны в разных целях.
С одной стороны: Как возмещение реального / материального ущерба, так и возмещение морального ущерба.
С другой стороны: Как искупление нанесенного вреда, так и лишь возможность «заработать» на ошибках компаний-нарушителей DS-GVO.
Часть 1 статьи 82 DS-GVO «Право на компенсацию и ответственность»
Любое лицо, которое понесло материальный или нематериальный ущерб в результате нарушения положений настоящего Регламента, имеет право на получение компенсации от контролёра или процессора за понесенный ущерб.*
Компенсация ущерба за боль и страдания
Рассмотрим судебное решение земельного суда Гамбурга (Landgericht, LG Hamburg) о денежной компенсации за боль и страдания из-за нарушения норм защиты данных.
Суть дела о компенсации ущерба за боль и страдания, в следствии нарушения DS-GVO
Компания-ответчик – тату-салон. Клиенты могут записаться на прием в онлайн-календаре. Истец воспользовалась этой возможностью на веб-сайте. Ответчик обработал данные истца, введя их в форму записи о татуировках на своем веб-сайте. Однако онлайн-календарь был доступен в сети интернет для всех пользователей, знающих интернет-адрес этого ресурса.
Конечно-же, истец не давала согласия на такое распространение своих личных данных.
Компания сразу же скрыла данные истца, после того, как узнала об их доступности. Итого данные заявителя были доступны в интернете около шести недель.
Истец не заявила о каком-либо нанесенном ущербе из-за публикации данных, но опасалась будущего ущерба, связанного с возможной кражей личных данных с данного веб-календаря.
Компенсация за боль и страдания в размере 1500 евро
Истец потребовала от ответчика, среди прочего, выплаты компенсации за боль и страдания в размере 1500 евро, на основании статьи 82 DS-GVO.
Выводы суда и суть решения по делу
Суд отклонил иск о возмещении ущерба. Суд обосновал решение так: Для предъявления иска о возмещении ущерба истец должен обосновать фактическое возникновение ущерба. Лишь вероятных или предполагаемых или возможных истцом ущербов не достаточно.
Истец не представила доказательств действительно нанесенного ответчиком ущерба.
Обоснование суда
Возникновение ущерба необходимо для удовлетворения требования о возмещении ущерба. Ранее к таким выводам пришел окружной суд Карлсруе (Landgericht, LG Karlsruhe) в своем решении от 02.08.2019, Az. 8 O 26/19 = ZD 2019, 511: Необходимым условием для подачи иска о возмещении ущерба в соответствии с частью 1 статьи 82, DS-GVO, является нарушение Регламента защиты личных данных ЕС, а также причинение ущерба, который истец должен объяснить и доказать.
Термин «Ущерб», согласно DS-GVO
Согласно преамбуле 146 DS-GVO, термин «ущерб» следует толковать широко, чтобы пострадавшие получили эффективную компенсацию:
Контролёр или процессор должны компенсировать любой ущерб, который лицо может понести в результате обработки, нарушающий настоящий Регламент. […] Ущерб должен пониматься в широком смысле в аспекте прецедентной практики Европейского суда таким образом, чтобы полностью соответствовать целям настоящего Регламента. […] Субъекты данных должны получить полную компенсацию за понесённый ими ущерб.*
В преамбуле 85 DS-GVO говорится:
Нарушение безопасности персональных данных, если оно не было надлежащим образом и вовремя устранено, может привести к физическому, материальному или моральному вреду физическим лицам, например, к потере контроля над их персональными данными или ограничению их прав, дискриминации, краже личности или ее мошенническому использованию, финансовым потерям, несанкционированной отмене псевдонимизации данных, ущербу репутации, нарушению конфиденциальности персональных данных, защищенных профессиональной тайной, или любому другому значительному экономическому или социальному ущербу физическому лицу.*
Согласно этому положению, не требуется серьезного нарушения личных прав для утверждения о нематериальном ущербе. Тем не менее, не каждое нарушение DS-GVO является основанием для денежной компенсации.
Обязательство по компенсации нематериального ущерба возникает, если произошло фактическое нарушение прав личности, которое может заключаться, например, в «компрометации» (Bloßstellung) в результате незаконного доступа к данным (LG Karlsruhe).
Такой «компрометации» в указанном выше деле не было. Данные истца не являются секретными или конфиденциальными, что может оправдать усиление защиты.
Татуировки пользуются повышенной защитой, если они, с одной стороны, не видны постоянно, по крайней мере летом, а с другой стороны, несут более уникальный смысл, чем, например, цветы и растения. Кроме того, истец не утверждал, что у него возник ущерб, а просто утверждал, что он опасается негативных последствий. Для предъявления претензии этого было недостаточно.
Апелляционное решение от 4 сентября 2020 г., Az. 324 S 9/19.
Земельный суд Гамбурга (Landgericht, LG Hamburg) в качестве второй инстанции подтвердил решение суда первой инстанции от 15 ноября 2019 г., решение Az. 821 C 206/18, и отклонил иск о компенсации за боль и страдания, в соответствии со статьей 82 DS-GVO. Решение окончательное.
