Вступ до претензії з захисту даних
Претензія з захисту даних є центральним інструментом у праві захисту даних для забезпечення дотримання Загального регламенту про захист даних (GDPR). З моменту вступу GDPR у дію у 2018 році підприємства та організації зобов’язані проявляти максимальну обережність при обробці персональних даних. У разі порушення цих вимог – наприклад, через недостатнє інформування користувачів чи недозволену обробку даних – може бути подана претензія. Цю претензію можуть ініціювати не лише органи захисту даних, але й конкуренти, спілки захисту споживачів або навіть самі потерпілі особи. Метою претензії з захисту даних є спонукати компанію до припинення порушення захисту даних і дотримання прав на захист даних. Для підприємств це означає, що вони повинні регулярно перевіряти та адаптовувати свої процеси та поводження з персональними даними, щоб уникнути претензій та потенційних подальших позовів.
Правові основи
Правові основи для претензій у сфері захисту даних знаходяться передусім у GDPR, а також у Законі проти недобросовісної конкуренції (UWG). GDPR детально регулює, як можна збирати, зберігати та обробляти персональні дані. Порушення цих положень – наприклад, через недозволену обробку або відсутність прозорості – можуть трактуватися не лише органами захисту даних, але і в рамках законів про конкуренцію. UWG захищає конкуренцію від недобросовісних ділових практик і передбачає, що порушення захисту даних також може вважатися порушенням UWG, якщо таким чином компанія отримує недобросовісну перевагу. Таким чином, претензії через порушення захисту даних можуть бути висунуті як на підставі GDPR, так і UWG. Підприємства повинні забезпечити суворе дотримання законодавчих вимог щодо обробки персональних даних, щоб уникнути претензій та інших правових наслідків.
Конкуренти можуть подати претензію – рішення BGH I ZR 186/17 / I ZR 222/19 / I ZR 223/19
Конкуренти та спілки захисту споживачів можуть подавати претензії до підприємств за порушення захисту даних; при цьому суд відіграє центральну роль у прийнятті рішень щодо претензій через порушення захисту даних. Це підтвердив Федеральний суд ФРН у кількох рішеннях від 27 березня 2025 року (справа № I ZR 186/17, I ZR 222/19, I ZR 223/19). Різні суди в минулому приймали різні рішення щодо права на подання претензій у випадках порушення захисту даних. Кількість випадків порушення захисту даних демонструє практичну значущість цього питання. Поточне рішення BGH чітко вказує на те, що і конкуренти, і споживчі об’єднання можуть діяти. Рішення BGH від березня 2025 року мають велике значення для практики подання претензій, оскільки вони дозволяють переслідувати порушення захисту даних споживчими об’єднаннями та конкурентами в цивільних судах. Претензія за GDPR є спеціальною формою претензії, яка стосується порушень Загального регламенту про захист даних і відрізняється від інших претензій своїм зв’язком з правом захисту даних. Споживча спілка відіграє важливу роль у забезпеченні дотримання прав на захист даних. Споживчі об’єднання активно беруть участь у претензіях щодо порушень захисту даних. Крім того, конкуренти можуть переслідувати порушення захисту даних і таким чином захищати конкуренцію. Рішення BGH має значний вплив на практику та правову оцінку порушень захисту даних.
Порушення захисту даних можуть застосовуватись не лише контрольними органами. Важливе значення має компетенція судів у справах про порушення захисту даних. Як показують рішення BGH, також конкуренти та споживчі об’єднання можуть подавати претензії щодо цих порушень. У межах таких процедур відповідач відіграє важливу роль. Для компаній це може мати серйозні наслідки, особливо у сфері онлайн-торгівлі та обробки чутливих даних, що підтверджує юридична фірма MTR Legal Rechtsanwälte, яка консультує, зокрема, у сфері ІТ-прав і права захисту даних. Порушення GDPR можуть призвести до серйозних правових наслідків, особливо якщо пред’являються вимоги до припинення. У разі повторного порушення GDPR можливе посилення санкцій та інші заходи. Переслідування порушень захисту даних здійснюється як судами, так і об’єднаннями. Значення речення 1 та речення 1 пункти в релевантних параграфах є вирішальними для правової класифікації. Це питання має велике значення для розвитку права захисту даних і захисту прав споживачів.
Ігровий додаток публікує дані
У справі за номером I ZR 186/17 йшлося про так званий «Центр додатків» у соціальній мережі, де сторонні постачальники надавали ігри. Центр додатків служить центральною платформою, де пропонуються різні сторонні додатки. В центрі додатків онлайн-ігри відіграють важливу роль, оскільки складають більшу частину пропозицій. При використанні додатку можлива обробка персональних даних, таких як ваша адреса електронної пошти. Перед тим, як користувач міг розпочати гру, йому повідомляли, що додатку надаються певні дозволи, наприклад, для публікації статусних повідомлень. Однак ці вказівки були узагальненими і не інформували про те, які конкретні дані оброблялися, хто були отримувачі і з якою метою це відбувалося. Проти цього успішно позивався головний союз споживчих центрів федеральних земель.
BGH чітко вказав, що така неясна і загальна інформація не відповідає вимогам Загального регламенту про захист даних (GDPR). Ще на етапі збору даних через додаток користувачів потрібно повністю інформувати. Обсяг зібраних і оброблених даних також має бути прозоро представлений. Законодавча формулювання цілей використання у політиці конфіденційності має особливе значення. Інформаційні обов’язки за статтями 12 і 13 GDPR вимагають чіткої, точної та зрозумілої інформації для зацікавлених осіб. Оскільки ці вимоги GDPR одночасно регулюють ринкову поведінку в розумінні законодавства про конкуренцію (§ 3a UWG), нехтування ним є порушенням конкуренції. Таким чином, конкуренти або кваліфіковані спілки захисту споживачів можуть подавати цивільні позови проти таких порушень захисту даних, вказує BGH. Це стосується незалежно від того, чи подав користувач скаргу.
