Въведение в предупреждението за защита на данните
Предупреждението за защита на данните е централен инструмент в правото за защита на данните, за да се осигури спазването на Общия регламент за защита на данните (GDPR). От влизането в сила на GDPR през 2018 г., фирмите и организациите са задължени да проявяват най-висока грижа при обработката на лични данни. Ако се установи нарушение на тези изисквания – например поради недостатъчна информация на потребителите или неподходяща обработка на данни – може да бъде издадено предупреждение. Това предупреждение може да бъде инициирано не само от органите за защита на данните, но и от конкуренти, потребителски организации или дори от самите засегнати лица. Целта на предупреждението за защита на данните е да накара компанията да преустанови нарушението на защита на данните и да спазва правата на защита на данните. За предприятията това означава, че те трябва редовно да преглеждат и адаптират своите процеси и подхода към личните данни, за да избегнат предупреждения и възможни следващи съдебни процеси.
Правни основания
Правните основания за предупреждения в областта на защита на данните се намират основно в GDPR, както и в Закона срещу нелоялната конкуренция (UWG). GDPR подробно регулира как могат да бъдат събирани, съхранявани и обработвани лични данни. Нарушенията на тези разпоредби – например чрез неподходяща обработка или липса на прозрачност – могат да бъдат преследвани не само от органите за защита на данните, но и в рамките на конкурентното право. UWG защитава конкуренцията от нелоялни бизнес практики и предвижда, че нарушение на защита на данни може да бъде оценено и като нарушение на UWG, ако чрез това предприятие получи нелоялна полза. Така предупреждения поради нарушения на защита на данни могат да бъдат отправени както на основата на GDPR, така и на UWG. Компаниите трябва да се уверят, че стриктно изпълняват законовите изисквания за обработка на лични данни, за да избегнат предупреждения и допълнителни правни последствия.
Конкуренти могат да предупреждават – решения на BGH I ZR 186/17 / I ZR 222/19 / I ZR 223/19
Конкуренти и потребителските асоциации могат да предупреждават за нарушения на защитата на данни от компании; тук на съда се възлага централна роля в решаването на предупреждения за нарушения на защитата на данни. Това беше установено от Федералния съд в няколко решения от 27 март 2025 г. (актови номера I ZR 186/17, I ZR 222/19, I ZR 223/19). Различни съдилища в миналото са се произнесли различно за правомощията за предупреждение при нарушения на защитата на данни. Големият брой случаи на нарушения на защитата на данни показва практическото значение на тази тема. Настоящото решение на BGH ясно показва, че и конкурентите и потребителските асоциации могат да действат активно. Решенията на BGH от март 2025 г. са от голямо значение за практиката на предупреждение, тъй като те правят възможно преследването на нарушения на защитата на данни от потребителските асоциации и конкурентите пред гражданските съдилища. GDPR предупреждението е специална форма на предупреждение, която се отнася до нарушения на Общия регламент за защита на данните и се различава от другите предупреждения със своя връзка с правото на защита на данните. Централата на потребителите играе важна роля в прилагането на правата на защита на данните. Потребителските асоциации са значително ангажирани в предупрежденията за нарушения на защитата на данни. Също и конкурентите могат да преследват нарушения на защитата на данни и така да защитават конкуренцията. Решението на BGH има значителни последици за практиката и правната оценка на нарушенията на защитата на данни.
Нарушенията на защитата на данни могат да бъдат санкционирани не само от надзорните органи. Правомощията за решаване на съдилищата при нарушения на защитата на данни са от централно значение. Както показват решенията на BGH, могат и конкуренти и потребителски асоциации да се противопоставят на нарушенията. В рамките на такива процедури и обвинената страна играе важна роля. За компаниите това може да има значителни последствия особено в онлайн търговията и при обработката на чувствителни данни, според правната фирма MTR Legal Rechtsanwälte, която консултира в областта на IT правото и правото за защита на данните. Нарушения на GDPR могат да доведат до значителни правни последици, особено ако бъдат предявени искове за неизпълнение. При повторни нарушения на GDPR са възможни засилени санкции и допълнителни мерки. Преследването на нарушенията на защитата на данни се осъществява както чрез съдилища, така и чрез асоциации. Значението на Изречение 1 и Изречение 1 № в съответните параграфи е решаващо за правната класификация. Това има голямо значение за развитието на правото за защита на данните и прилагането на правата на потребителите.
Приложението за игри публикува данни
По случая с актов номер I ZR 186/17 се разглежда така нареченото „App-Center“ в социална мрежа, в която предоставят трети страни игри. Центърът за приложения служи като централна платформа, където се предлагат различни приложения от трети страни. В Центъра за приложения онлайн игрите играят значителна роля, тъй като представляват голяма част от офертата. При използването на приложението могат да бъдат обработени и лични данни като твоя имейл адрес. Преди да започне играта, на потребителя се показва, че приложението ще получи определени разрешения, например да публикува статус съобщения. Тези насоки обаче бяха неясни и не даваха информация за това кои конкретни данни се обработват, кои са получателите и с каква цел се прави това. Срещу това Националната асоциация на потребителските централи на провинциите заведе успешен иск.
BGH установи, че такава неясна и обща информация не отговаря на изискванията на Общия регламент за защита на данните (GDPR). Още при събирането на данни от приложението потребителите трябва да бъдат информирани изчерпателно. Обемът на събраните и обработваните данни трябва да бъде представен прозрачно. Формулировката на използваните цели в декларацията за защита на данните е от особено значение. Задълженията за информиране по чл. 12 и 13 GDPR изискват ясно, точно и разбираемо уведомление на засегнатите лица. Тъй като тези изисквания на GDPR едновременно регулират пазарното поведение в смисъла на конкурентното право (§ 3a UWG), неспазването им представлява нарушение на конкуренцията. Затова конкурентите или квалифицираните потребителски асоциации могат да предприемат действия срещу такива нарушения на защитата на данните, както постановява BGH. Това се отнася независимо от това дали някой потребител се е оплакал.
