Особисті дані. Суд ЄС прийняв рішення щодо можливого звільнення від відповідальності контролера даних у випадку порушення прав третіми особами
- Owner
- 14 бер. 2024 р.
- Читати 10 хв
14 грудня 2023 року Суд Європейського Союзу виніс рішення у справі C-340/21, VB v Natsionalna agentsia za prihodite , щодо тлумачення частини 2 статті 5, статей 24 і 32, а також статті 82 , пункти 1–3 Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб щодо обробки персональних даних і про вільний рух таких даних, і який скасовує Директиву 95/46/EC ( Загальний регламент захисту даних , GDPR) [1] . Цю заяву було подано в контексті спору між VB та Національною агентією за доходами (Болгарське національне агентство державних доходів, NAP) щодо компенсації за нематеріальну шкоду, яку ця особа, як стверджувала, зазнала в результаті ймовірного порушення прав на частину останнього своїх юридичних зобов’язань як контролера персональних даних.
Також читайте:
Це факти.
15 липня 2019 року ЗМІ виявили, що після хакерської атаки особисті дані понад 6 мільйонів людей, які містяться в комп’ютерній системі NAP, були опубліковані в Інтернеті . Отже, VB подав позов до Administrativen sad Sofia-grad (Адміністративний суд міста Софії), щоб отримати від NAP виплату приблизно 510 євро як компенсацію за нематеріальну шкоду, спричинену порушенням персональних даних. Однак оскільки ця апеляція була відхилена, В. Б. звернувся до Varhovenadministrativin sad (Верховний адміністративний суд; «суддя, що направляє»), який, у світлі необхідності тлумачення відповідного європейського законодавства з цього питання, вирішив призупинити провадження та направити п'ять питань для попереднього рішення .
У першому питанні суд запитав, чи слід тлумачити статті 24 [2] і 32 [3] GDPR як такі, що несанкціоноване розкриття персональних даних або несанкціонований доступ до таких даних «третіми особами» відповідно до статті 4, пункт 10 [4] цього регламенту, самі по собі достатні, щоб вважати, що технічні та організаційні заходи, вжиті відповідним контролером даних, не були «адекватними» у значенні цих статей 24 і 32.
Суд попередньо нагадав, що статті 24 і 32 GDPR обмежуються вимогою до контролера даних вжити технічних та організаційних заходів, спрямованих на уникнення, наскільки це можливо, будь-якого порушення персональних даних, адекватність яких повинна бути оцінена в конкретних термінах. перевіряючи, чи були вони впроваджені з урахуванням різних критеріїв, наведених у них, потреби захисту даних, які є особливо притаманними відповідній обробці, а також ризики, спричинені останньою. Отже, ці статті не можна розуміти як такі, що несанкціоноване розкриття персональних даних або несанкціонований доступ до таких даних третьою стороною є достатнім для висновку про те, що заходи, вжиті відповідним контролером, були неналежними, навіть не дозволяючи останньому надавати доказ протилежного. Стаття 24 GDPR, по суті, прямо передбачає, що контролер даних повинен мати можливість продемонструвати відповідність цьому регламенту заходів, які він здійснює, можливості чого він був би позбавлений, якби допускалася абсолютна презумпція.
У другому питанні суддя, який посилається, запитав, чи слід тлумачити статтю 32 GDPR так, що адекватність технічних та організаційних заходів, які впроваджує контролер даних відповідно до цієї статті, повинна оцінювати національні судді конкретно, у зокрема, беручи до уваги ризики, пов’язані з обробкою, про яку йдеться.
Суд попередньо нагадав, що адекватність технічних та організаційних заходів, які контролер або обробник даних повинен запровадити, має оцінюватися у два етапи. З одного боку, необхідно визначити ризики порушення персональних даних, спричинені обробкою, про яку йдеться, та їх можливі наслідки для прав і свобод фізичних осіб, беручи до уваги ступінь ймовірності виявлених ризиків та їх ступінь серйозності. З іншого боку, необхідно перевірити, чи є заходи адекватними цим ризикам, беручи до уваги сучасний рівень, витрати на впровадження, а також характер, обсяг, контекст і цілі такої обробки. Отже, хоча контролер даних має певну свободу дій для визначення відповідних технічних та організаційних заходів для забезпечення рівня безпеки, відповідного ризику, як того вимагає стаття 32(1) GDPR, громадянин судді повинен мати можливість оцінити комплексне зважування, проведене останнім, і, таким чином, переконатися, що вжиті заходи підходять для гарантування такого рівня безпеки, беручи до уваги конкретні обставини конкретної справи, а також докази, які є в його розпорядженні.