Аптекарі продають ліки в Інтернеті
Подібні питання були розглянуті в процедурах за номерами I ZR 222/19 та I ZR 223/19. Тут дві аптеки продавали ліки через платформу Amazon. При цьому оброблялися персональні дані клієнтів, включаючи дані про здоров’я, такі як ім’я, адреса чи замовлені ліки з інформацією про їх індивідуалізацію. Збір цих даних про здоров’я аптеками був центральним предметом процедур. Було багато випадків порушень захисту даних в аптечній галузі, які виявились у цьому зв’язку. Інші аптекарі успішно позивалися проти цього: BGH чітко заявив, що замовлені дані у розумінні статті 9, пункту 1 GDPR є даними про здоров’я. Це стосується навіть тоді, коли ліки не є рецептурними. Дані можуть бути оброблені лише у разі надання клієнтом явної згоди, якої аптеки, однак, не отримали.
BGH підтвердив оцінку Європейського суду, що дані про здоров’я існують вже тоді, коли з замовлення можна зробити висновки про стан здоров’я або терапію. В процесах відповідач грає центральну роль, оскільки несе відповідальність за обробку даних. Особливо підкреслено значення захисту зацікавленої особи при обробці даних про здоров’я. Тут також BGH побачив порушення конкуренції. Стаття 9, пункт 1 GDPR є ринковою регулюючою нормою в розумінні § 3a UWG, таким чином, порушення цього положення може бути переслідуване конкурентом шляхом подання позову за правилами конкуренції до цивільних судів, сказали карлівські судді. Було підкреслено значення речення 1 та речення 1 пункти у релевантних параграфах.
GDPR також має значення для законодавства про конкуренцію
Рішення показують, що положення GDPR – і тут особливо інформаційні обов’язки і правила щодо згоди – також мають значення для законодавства про конкуренцію. За певних обставин прибутки, отримані від порушень захисту даних, можуть бути визнані недійсними; це пов’язано з штрафами та іншими заходами покарання, які можуть бути накладені за регламентом про захист даних і законодавством. Підприємства, які обробляють персональні або чутливі дані без достатнього інформування або без дієвої згоди, діють проти конкуренції. Не лише органи захисту даних, але й конкуренти або кваліфіковані зацікавлені об’єднання можуть протидіяти таким порушенням. Таким чином BGH значно розширив сферу застосування законодавства про конкуренцію. Підприємства, які порушують положення про захист даних, можуть зустріти не лише штрафи від органів захисту даних, але й платні претензії та припинення позовів від конкурентів та спілок захисту споживачів.
Підприємства добре проконсультовані
Таким чином, підприємствам доцільно уважно перевіряти і виконувати свої інформаційні обов’язки. До цього входить, зокрема, прозоре, зрозуміле і детальне інформування користувачів про те, які дані обробляються, з якою метою, на якій правовій основі це відбувається, хто є отримувачами та які права належать зацікавленим особам. Також перед обробкою чутливих даних, таких як дані про здоров’я, повинна бути отримана і задокументована явна згода. Загальні чи приховані положення є недостатніми.
Інтернет-маркети та захист даних
Інтернет-маркети, такі як Amazon Marketplace, є невід’ємною частиною сучасної електронної комерції. Але саме тут дотримання захисту даних має особливе значення. Постачальники, які діють на таких платформах, повинні дотримуватися суворих вимог GDPR при обробці даних клієнтів – таких як імена, адреси або дані замовлень. Рішення BGH у справах I ZR 186/17, I ZR 222/19 та I ZR 223/19 підкреслили, що порушення GDPR – як, наприклад, обробка даних про здоров’я без явної згоди клієнтів – може мати не лише правові наслідки в галузі захисту даних, а й правові наслідки в галузі конкуренції. У таких випадках можливі претензії від конкурентів або спілок захисту споживачів, які можуть мати значні наслідки для підприємств. Рішення Федерального суду ФРН наголошують на тому, що дотримання захисту даних на інтернет-маркетах є питанням не лише дотримання законодавства, а й конкуренції.
Наслідки претензії
Претензія з захисту даних може мати далекосяжні наслідки для підприємств. Крім зобов’язання негайно припинити оскаржену обробку персональних даних, у разі подальшого порушення загрожують суттєві штрафи або санкції. GDPR передбачає для цього суми до 20 мільйонів євро або 4% від світового річного обороту – залежно від того, яка сума більша. Крім того, претензія може суттєво зашкодити репутації підприємства, оскільки порушення захисту даних сприймається клієнтами та громадськістю як серйозне порушення довіри. Тому підприємства повинні докладати найбільших зусиль для дотримання норм захисту даних не лише з юридичних, а й з репутаційних причин.
Захист від претензій
Щоб ефективно захищатись від претензій у сфері захисту даних, підприємства повинні регулярно перевіряти та адаптувати свої практики захисту даних до актуальних вимог GDPR. Це включає, зокрема, розробку прозорої та повної політики конфіденційності, отримання явної згоди на обробку чутливих даних, а також впровадження технічних і організаційних заходів щодо захисту даних. У разі претензії рекомендується швидко реагувати та отримати юридичну консультацію, щоб найбільш ефективно захистити свої інтереси. Завдяки проактивним діям та послідовному дотриманню норм захисту даних підприємства можуть значно знизити ризик претензій та інших правових кроків.
MTR Legal Rechtsanwälte консультують щодо захисту даних, GDPR та інших тем IT-права.
Зв’яжіться з нами Контакт з нами!
