Штраф за нарушение GDPR можно получить и без реальной обработки персональных данных

К такому выводу пришел Высший Суд Бельгии при решении одного из недавних споров (дело Cass. 7 October 2021, Data Protection Authority v. Verreydt bv, C.20.0323.N.).

  • Поводом для разбирательства стало жалоба клиента одной из компаний в бельгийский орган по защите данных.

  • Как следовало из жалобы, компания установила правило, что для получения скидок и карт лояльности нужно предоставить электронные удостоверения личности (ID).

  • Иных возможностей предоставить персональные данные не было. Например, на бумаге.

  • Орган по защите данных посчитал, что данные правила нарушают GDPR, а именно принцип минимизации данных.

  • Суть принципа – сбор данных должен ограничиваться только тем объемом, который необходим для достижения целей обработки.

  • Нижестоящий суд указал, что фактической обработки данных этого клиента не было, так как электронное удостоверение личности не было предоставлено. Как следствие, нельзя констатировать наличие нарушения.

  • Высший Суд Бельгии не согласился с этим выводом и указал, что согласно GDPR наложение штрафа возможно и тогда, когда оператор понуждает своих клиентов предоставить персональные данные для обработки, если такая обработка не соответствует требованиям GDPR (в том числе принципа минимизации).

Напомним, что в отечественном законе № 152-ФЗ содержится аналогичный принцип обработки персональных данных (ч.2 ст.5 №152-ФЗ). Любопытно, что в российской судебной практике навязывание договорных условий, связанных с предоставлением персональных данных («не предоставишь данные / согласие – не получишь услугу»), может решаться в том числе и через законодательство о защите прав потребителей (см., например, судебные акты по делам № А31-10126/2020, № А65-33540/2017).

Это позволяет российским контрольно-надзорным органам применять штрафы за навязывание потребителям условий об обработке данных (ч.2. ст. 14.8. КоАП). Теоретически для квалификации правонарушения самого факта навязывания достаточно, реальная обработка может и не потребоваться. А у Роскомнадзора есть полномочия по выявлению подобных нарушений.

0
15 комментариев
Написать комментарий...
Grigory Green

Спасибо. А есть текст решения ВС Бельгии?

Ответить
Развернуть ветку
Versus.legal
Автор

Григорий, добрый день!
Да, конечно, решение можно посмотреть по этой ссылки (доступ только через VPN) - https://juportal.be/JUPORTAwork/ECLI:BE:CASS:2021:ARR.20211007.1N.4_NL.pdf
Правда решение на нидерландском языке.

Более подробную информацию о деле на английском можно прочитать еще здесь: https://gdprhub.eu/index.php?title=Supreme_Court_-_C.20.0323.N

Ответить
Развернуть ветку
Grigory Green

Спасибо за английскую версию!

Ответить
Развернуть ветку
Уоррен Баффет

Может не в тему, но уж простите...
Визит на некоторые территории РФ связан с обработкой ПД контрольно-пропускными службами, в том числе ведомственными. Например, посещение офиса условного "Газпром-Нефть" возможно только при подписании согласия на обработку ПД неким ООО обеспечивающим по контракту с ГПН безопасность периметра. Можно ли это оспорить или признать злоупотреблением?

Ответить
Развернуть ветку
Versus.legal
Автор

Добрый день!
Судебной практики по таким вопросам мы не видели, поэтому будем рассуждать теоретически, основываясь на нормах 152-ФЗ.

У субъекта ПД есть возможность взыскать компенсацию морального вреда с нарушителя. Однако в данном случае это крайне маловероятно, потому что вряд ли посетитель понес какие-либо нравственные страдания.

Другой путь - написать жалобу в Роскомнадзор. Но здесь потенциально можно привлечь к ответственности, только если запрашиваемый перечень данных является чрезмерным для достижения цели идентификации субъекта. Например, если, помимо паспортных данных, требуется указать ссылки на соц.сети (фантазируем).
Если же набор данных соответствует цели, то наказать не получится.

Также можно привлечь к ответственности, если эти данные будут переданы третьим лицам для каких-либо иных целей (например, для личных целей жены гендиректора, чтобы узнать, кто приходил в офис).
В этом случае есть теоретическая возможность претендовать на компенсацию морального вреда. Но вряд ли она будет большой.

