�                                                    

Анастасія Казанкіна

Радник АО «Дубинський і Ошарова»

​

Знакові рішення CJEU щодо захисту персональних даних та застосування GDPR

​

Загальний регламент Європейського Парламенту та Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС

GDPR

1. Цей Регламент застосовують до опрацювання персональних даних в контексті діяльності осідку контролера або оператора в Союзі, незалежно від того, чи відбувається власне опрацювання в межах Союзу чи ні.

2. Цей Регламент застосовують до опрацювання персональних даних суб'єктів даних, які перебувають у Союзі, контролером або оператором, який має осідок поза межами Союзу, якщо опрацювання даних пов'язано з:

(a) постачанням товарів чи наданням послуг таким суб'єктам даних у Союзі, незалежно від того, чи вимагають оплату від таких суб'єктів даних; або

(b) моніторингом поведінки суб'єктів даних, якщо така поведінка має місце у межах Союзу.

3. Цей Регламент застосовують до опрацювання персональних даних контролером, що має осідок поза межами Союзу, але в місці, де застосовується законодавство держави-члена в силу публічного міжнародного права.

​

Ст. 3 GDPR

​

Для визначення, чи може вважатися діяльність продавця, яка представлена на його веб-сайті або на веб-сайті посередника, 'спрямованою' на державу-члена місця проживання споживача, у змісті пункту (c) пункту 1 статті 15 Регламенту № 44/2001, потрібно встановити, чи заздалегідь було очевидно з цих веб-сайтів та загальної діяльності продавця, що продавець мав намір вести бізнес зі споживачами, які мешкають у одній чи кількох державах-членах, включно з державою-членом місця проживання цього споживача, в тому розумінні, що він мав намір укласти з ними договір.

Joined cases C-585/08 and C-144/09

Pammer v Reederei Karl Schlüter GmbH & Co and Hotel Alpenhof v Heller

​

• міжнародний характер діяльності,
• згадка маршрутів з інших держав-членів для прибуття до місця, де розташований торговець,
• використання мови чи валюти, відмінної від мови чи валюти, які загалом використовуються в державі-члені, в якій розташований продавець, з можливістю здійснення та підтвердження бронювання на тій іншій мові, 
• згадка телефонних номерів з міжнародним кодом,
• витрати на послуги інтернет-посередників з метою полегшення доступу до сайту продавця чи його посередника споживачами, які мешкають в інших державах-членах, 

​

Joined cases C-585/08 and C-144/09

Pammer v Reederei Karl Schlüter GmbH & Co and Hotel Alpenhof v Heller

• використання доменного імені верхнього рівня, відмінного від того, яка має місце держава-член, в якій розташований торговець, 
• згадка міжнародного клієнтури, складеної з клієнтів, які мешкають в різних державах-членах. 

​

З іншого боку, лише доступність веб-сайту продавця чи посередника в державі-члені, де проживає споживач, є недостатньою. Те саме стосується згадки адреси електронної пошти та інших контактних даних або використання мови або валюти, що загалом використовуються в державі-члені, де розташований продавець.

Joined cases C-585/08 and C-144/09

Pammer v Reederei Karl Schlüter GmbH & Co and Hotel Alpenhof v Heller

​

​

​

 Ст. 4(1) GDPR

«Персональні дані» означає будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати («суб'єкт даних»); фізична особа, яку можна ідентифікувати, є такою особою, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за такими ідентифікаторами як ім'я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи

​

​

​

 Case C‑604/22

IAB Europe

​

42 Рядок, який складається з комбінації літер і символів, такий як рядок TC String, містить налаштування користувача Інтернету або додатку, що стосуються згоди цього користувача на обробку третіми сторонами персональних даних, які його стосуються, або заперечення проти обробки таких даних на підставі передбачуваного законного інтересу згідно зі статтею 6(1)(f) GDPR.

​

43 Навіть якщо рядок TC сам по собі не містить факторів, що дозволяють безпосередньо ідентифікувати суб'єкта даних, він все одно, перш за все, містить індивідуальні уподобання конкретного користувача щодо його згоди на обробку персональних даних, які його стосуються, тобто інформацію, яка "стосується [a] ... фізичної особи" в розумінні статті 4(1) GDPR.

​

​

​

 Case C‑604/22

IAB Europe

​

За таких обставин той факт, що без зовнішнього внеску галузева організація, яка володіє цим рядком, не може отримати доступ до даних, які обробляються її членами згідно з правилами, встановленими цією організацією, або поєднати цей рядок з іншими факторами, не виключає того, що цей рядок становить персональні дані в розумінні цього положення.

​

​

​

​

 Case C‑604/22

IAB Europe

​

�IAB Europe може вважатися «спільним контролером» в розумінні GDPR. За умови перевірки, яку повинен здійснити національний суд, схоже що ця асоціація може впливати на операції з обробки даних при реєстрації у TC String вибору користувача (погодитись на обробку чи заперечити її) та спільно зі своїми членами визначати як цілі, так і засоби обробки. 

