Introducere în notificarea privind protecția datelor
Notificarea privind protecția datelor este un instrument esențial în legislația privind protecția datelor pentru a asigura respectarea Regulamentului general privind protecția datelor (GDPR). De la intrarea în vigoare a GDPR în anul 2018, companiile și organizațiile sunt obligate să manifeste cea mai mare atenție în procesarea datelor cu caracter personal. Dacă se produce o încălcare a acestor prevederi – de exemplu, prin informarea insuficientă a utilizatorilor sau printr-o procesare neautorizată a datelor – se poate emite o notificare. Aceasta poate fi inițiată nu doar de autoritățile de protecție a datelor, ci și de concurenți, asociații de protecție a consumatorilor sau chiar de persoanele afectate. Scopul unei notificări privind protecția datelor este de a determina compania să înceteze încălcarea protecției datelor și să respecte drepturile de protecție a datelor. Pentru companii, aceasta înseamnă că trebuie să-și revizuiască regulat procesele și modul în care gestionează datele cu caracter personal pentru a evita notificările și posibilele acțiuni ulterioare.
Fundamente legale
Bazele legale pentru notificările în domeniul protecției datelor sunt regăsite în principal în GDPR, precum și în legea împotriva concurenței neloiale (UWG). GDPR reglementează detaliat modul în care datele cu caracter personal pot fi colectate, stocate și procesate. Încălcările acestor reglementări – precum o procesare neautorizată sau lipsa transparenței – pot fi urmărite nu doar de autoritățile de protecție a datelor, ci și în contextul legislației concurențiale. UWG protejează concurența împotriva practicilor comerciale neloiale și prevede că o încălcare a protecției datelor poate fi considerată și o încălcare a UWG, dacă astfel o companie obține un avantaj necorespunzător. Astfel, notificările pentru încălcări ale protecției datelor pot fi emise atât pe baza GDPR, cât și a UWG. Companiile ar trebui, prin urmare, să se asigure că respectă strict cerințele legale privind procesarea datelor cu caracter personal pentru a evita notificările și alte consecințe legale.
Concurenții pot notifica – hotărârile BGH I ZR 186/17 / I ZR 222/19 / I ZR 223/19
Concurenții și asociațiile de protecție a consumatorilor pot notifica încălcările protecției datelor de către companii; aici instanțele au un rol central în decizia asupra notificărilor privind încălcările protecției datelor. Curtea Supremă de Justiție a decis aceasta în mai multe hotărâri din 27 martie 2025 (cazurile I ZR 186/17, I ZR 222/19, I ZR 223/19). Diferite instanțe au decis în trecut în mod diferit cu privire la competența de notificare în cazul încălcărilor protecției datelor. Numărul mare de cazuri de încălcări ale protecției datelor arată relevanța practică a acestui subiect. Hotărârea actuală a BGH clarifică faptul că și concurenții și asociațiile de consumatori pot acționa. Hotărârile BGH din martie 2025 sunt de mare importanță pentru practica notificării, deoarece permit urmărirea încălcărilor protecției datelor de către asociațiile de consumatori și concurenți în fața instanțelor civile. O notificare GDPR este o formă specifică de notificare care se referă la încălcări ale Regulamentului general privind protecția datelor și se distinge de alte notificări prin referința sa la protecția datelor. Centrul de protecție a consumatorului joacă un rol important în aplicarea drepturilor de protecție a datelor. Asociațiile de consumatori sunt implicate semnificativ în notificarea încălcărilor protecției datelor. De asemenea, concurenții pot urmări încălcările protecției datelor și pot proteja astfel concurența. Hotărârea BGH are efecte semnificative asupra practicii și evaluării legale a încălcărilor protecției datelor.
Încălcările protecției datelor nu pot fi sancționate doar de autoritățile de supraveghere. Competența decizională a instanțelor în cazul încălcărilor protecției datelor este de o importanță centrală. Așa cum arată deciziile BGH, și concurenții și asociațiile de consumatori pot acționa împotriva încălcărilor. În cadrul unor astfel de proceduri, partea inculpată joacă, de asemenea, un rol important. Pentru companii, aceasta poate avea consecințe semnificative, mai ales în comerțul online și în procesarea datelor sensibile, conform firmei de avocatură MTR Legal Rechtsanwälte, care consultă, printre altele, în dreptul IT și protecția datelor. Încălcările GDPR pot duce la consecințe legale semnificative, mai ales dacă se fac cereri de interdicție. În caz de încălcare repetată a GDPR, se pot aplica sancțiuni mai severe și alte măsuri. Urmărirea încălcărilor protecției datelor se face atât de către instanțe, cât și de asociații. Importanța propoziției 1 și a propoziției 1 Nr. în paragrafele relevante este decisivă pentru clasificarea legală. Problema are o mare importanță pentru dezvoltarea legislației privind protecția datelor și aplicarea drepturilor consumatorilor.