Отсутствие компенсации за утечку данных
Рассмотрим еще одно решение суда первой инстанции Франкфурта-на-Майне (Решение от 18 сентября 2020 г., Az. 2-27 O 100/20). Суд должен был решить, полагается ли компенсация физическому лицу за утечку данных (Datenleck).
Истец — частное лицо, имевшее карту Mastercard. Он принял участие в бонусной программе предприятия-ответчика Mastrecard Europe SA.
По условиям бонусной программы, владельцы карты Mastercard, выпущенной в Германии, могли зарегистрироваться в интернете, указав личные данные, такие как имя, адрес электронной почты, дату рождения и номер карты Mastercard, чтобы накапливать баллы лояльности при оплате своей картой Mastercard. Позже баллы могли быть обменены на премии от организатора программы лояльности.
Платформа, созданная специально для работы бонусной программы, была физически и логически отделена от платежной сети ответчика. После инцидента, связанного с безопасностью, ответчик и обработчик поручили компании, занимающейся ИТ-безопасностью, проверить брандмауэр (Файрвол / Firewall). Перед окончанием проверки, в момент времени, который нельзя точно определить, произошла утечка данных. Неизвестные злоумышленники опубликовали в открытом доступе в интернете личные данные примерно 90.000 участников бонусной программы.
Два разных списка с данными участников были опубликованы 19 августа 2019 года. В одном из списков был опубликован полный номер карты истца. Важно, что дата истечения срока действия и код безопасности (CVC) кредитной карты не были украдены и не были опубликованы.
Технически публикация происходила таким образом, что данные были скопированы с носителя, находящегося под контролем ответчика, на веб-сервер, что сделало их общедоступными во всем мире.
22 августа 2019 года ответчик связался с пострадавшими клиентами, в том числе с истцом, и предупредил о произошедших событиях, а также о том, что утечка была устранена. Но, 29 августа 2019 года, страница бонусной программы была вновь ненадолго доступна из-за проверки безопасности. При этом, неправомерного использования данных зафиксировано не было.
Истец предъявил ответчику несколько требований о возмещении ущерба в разных размерах. Суд подтвердил ущерб, причиненный первоначальной публикацией данных 19 августа 2019 года.
700 евро за утечку данных
В обсуждении данного судебного решения мы ограничиваемся иском о возмещении ущерба, связанного с утечкой данных во время вторичного доступа, в размере 700 евро. Истец основывал это требование на том факте, что его данные все еще были доступны после 19 августа 2019 года, и что любое лицо могло получить к ним доступ во время ИТ-проверки 29 августа 2019 года. Но это требование было отклонено.
Никакой компенсации без фактического ущерба
Истец не утверждал, что его данные были снова опубликованы после 19 августа 2019 года, или что посторонние лица действительно завладели ими. Земельный суд Франкфурта на Майне (Landgericht, LG Frankfurt a.M.) отклонил иск о возмещении этого ущерба, так как суд определил, что истцу не был причинен ущерб.
Суд обратил внимание сторон на то, что не каждое нарушение закона о защите данных, автоматически подлежит компенсации. Напротив, факт нарушения должен привести к конкретному нарушению личных прав. То есть должна присутствовать причинно-следственная связь.
Широкое толкование концепции ущерба согласно статье 82 DS-GVO, согласно которой ущерб оправдан при каждом нарушении, противоречит систематике немецкого законодательства.
Суды стран-членов ЕС, как правило, не обязаны учитывать сверхкомпенсационные штрафные убытки. Согласно принципу эквивалентности — это будет необходимо только в том случае, если правовая система государств-членов предусматривает такие штрафные убытки. Однако в Германии это не так.
Обобщенная позиция судов о возмещении ущерба за нарушение DS-GVO
Рассмотренная судебная практика показывает, что некоторые суды осознают и признают риск «быстрого заработка» лицами, чьи личные данные обрабатывались с нарушением DS-GVO. Поэтому суды присуждают иски о возмещении ущерба только в случае доказанного материального или нематериального ущерба пострадавшему лицу.
Выводы WERNER RI
Следует приветствовать описанное развитие прецедентного права, касающееся возмещения ущерба за нарушение Регламента ЕС о защите личных данных.
На практике, чтобы получить компенсацию должны, как минимум, быть выполнены три условия:
- Должны быть нарушены нормы законодательства о защите личных данных.
- Ущерб должен быть нанесен или быть определенно неизбежным.
- В случае, если заинтересованное лицо требует возмещения ущерба, должна быть установлена причинно-следственная связь между нарушением DS-GVO и фактически-причиненным ущербом.
Адвокаты WERNER RI рады оказать юридическую поддержку и защиту в решении конфликтов, связанных с нарушениями DS-GVO.
Автор публикации: адвокат Kristina Dimitrova.
Автор адаптированной публикации на русском языке: адвокат Роман Пусеп.
Полный текст решений на немецком языке:
LG Hamburg, решение от 04.09.2020, Az.324 S 9/19 (PDF-файл)
LG Frankfurt aM, решение от 18 сентября 2020 г., Az.2-27 O 100/20 (PDF-файл)
* Перевод положений DS-GVO взят на сайте https://gdpr-text.com.