Фармацевти продават лекарства онлайн
Подобни въпроси бяха разгледани в процедурите с акти с номера I ZR 222/19 и I ZR 223/19. Тук два аптени са продавали лекарства през платформата Amazon. При това са били обработвани лични данни на клиентите, включително здравни данни, като име, адрес или поръчани лекарства заедно с информация за тяхната индивидуализация. Събирането на тези здравни данни от аптеки беше централен обект на процедурите. Имаше множество случаи на нарушения на защитата на данни в аптекарския сектор, които станаха важни в този контекст. Други фармацевти също са завели иски срещу това. И тези иски бяха успешни: BGH ясно подчерта, че поръчковите данни в смисъла на чл. 9 ал. 1 GDPR са здравни данни. Това важи дори и когато лекарствата не изискват рецепта. Данните могат да бъдат обработвани само с изрично съгласие на клиентите, което фармацевтите не бяха получили.
BGH потвърди преценката на Европейския съд, че здравни данни са налице вече, когато от поръчката могат да се направят изводи за здравословното състояние или медикацията. В процедурите обвиняемата играеше централна роля, тъй като беше отговорна за обработката на данните. Особено беше подчертана значимостта на защитата на засегнатото лице при обработката на здравни данни. И тук BGH видя нарушение на конкуренцията. Чл. 9 ал. 1 GDPR е пазарно поведение в смисъла на § 3a UWG, поради което нарушението на тази разпоредба може да бъде преследвано от конкурент по пътя на конкурентно право пред гражданските съдилища, както казаха Карлсруските съдии. Значението на Изречение 1 и Изречение 1 № в съответните параграфи беше специално подчертана.
GDPR също е релевантен за конкурентното право
Решенията показват, че разпоредбите на GDPR – и особено задълженията за информирация и разпоредбите за съгласие – също са релевантни за конкурентното право. При определени обстоятелства печалби, получени чрез нарушения на защитата на данните, могат да бъдат отнети; това е свързано с глоби и допълнителни наказателни мерки, които могат да бъдат наложени съгласно Общия регламент за защита на данните и Закона. Компании, които обработват лични или чувствителни данни без достатъчна информация или без ефективно съгласие, действат противоконкурентно. Не само органите за защита на данните, но и конкурентите или квалифицирани интересни асоциации могат да предприемат действия срещу такива нарушения. Така BGH значително разшири обхвата на конкурентното право. Компаниите, които нарушават разпоредбите за защита на данните, могат освен глоби от органите за защита на данните да получат и платени предупреждения и искове за прекратяване от конкуренти и потребителски асоциации.
Добър съвет за компаниите
За това компаниите са добре посъветвани да проверяват и изпълняват своите задължения за информация. Това включва, че потребителите са информирани прозрачно, разбираемо и изчерпателно за това какви данни се обработват, на какво правно основание се основава това, кой е получателят и какви права имат засегнатите. Също така, преди обработката на чувствителни данни – като например здравни данни – трябва да се получи и документира изрично съгласие. Обобщени или скрити клаузи не са достатъчни.
Онлайн пазари и защита на данните
Онлайн пазари като Amazon Marketplace са неотделими от модерната електронна търговия. Но именно тук спазването на защитата на данните има особено значение. Доставчиците, които работят на такива платформи, трябва при обработката на данни за клиентите – като имена, адреси или поръчкови данни – да спазват стриктните разпоредби на GDPR. Решенията на BGH в процедурите I ZR 186/17, I ZR 222/19 и I ZR 223/19 показаха, че нарушения на GDPR – като например обработка на здравни данни без изрично съгласие на клиентите – могат да имат не само последствия в контекста на защитата на данните, но и в конкурентното право. Предупреждения от конкуренти или потребителски асоциации са възможни в такива случаи и могат да доведат до значителни последствия за компаниите. Решенията на Федералния съд подчертават, че спазването на защитата на данните на онлайн пазари е не само въпрос на съответствие, но също така и въпрос на конкуренция.
Последици от предупреждение
Предупреждение за защита на данните може да има значителни последици за компаниите. Освен задължението да прекратят незабавно оспорваната обработка на лични данни, в случай на продължаващо нарушение, има заплаха от значителни глоби или санкции. GDPR предвижда суми до 20 милиона евро или 4% от световния оборот – в зависимост от това коя сума е по-висока. Освен това предупреждение може да навреди трайно на репутацията на компанията, тъй като нарушение на защитата на данните се възприема от клиентите и обществеността като сериозно нарушение на доверието. За това компаниите трябва да полагат големи усилия за спазването на разпоредбите за защита на данните, не само от правни, но и от репутационни причини.
Защита от предупреждения
За да се защитят ефективно от предупреждения в областта на защитата на данните, компаниите трябва редовно да преглеждат своите практики за защита на данните и да ги адаптират към актуалните изисквания на GDPR. Това включва по-специално съставянето на прозрачна и пълна декларация за защита на данните, получаването на изрично съгласие за обработка на чувствителни данни, както и прилагането на технически и организационни мерки за защита на данните. В случай на предупреждение е препоръчително да се реагира бързо и да се потърси правен съвет, за да се защитят най-добре собствените интереси. Чрез проактивни действия и последователно спазване на изискванията за защита на данните компаниите могат значително да намалят риска от предупреждения и последващи правни стъпки.
MTR Legal Rechtsanwälte съветва по въпросите за защита на данните, GDPR и други теми на IT правото.
Свържете се с нас свържете с нас!