​

Водночас, це не стосується обробки в частині подальшої обробки даних, яка здійснюється для досягнення цілей TCF, таких як цифрова реклама, вимірювання аудиторії або персоналізація контенту, оскільки IAB Europe не має жодного впливу на таку обробку.

​

• 1. Суб'єкт даних повинен мати право не підлягати рішенню, що ґрунтується винятково на автоматизованому опрацюванні, в тому числі, профайлінгу, що породжує правові наслідки для субʼєкта даних чи подібним чином істотно впливає на нього або неї.
• 2. Параграф 1 не застосовують, якщо рішення:
• (a) є необхідним для укладення чи виконання договору між суб'єктом даних і контролером даних;
• (b) дозволено законодавством Союзу або держави-члена, яке поширюється на контролера та яким також передбачено відповідні заходи для захисту прав і свобод та законних інтересів суб'єкта даних; або
• (c) ґрунтується на прямо висловленій згоді.

​

​

Ст. 22 GDPR

3. У ситуаціях, вказаних у пунктах (a) та (c) параграфа 2, контролер даних повинен вжити належних заходів для гарантування охорони прав, свобод, законних інтересів суб'єктів даних, принаймні права на людське втручання з боку контролера, висловлення своєї думки та оскарження рішення.

​

​

Ст. 22 GDPR

​

​

​

Case C‑634/21

C-634/21 OQ v Land Hessen (SCHUFA)

Суд прийшов до висновку, що "scoring" повинен розглядатися як "автоматизоване індивідуальне рішення", і, якщо клієнти SCHUFA (наприклад, банки) надають такій оцінці визначальну роль у видачі кредиту, це в принципі буде заборонено згідно зі статтею 22 GDPR. 

​

Суд ЄС також зазначив, що саме національному суду належить визначити чи містить Федеральний закон дійсне виключення з цієї заборони, відзначаючи при цьому, що, якщо це так, суд все одно повинен перевірити, чи були відповідно до GDPR виконані загальні умови обробки даних.

​

​

​

Case C‑634/21

C-634/21 OQ v Land Hessen (SCHUFA)

46. Поняття "рішення" у розумінні статті 22(1) GDPR може включати ряд дій, які можуть вплинути на суб'єкта даних по-різному, оскільки це поняття достатньо широке, щоб охоплювати результат розрахунку кредитоспроможності особи у вигляді ймовірнісного значення, що стосується здатності цієї особи виконувати платіжні зобов'язання у майбутньому.

​

56. Згідно зі статтею 15(1)(h) GDPR, суб'єкт даних має право отримати від контролера, зокрема, "змістовну інформацію про логіку, застосовану в обробці, а також значення та передбачувані наслідки такої обробки для суб'єкта даних".

�59. Важливо забезпечити відповідні заходи безпеки та справедливу та прозору обробку щодо суб'єкта даних, зокрема за допомогою використання відповідних математичних або статистичних процедур для профайлінгу та впровадження технічних і організаційних заходів для забезпечення мінімізації ризику помилок.

​

​

​

​

Ст. 82 GDPR

1. Будь-яка особа, що зазнала матеріальної або нематеріальної шкоди в результаті порушення цього Регламенту, має право на отримання відшкодування від контролера або оператора за заподіяну шкоду.

2. Будь-який контролер, залучений до опрацювання, несе відповідальність за шкоду, заподіяну опрацюванням, що порушує положення цього Регламенту. Оператор несе відповідальність за шкоду, заподіяну опрацюванням лише тоді, коли він не дотримується обов'язків за цим Регламентом, спрямовані безпосередньо на оператора, або якщо він діє поза чи всупереч законним вказівкам контролера.

3. Контролер або оператор звільняються від відповідальності за параграфом 2, якщо доведуть, що жодним чином не несуть відповідальності за подію, що спричиняє нанесення шкоди.

​

​

​

​

Case C-300/21 

UI v Österreichische Post AG

Суд вказав, що право на компенсацію за GDPR підпадає за наявності одночасно трьох умов:

(і) порушення GDPR,

(іі) матеріальна або нематеріальна шкода, що виникає внаслідок цього порушення, та

(ііі) причинно-наслідковий зв'язок між шкодою та порушенням.

​

Це означає, що не кожне порушення GDPR само по собі викликає право на компенсацію. Отже, порушення GDPR не обов'язково призводить до шкоди. Між порушенням, що розглядається, та завданою шкодою повинен існувати причинно-наслідковий зв'язок для встановлення права на компенсацію.

​

​

​

C-667/21 

Krankenversicherung Nordrhein 

Суд встановив, що GDPR встановлює систему відповідальності на підставі презумованої провини контролера, якщо він не здатен довести, що не несе ніякої відповідальності за подію, що призвела до шкоди. 

​

Щодо характеру компенсації, яку повинні виплатити суб'єкту даних згідно зі статтею 82 GDPR, суд уточнив, що вона є виключно компенсаційною, а не покаральною за своєю природою.

ДЯКУЮ ЗА УВАГУ!

akazankina@iplaw.com.ua

www.iplaw.com.ua

+380 44 490-54-54