У першій частині третього запитання суддя, який посилається, запитав, чи слід тлумачити принцип відповідальності контролера даних, викладений у статті 5, параграф 2 [5] GDPR і конкретизований у статті 24 останнього, як це означає, що в контексті позову про компенсацію, заснованого на статті 82 [6] цього Регламенту, відповідний контролер зобов’язаний продемонструвати адекватність заходів безпеки, які він запровадив відповідно до статті 32.
На думку Суду, зі статті 5(2), статті 24(1) і статті 32(1) GDPR випливає, що тягар доведення того, що персональні дані обробляються таким чином, щоб забезпечити їх належну безпеку, є відповідальність відповідного контролера даних [7] . Таким чином, ці три статті встановлюють правило загального застосування, яке має, за відсутності будь-яких протилежних вказівок у GDPR, також застосовуватися в контексті компенсаційного позову на основі статті 82 цього регламенту.
У другій частині третього питання , однак, суддя, який посилається, запитав, чи слід тлумачити статтю 32 GDPR і принцип ефективності законодавства Союзу так, що для того, щоб оцінити адекватність заходів безпеки, які контролер даних реалізував відповідно до цієї статті, судова оцінка є необхідним і достатнім засобом доказування.
Суд попередньо нагадав, що GDPR не встановлює правил щодо допущення та доказової сили засобів доказування, таких як судовий звіт, які повинні застосовуватися національними суддями, які розглядають позов про відшкодування шкоди на основі статті 82 цього Регламенту та відповідальний за оцінку, у світлі статті 32 цього ж, адекватності заходів безпеки, які впроваджує відповідний контролер даних. Отже, і за відсутності положень права Союзу з цього питання, правова система кожної держави-члена повинна встановити методи дій, спрямованих на гарантування захисту прав, належних особам відповідно до зазначеної статті 82 та, зокрема, правила, що стосуються засобів доказування, які дозволяють оцінювати адекватність таких заходів, без шкоди для дотримання принципів еквівалентності та ефективності [8] .
Зважаючи на все це, національне процесуальне правило, згідно з яким національні судді систематично повинні замовляти висновок судової експертизи, може суперечити принципу ефективності. Систематичне використання такого експертного висновку насправді може виявитися зайвим у світлі інших доказів, наявних у судді, щодо якого розглядається справа, зокрема результатів перевірки дотримання заходів захисту персональних даних, проведеної незалежним органом, встановленим законом , оскільки такі заходи, відповідно до статті 24(1) GDPR, повинні бути переглянуті та оновлені, якщо це необхідно.
У четвертому питанні суд запитав, чи слід тлумачити статтю 82(3) GDPR так, що контролер даних звільняється від свого обов’язку відшкодувати шкоду, заподіяну особі, відповідно до статті 82, параграфи 1 і 2. , цього Регламенту, лише з тієї причини, що така шкода виникає внаслідок несанкціонованого розкриття персональних даних або несанкціонованого доступу до таких даних «третіми особами» відповідно до пункту 10 статті 4 зазначеного Регламенту.
Суд попередньо нагадав, що, з одного боку, відповідальний контролер даних, у принципі, повинен компенсувати шкоду, спричинену порушенням GDPR, пов’язану з такою обробкою, і що, з іншого боку, він може бути звільнений від своєї відповідальності, лише якщо він надає докази того, що подія, яка спричинила таку шкоду, жодним чином не приписується йому. Таким чином, обставини, за яких контролер даних може претендувати на звільнення від цивільної відповідальності, яку він несе відповідно до статті 82 GDPR, повинні бути суворо обмежені тими, за яких він може продемонструвати, зі свого боку, відсутність приписування шкоди, тому якщо, як у конкретному випадку, порушення персональних даних було вчинено кіберзлочинцями, а отже, «третіми сторонами» відповідно до статті 4, пункт 10 Регламенту, таке порушення не можна віднести до контролер даних, за винятком випадків, коли останній зробив це можливим, порушивши зобов’язання, передбачене самим регламентом, і, зокрема, зобов’язання щодо захисту даних, яким він зобов’язаний відповідно до статей 24 і 32.
Нарешті, відповідаючи на п’яте запитання , суддя, який надіслав запит, запитав, чи слід тлумачити пункт 1 статті 82 GDPR так, що побоювання потенційного неправомірного використання його особистих даних третіми сторонами, яке має зацікавлена сторона в результаті порушення цього положення може само по собі становити «нематеріальну шкоду» за значенням цього положення.
