Штраф за нарушение GDPR можно получить и без реальной обработки персональных данных

Штраф за нарушение GDPR можно получить и без реальной обработки персональных данных

К такому выводу пришел Высший Суд Бельгии при решении одного из недавних споров (дело Cass. 7 October 2021, Data Protection Authority v. Verreydt bv, C.20.0323.N.).

  • Поводом для разбирательства стало жалоба клиента одной из компаний в бельгийский орган по защите данных.

  • Как следовало из жалобы, компания установила правило, что для получения скидок и карт лояльности нужно предоставить электронные удостоверения личности (ID).

  • Иных возможностей предоставить персональные данные не было. Например, на бумаге.

  • Орган по защите данных посчитал, что данные правила нарушают GDPR, а именно принцип минимизации данных.

  • Суть принципа – сбор данных должен ограничиваться только тем объемом, который необходим для достижения целей обработки.

  • Нижестоящий суд указал, что фактической обработки данных этого клиента не было, так как электронное удостоверение личности не было предоставлено. Как следствие, нельзя констатировать наличие нарушения.

  • Высший Суд Бельгии не согласился с этим выводом и указал, что согласно GDPR наложение штрафа возможно и тогда, когда оператор понуждает своих клиентов предоставить персональные данные для обработки, если такая обработка не соответствует требованиям GDPR (в том числе принципа минимизации).

Напомним, что в отечественном законе № 152-ФЗ содержится аналогичный принцип обработки персональных данных (ч.2 ст.5 №152-ФЗ). Любопытно, что в российской судебной практике навязывание договорных условий, связанных с предоставлением персональных данных («не предоставишь данные / согласие – не получишь услугу»), может решаться в том числе и через законодательство о защите прав потребителей (см., например, судебные акты по делам № А31-10126/2020, № А65-33540/2017).

Это позволяет российским контрольно-надзорным органам применять штрафы за навязывание потребителям условий об обработке данных (ч.2. ст. 14.8. КоАП). Теоретически для квалификации правонарушения самого факта навязывания достаточно, реальная обработка может и не потребоваться. А у Роскомнадзора есть полномочия по выявлению подобных нарушений.

33
15 комментариев

Спасибо. А есть текст решения ВС Бельгии?

1

Григорий, добрый день!
Да, конечно, решение можно посмотреть по этой ссылки (доступ только через VPN) - https://juportal.be/JUPORTAwork/ECLI:BE:CASS:2021:ARR.20211007.1N.4_NL.pdf
Правда решение на нидерландском языке.

Более подробную информацию о деле на английском можно прочитать еще здесь: https://gdprhub.eu/index.php?title=Supreme_Court_-_C.20.0323.N

1

Может не в тему, но уж простите...
Визит на некоторые территории РФ связан с обработкой ПД контрольно-пропускными службами, в том числе ведомственными. Например, посещение офиса условного "Газпром-Нефть" возможно только при подписании согласия на обработку ПД неким ООО обеспечивающим по контракту с ГПН безопасность периметра. Можно ли это оспорить или признать злоупотреблением?

Добрый день!
Судебной практики по таким вопросам мы не видели, поэтому будем рассуждать теоретически, основываясь на нормах 152-ФЗ.

У субъекта ПД есть возможность взыскать компенсацию морального вреда с нарушителя. Однако в данном случае это крайне маловероятно, потому что вряд ли посетитель понес какие-либо нравственные страдания.

Другой путь - написать жалобу в Роскомнадзор. Но здесь потенциально можно привлечь к ответственности, только если запрашиваемый перечень данных является чрезмерным для достижения цели идентификации субъекта. Например, если, помимо паспортных данных, требуется указать ссылки на соц.сети (фантазируем).
Если же набор данных соответствует цели, то наказать не получится.

Также можно привлечь к ответственности, если эти данные будут переданы третьим лицам для каких-либо иных целей (например, для личных целей жены гендиректора, чтобы узнать, кто приходил в офис).
В этом случае есть теоретическая возможность претендовать на компенсацию морального вреда. Но вряд ли она будет большой.

Оспорить можно, попасть на объект - нет.

Был опыт, когда меня вынуждал Ростелеком предоставить свои паспортные данные чтобы закрыть договор, который существовал с моим умершим родственником. Для закрытия было предоставлено свидетельство о смерти, но им захотелось увидеть мои персональные данные. Думаю, ничего не поменялось. Свои паспортные данные я им не предоставил и закрыл сам все договоры с ними в дальнейшем.

Михаил, добрый день! С юридической точки зрения, в позиции Ростелекома есть рациональное зерно . Если родственник умирает, то его права и обязанности по договорам не исчезают, они переходят к наследникам. Поэтому наследниками становятся сторонами по договору, в том числе с организациями, оказывающими услуги. И в связи с этим организации требуют предоставление персональных данных.
Но мы рады, что вам удалось закрыть договоры, не предоставляя Ростелекому паспортные данные (это весьма чувствительная информация).