Ответить
Развернуть ветку
Уоррен Баффет

Ну, (фантазируем) цели предоставления ПД перечисляются в бумаге, которую просят подписать на КПП, однако как говорили в комментариях - не подпишешь - не попадешь на объект. Как я понимаю, подписав и попав на объект, вы оставляете "объекту" возможность обращаться с вашими ПД как угодно. Можно, теоретически, написать бумагу на запрет обработки ваших ПД по окончании визита, однако, для частного лица, контроль за исполнением этого распоряжения осложнен. Доказать, что утечка произошла в конкурентного "объекта" физ.лицу невозможно.

Хотелось бы так же рассмотреть вопрос, когда посещение "объекта" происходит сотрудником организации в рамках исполнения своих служебных обязанностей. Он не обязан предоставлять свои данные "объекту", но обязан выполнить свои трудовые обязанности. Как в правовом смысле решить эту ситуацию?

Ответить
Развернуть ветку
Versus.legal
Автор

Добрый день!

1. Да, все верно. Гипотетически вы можете так и сделать. Но проконтролировать исполнение практически невозможно. Это может обнаружиться только в экстраординарных ситуациях. Например, когда реестр посещений офиса был опубликован в Интернете.

2. В этом случае "объект" может требовать персональные данные и ссылаться не на основание "получение согласия", а на основание "для исполнения договора, стороной или выгодоприобретателем по которому является субъект ПД". Речь идет о трудовом договоре между работником, которому нужно попасть на "объект" для исполнения трудовых обязанностей, и работодателем.
Если субъект не предоставит свои данные и не попадет вследствие этого на "объект", на территории которого он должен будет исполнять свои трудовые обязанности, то работодатель сможет привлечь его к дисциплинарной ответственности.

В практике было похожее дело, когда работник обжаловал действия работодателя, который передал его персональные данные бизнес-центру для изготовления пропуска в офис. Работник заявил, что работодатель не получил согласие на это. Однако он проиграл, потому что суд сослался, что передача персональных данных осуществлялась для исполнения трудового договора, выгодоприобретателем по которому является работник. Его выгода состоит в своему рабочему месту с помощью полученного пропуска.

(Апелляционное определение Московского городского суда от 26 февраля 2014 года по делу N 33-4346/2014)

На этот счет даже Роскомнадзор выпускал разъяснение. Если нужно, мы найдем, просто сейчас не под рукой.

Ответить
Развернуть ветку
Versus.legal
Автор

Вот, нашли разъяснения. Ниже - выдержки:

1. Абз.4 п. 4 - Согласие работника, государственного служащего не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании

2. Абз.1 п.5 - Обработка персональных данных работника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя, при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со ст. 372 Трудового кодекса РФ.

Ответить
Развернуть ветку
Уоррен Баффет

А что со стороны работника? Есть у него возможности защитить свои данные от утечки?

Ответить
Развернуть ветку
Правильный Взгляд

Оспорить можно, попасть на объект - нет.

Ответить
Развернуть ветку
Уоррен Баффет

Ну про "попасть" то понятно. )

Ответить
Развернуть ветку
Михаил Скалалэнд

Был опыт, когда меня вынуждал Ростелеком предоставить свои паспортные данные чтобы закрыть договор, который существовал с моим умершим родственником. Для закрытия было предоставлено свидетельство о смерти, но им захотелось увидеть мои персональные данные. Думаю, ничего не поменялось. Свои паспортные данные я им не предоставил и закрыл сам все договоры с ними в дальнейшем.

Ответить
Развернуть ветку
Versus.legal
Автор

Михаил, добрый день! С юридической точки зрения, в позиции Ростелекома есть рациональное зерно . Если родственник умирает, то его права и обязанности по договорам не исчезают, они переходят к наследникам. Поэтому наследниками становятся сторонами по договору, в том числе с организациями, оказывающими услуги. И в связи с этим организации требуют предоставление персональных данных.
Но мы рады, что вам удалось закрыть договоры, не предоставляя Ростелекому паспортные данные (это весьма чувствительная информация).

Ответить
Развернуть ветку
Михаил Скалалэнд

Там оказалось все плачебней, договор оказался с лицом, умершем более 10 лет назад и чье наследственное дело закрыто было без упоминания их компании.

Ответить
Развернуть ветку
Versus.legal
Автор

Понятно. Представляем, как это еще больше усложнило ситуацию. Очень хорошо, что в итоге вы её разрешили.

Ответить
Развернуть ветку
12 комментариев
Раскрывать всегда