Суд попередньо нагадав, що наявність заподіяної шкоди є однією з умов права на компенсацію, передбаченого частиною 1 статті 82 GDPR, як і наявність порушення останнього та причинно-наслідкового зв’язку між такими пошкодження та таке порушення, причому ці три умови є сукупними [9] . Крім того, стаття 82(1) GDPR виключає національне правило чи практику, які обумовлюють компенсацію нематеріальної шкоди за умови, що збитки, яких зазнав суб’єкт даних, досягли певного ступеня тяжкості [10] .
Зважаючи на все це, стаття 82, параграф 1 GDPR не робить різниці між випадками, в яких після підтвердженого порушення положень цього регламенту нематеріальна шкода, на яку скаржиться зацікавлена сторона, пов’язана з одним з боку, до неправомірного використання третіми сторонами ваших особистих даних, яке вже відбулося на дату вашого запиту на компенсацію, або, з іншого боку, побоювання цієї особи, що таке використання може мати місце в майбутньому. Таким чином, формулювання цієї статті не виключає того, що поняття «нематеріальна шкода», яке міститься в ній, включає ситуацію, таку як конкретна справа, на яку зацікавлена сторона посилається, щоб отримати компенсацію на основі цього положення, ваші побоювання, що ваші особисті дані можуть стати предметом майбутнього неправомірного використання третіми сторонами через порушення цього положення, яке мало місце.
Відповідно, Суд постановив, що:
«Статті 24 та 32 Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб щодо обробки персональних даних та про вільний рух таких даних та про скасування Директиви 95/46/EC (Загальний регламент захисту даних) слід тлумачити так, що несанкціоноване розкриття персональних даних або несанкціонований доступ до таких даних «третіми сторонами» у значенні пункту 10 статті 4 цього регламенту не є самі по собі достатні, щоб вважати, що технічні та організаційні заходи, вжиті відповідним контролером даних, не були «адекватними» у значенні цих статей 24 і 32.
Статтю 32 Регламенту 2016/679 слід тлумачити так, що адекватність технічних та організаційних заходів, які впроваджує контролер згідно з цією статтею, повинна оцінюватися національними судами на практиці, беручи до уваги ризики, пов’язані з розглядуваною обробкою та оцінка відповідності характеру, змісту та реалізації цих заходів цим ризикам.
Принцип відповідальності контролера даних, викладений у статті 5(2) Регламенту 2016/679 та конкретизований у статті 24 останнього, слід тлумачити так, що в контексті обґрунтованого позову про компенсацію за статтею 82 цього Регламенту відповідний контролер даних несе тягар демонстрації адекватності заходів безпеки, які він застосовує відповідно до статті 32 цього Регламенту.
Статтю 32 Регламенту 2016/679 і принцип ефективності права Союзу слід тлумачити так, що для оцінки адекватності заходів безпеки, які контролер запровадив відповідно до цієї статті, судова експертиза не може бути систематично необхідною та достатні засоби доказування.
Статтю 82(3) Регламенту 2016/679 слід тлумачити так, що контролер не може бути звільнений від свого обов’язку компенсувати шкоду, завдану особою, відповідно до статті 82(1) і (2) цього Регламенту, на єдиною підставою для того, що така шкода є результатом несанкціонованого розкриття персональних даних або несанкціонованого доступу до таких даних «третіми особами» у значенні статті 4(10) цього Регламенту, враховуючи, що відповідальна особа повинна продемонструвати, що факт, який спричинив збитки, про які йде мова, жодним чином не можна віднести до нього.
Статтю 82(1) Регламенту 2016/679 слід тлумачити так, що побоювання суб’єкта даних щодо потенційного неправомірного використання його чи її особистих даних третіми сторонами в результаті порушення цього Регламенту може само по собі становити «нематеріальну шкоду». " у значенні цього положення " .
Джерело статті тут.
[1] GUUE L 119 від 04.05.2016.
[2] Стаття 24 GDPR під назвою «Обов’язки контролера даних» передбачає: « … Беручи до уваги характер, обсяг, контекст і цілі обробки, а також ризики з різною ймовірністю та серйозністю для прав і свобод фізичних осіб, контролер даних повинен впровадити відповідні технічні та організаційні заходи, щоб гарантувати та мати можливість продемонструвати, що обробка здійснюється відповідно до цього Регламенту. Ці заходи переглядаються та за необхідності оновлюються.
Якщо це пропорційно діяльності з обробки, заходи, зазначені в параграфі 1, повинні включати впровадження відповідних політик захисту даних контролером.