Aplicația de jocuri postează date
În cazul dosarului I ZR 186/17 era vorba despre un așa-numit „centru de aplicații” într-o rețea socială în care furnizorii terți ofereau jocuri. Centrul de aplicații servește ca platformă centrală pe care sunt oferite diverse aplicații terțe. În centrul de aplicații, jocurile online joacă un rol semnificativ, deoarece ele constituie o mare parte din ofertă. Prin utilizarea aplicației se pot procesa și date cu caracter personal precum adresa ta de e-mail. Înainte ca un utilizator să poată începe un joc, i s-a afișat că aplicația primește anumite permisiuni, de ex. pentru a posta mesaje de stare. Aceste indicații însă erau vagi și nu informau despre ce date specifice au fost procesate, cine erau destinatarii și în ce scop s-a făcut aceasta. Împotriva situației a acționat cu succes Asociația centrală a centrelor de protecție a consumatorului ale landurilor.
BGH a clarificat că o astfel de informare neclară și generalizată nu îndeplinește cerințele Regulamentului general privind protecția datelor (GDPR). Chiar și la colectarea datelor de către aplicație, utilizatorii trebuie să fie informați complet. Și volumul datelor colectate și procesate trebuie să fie prezentat transparent. Formularea juridic sigură a scopurilor de utilizare în declarația de confidențialitate este deosebit de importantă. Obligațiile de informare conform art. 12 și 13 GDPR cer o informare clară, precisă și inteligibilă a persoanelor vizate. Deoarece aceste cerințe ale GDPR reglementează în același timp și comportamentul pe piață în sensul legislației concurențiale (§ 3a UWG), neglijarea constituie o încălcare a concurenței. Prin urmare, concurenții sau asociațiile calificate de protecție a consumatorilor pot acționa civil împotriva acestor încălcări ale protecției datelor, potrivit BGH. Acest lucru este valabil indiferent dacă un utilizator s-a plâns.
Farmaciștii vând medicamente pe internet
Întrebări similare au fost tratate în procedurile cu numerele de dosar I ZR 222/19 și I ZR 223/19. Aici, două farmacii au vândut medicamente prin platforma Amazon. În acest proces, au fost prelucrate date cu caracter personal ale clienților, incluzând și date despre sănătate, cum ar fi numele, adresa sau medicamentele comandate împreună cu informații despre personalizarea lor. Colectarea acestor date despre sănătate de către farmacii a fost subiectul central al procedurilor. Au existat numeroase cazuri de încălcări ale protecției datelor în domeniul farmaciilor, care au devenit relevante în acest context. Alți farmaciști au acționat împotriva situației. Și aceste acțiuni au avut succes: BGH a clarificat că datele de comandă, în sensul art. 9 alin. 1 GDPR, sunt considerate date despre sănătate. Acest lucru era valabil chiar dacă medicamentele nu erau cu prescripție. Datele pot fi prelucrate doar dacă există un consimțământ explicit al clienților, lucru pe care farmaciștii nu l-au obținut.
BGH a confirmat evaluarea Curții de Justiție a Uniunii Europene că datele privind sănătatea sunt prezente deja atunci când se pot face inferențe din comandă asupra stării de sănătate sau a medicației. În cadrul procedurilor, inculpatul a jucat un rol central, deoarece era responsabil pentru prelucrarea datelor. A fost subliniată în mod special importanța protecției persoanelor afectate în cazul prelucrării datelor despre sănătate. Și aici BGH a văzut o încălcare a concurenței. Art. 9 alin. 1 GDPR este o reglementare a comportamentului pe piață în sensul § 3a UWG, astfel încât încălcarea acestei dispoziții poate fi urmărită de un concurent printr-o acțiune de concurență în fața instanțelor civile, așa susțin judecătorii din Karlsruhe. Importanța propoziției 1 și a propoziției 1 Nr. în paragrafele relevante a fost subliniată în mod expres.