Дотримання кодексів поведінки, згаданих у статті 40, або механізму сертифікації, згаданого у статті 42, може використовуватися як елемент для демонстрації дотримання зобов’язань контролера даних… » .
[3] Стаття 32 GDPR під назвою «Безпека обробки» в пунктах 1-2 передбачає: « … Беручи до уваги сучасний рівень і витрати на впровадження, а також характер, об’єкт, контекст і цілі обробки, а також ризик різної ймовірності та серйозності для прав і свобод фізичних осіб, контролер даних і обробник даних повинні впровадити відповідні технічні та організаційні заходи для гарантування рівня безпеки, відповідного ризику, які включають, серед інші, у відповідних випадках:a) псевдонімізація та шифрування персональних даних;b) здатність забезпечувати на постійній основі конфіденційність, цілісність, доступність і стійкість систем обробки та послуг;в) можливість оперативного відновлення доступності та доступу до персональних даних у разі фізичного чи технічного інциденту;d) процедура регулярного тестування, перевірки та оцінки ефективності технічних та організаційних заходів з метою гарантування безпеки обробки.
Під час оцінки належного рівня безпеки особлива увага приділяється ризикам, пов’язаним з обробкою, які виникають, зокрема, через знищення, втрату, модифікацію, несанкціоноване розкриття або доступ, випадковим або незаконним способом, до переданих персональних даних, зберігаються або обробляються іншим чином ... ».
[4] Стаття 4 GDPR під назвою «Визначення» в пункті 10 передбачає: « ... Для цілей цього Регламенту:
(…)
10) «третя сторона»: фізична або юридична особа, державний орган, агентство чи інший орган, крім суб’єкта даних, контролера даних, обробника даних та осіб, уповноважених обробляти персональні дані під безпосереднім керівництвом власника або керівника... ".
[5] Стаття 5 GDPR під назвою «Принципи, що застосовуються до обробки персональних даних», у параграфі 2 передбачає: « … Контролер даних є компетентним щодо дотримання пункту 1 і може продемонструвати це («підзвітність»)… ».
[6] Стаття 82 GDPR під назвою «Право на компенсацію та відповідальність» передбачає: « ... Кожен, хто зазнав матеріальної чи нематеріальної шкоди, спричиненої порушенням цього Регламенту, має право отримати компенсацію за шкоду від контролера даних або від контролер даних.
Контролер даних, залучений до обробки, несе відповідальність за шкоду, спричинену його обробкою, яка порушує цей регламент. Контролер даних несе відповідальність за шкоду, спричинену обробкою, лише якщо він не виконав обов’язки цього Регламенту, спрямовані безпосередньо на контролерів даних, або діяв у спосіб, який відрізняється від законних інструкцій контролера даних або всупереч їм.
Контролер або обробник даних звільняється від відповідальності згідно з параграфом 2, якщо він продемонструє, що шкідлива подія жодним чином не пов’язана з ним.
Якщо більше ніж один контролер або обробник або як контролер, так і обробник беруть участь в одній обробці та відповідно до параграфів 2 і 3 несуть відповідальність за будь-яку шкоду, спричинену обробкою, кожен контролер або контролер даних несе солідарну відповідальність на всю суму збитку, щоб гарантувати ефективне відшкодування зацікавленій стороні.
Якщо контролер або обробник виплатив, відповідно до пункту 4, повну компенсацію за збитки, цей контролер або обробник має право вимагати від інших контролерів або обробників, залучених до цього, розглядати частину компенсації, що відповідає їхній частці відповідальності. за шкоду відповідно до умов, викладених у пункті 2.
Судові позови щодо реалізації права на отримання компенсації за шкоду подаються до компетентних судів відповідно до законодавства держави-члена, зазначеного в статті 79(2)… » .
[7] CJEU 04.07.2023, Справа C-252/21, Meta Platforms та інші. (Загальні умови користування соціальною мережею) , пункт 95; CJEU 04.05.2023, Справа C-60/22, Bundesrepublik Deutschland (Поштова скринька судових установ) , пункти 52-53.
[8] CJEU 04.05.2023, Справа C-300/21, Österreichische Post (Шкода, притаманна обробці персональних даних) , пункт 54; CJEU 21.06.2022, Справа C-817/19, Ligue des droits humains , пункт 297.
[9] CJEU 04.05.2023, Справа C-300/21, Österreichische Post (Шкода, притаманна обробці персональних даних) , пункт 32.
[10] Там само , пункт 51.
Comments