GDPR, de asemenea, relevant din punct de vedere concurențial
Hotărârile arată că reglementările GDPR – și aici în special obligațiile de informare și dispozițiile privind consimțământul – sunt relevante și din punct de vedere concurențial. În anumite circumstanțe, câștigurile obținute prin încălcări ale protecției datelor pot fi retrase; aceasta este în legătură cu amenzile și alte măsuri punitive care pot fi impuse conform Regulamentului general privind protecția datelor și a legii. Companiile care procesează date cu caracter personal sau sensibile fără o informare suficientă sau fără un consimțământ valabil acționează împotriva concurenței. Nu doar autoritățile de protecție a datelor, ci și concurenții sau asociațiile de interese calificate pot acționa împotriva unor astfel de încălcări. Astfel, BGH a extins semnificativ domeniul de aplicare al legislației concurențiale. Companiile care încalcă dispozițiile privind protecția datelor pot fi afectate nu doar de amenzi impuse de autoritățile de protecție a datelor, ci și de notificări plătibile și acțiuni de interdicție de către concurenți și asociații de protecție a consumatorilor.
Companiile sunt bine sfătuite
Companiile sunt, prin urmare, bine sfătuite să-și verifice și să-și îndeplinească cu exactitate obligațiile de informare. Aceasta include faptul că utilizatorii sunt informați transparent, înțeles și complet despre ce date sunt procesate și în ce scop, pe ce bază legală se întâmplă acest lucru, cine sunt destinatarii și ce drepturi au persoanele vizate. De asemenea, trebuie obținut și documentat un consimțământ explicit înainte de prelucrarea datelor sensibile – cum ar fi datele despre sănătate. Clauzele generale sau ascunse nu sunt suficiente.
Piețele online și protecția datelor
Piețele online precum Amazon Marketplace nu mai pot fi separate de comerțul electronic modern. Dar exact aici respectarea protecției datelor este de o importanță deosebită. Furnizorii care activează pe astfel de platforme trebuie să respecte cerințele stricte ale GDPR la procesarea datelor clienților – de exemplu, nume, adrese sau date de comandă. Hotărârile BGH în procedurile I ZR 186/17, I ZR 222/19 și I ZR 223/19 au clarificat că încălcările GDPR – precum procesarea datelor despre sănătate fără consimțământul explicit al clienților – pot avea nu doar consecințe de protecție a datelor, ci și de concurență. Notificările de către concurenți sau asociațiile de protecție a consumatorilor sunt posibile în astfel de cazuri și pot avea consecințe semnificative pentru companii. Hotărârile Curții Supreme subliniază că respectarea protecției datelor pe piețele online nu este doar o chestiune de conformitate, ci și de concurență.
Consecințele unei notificări
O notificare privind protecția datelor poate avea consecințe de anvergură pentru companii. Pe lângă obligația de a înceta imediat prelucrarea datelor cu caracter personal contestate, în cazul unei încălcări continue, pot urma amenzi sau penalități severe. GDPR prevede pentru aceasta sume de până la 20 de milioane de euro sau 4 % din cifra de afaceri anuală mondială – în funcție de suma care este mai mare. În plus, o notificare poate afecta durabil reputația unei companii, deoarece o încălcare a protecției datelor este percepută de clienți și public ca o încălcare gravă a încrederii. Companiile ar trebui, prin urmare, nu doar din motive legale, ci și reputaționale, să acorde cea mai mare importanță respectării dispozițiilor privind protecția datelor.
Apărarea împotriva notificărilor
Pentru a se apăra eficient împotriva notificărilor în domeniul protecției datelor, companiile ar trebui să își revizuiască regulat practicile de protecție a datelor și să le adapteze la cerințele actuale ale GDPR. Aceasta include în mod special crearea unei declarații de confidențialitate transparente și complete, obținerea consimțămintelor explicite pentru prelucrarea datelor sensibile, precum și implementarea măsurilor tehnice și organizatorice pentru protecția datelor. În cazul unei notificări, este recomandabil să reacționeze rapid și să solicite consilierea juridică pentru a-și proteja cât mai bine interesele. Prin acțiuni proactive și respectarea consecventă a prevederilor privind protecția datelor, companiile pot reduce semnificativ riscul de notificări și de alte acțiuni legale.
MTR Legal Rechtsanwälte oferă consultanță cu privire la protecția datelor, GDPR și alte teme din dreptul IT.
Vă rugăm să contactați-ne !
