Сергій Зіменков
DPO at NOVA group
10 грудня 2024 року Вищий земельний суд Дрездена (OLG Dresden) виніс важливе рішення у справі № 4 U 808/24, яка стосувалася компенсації за порушення правил захисту персональних даних на підставі статті 82 Загального регламенту захисту даних (DSGVO). Це рішення є черговим етапом у розвитку судової практики щодо застосування норм GDPR та вимагає особливої уваги як з боку юристів, так і з боку компаній, що обробляють персональні дані.
Що таке скрапінг?
Scraping — це процес автоматичного збирання інформації з вебсайтів чи інших джерел даних. У цій справі невідома третя сторона використовувала функцію пошуку у Facebook, щоб створити базу даних на основі публічної інформації. Генеруючи випадкові телефонні номери, зловмисники знаходили облікові записи користувачів, чиї профілі були прив'язані до цих номерів. Навіть якщо номер телефону був прихований у налаштуваннях конфіденційності, можливість пошуку за ним залишалася доступною. Це дозволило збирати імена, прізвища, ідентифікатори та іншу інформацію, що пов'язана з номерами телефонів.
Передумови справи
Позивач, суб’єкт даних, є користувачем Facebook (контролер) i постраждав вiд iнциденту скрапiнгу. Невiдома третя сторона скористалася функцiєю пошуку облiкових записiв за номерами телефонiв для аналiзу Facebook шляхом випадкового генерування номерiв телефонiв i пошуку користувачiв. У результатi цього методу iдентифiкатор суб’єкта даних, його iм’я, прiзвище та стать були включенi до набору даних i пов’язанi з його номером телефону. Примiтно, що суб’єкт даних встановив параметр видимостi номера телефону лише для себе, проте залишив налаштування пошуку за замовчуванням «Усi», що дозволяло знаходити його профiль за номером телефону.
Пiсля iнциденту скрапiнгу суб’єкт даних почав отримувати спам-дзвiнки та SMS-повiдомлення. Вiн стверджував у письмовiй заявi, що впав у стан сильного дискомфорту та занепокоєння через можливiсть насильства. Однак спам-дзвiнки та SMS були вiдфiльтрованi з самого початку.
Суб’єкт даних також звинуватив контролера у тому, що той не вжив належних заходiв для запобiгання використанню контактного iнструменту, який дозволяв знаходити користувачiв за їхнiми номерами телефонiв. Позивач подав позов про вiдшкодування збиткiв у розмiрi 3000 євро та домагався декларативного рiшення, яке визнало б його майбутнє право на компенсацiю. Таке декларативне рiшення є стандартною практикою в Нiмеччинi через законодавчi обмеження, якi не дозволяють подавати претензiї пiсля трирiчного перiоду, наприклад, у випадках довгострокових наслiдкiв.
Крiм того, суб’єкт даних подав заяву на судовi заборони з вимогою, щоб контролер утримався вiд обробки його номера телефону будь-яким чином, що виходить за межi обробки, необхiдної для двофакторної автентифiкацiї. Вiн також домагався зобов’язання контролера посилити заходи безпеки.
Позиція контролера (відповідача)
Органiзацiя, у свою чергу, заперечувала обвинувачення, зазначаючи, що вжитi заходи безпеки були вiдповiдними, Позивач не змiг надати достатньо доказiв реальної шкоди та наведені аргументи стосуються радше потенцiйної загрози, нiж фактичних збиткiв.
Рiшення суду
Відповідно до головного рішення Федерального суду Німеччини ( Bundesgerichtshof - BGH ) - VI ZR 10/24 від 18 листопада 2024 року суд постановив, що проста втрата контролю над особистими даними внаслідок порушення захисту даних може становити нематеріальна шкода, навіть якщо обґрунтоване побоювання неправомірного використання цих даних не доведено. Суд також дотримувався головного рішення BGH у своїй оцінці дій контролера з обробки: встановивши налаштування конфіденційності за замовчуванням, як описано вище, контролер порушив статтю 25(2) GDPR . Крім того, він постановив, що обробка номера телефону не мала правових підстав, оскільки вона не була необхідна для виконання контракту користувача та не було ефективної згоди через непрозору угоду про конфіденційність, яка не вказувала на можливість пошуку.
Отже, суд постановив, що суб’єкт даних має право на компенсацію нематеріальної шкоди відповідно до статті 82 GDPR через втрату контролю, яка сталася внаслідок цього. Він також визнав його майбутнє право на компенсацію. Однак суд не побачив доказів негативного психологічного ефекту, незважаючи на заяву суб’єкта даних, тому він присудив лише 100 євро за просту втрату контролю над номером телефону. Суд обґрунтував цю оцінку тим фактом, що спам-дзвінки та SMS були відфільтровані, а також тому, що суб’єкт даних не був змушений змінити свій номер телефону. Суд також стверджував, що оскільки дані суб’єкта даних все одно є загальнодоступними, як-от його ім’я та прізвище, стать та ідентифікатор користувача, об’єктивно немає втрати контролю, яка могла б становити нематеріальну шкоду.
Щодо запитуваної заборони на обробку, суд стверджував, що більше немає ризику повторення, оскільки прогалину в безпеці, відповідальну за інцидент зіскрібання, було закрито. Тому судова заборона була непотрібною. Стосовно вимоги суб’єкта даних щодо судової заборони, пов’язаної із зобов’язанням контролера дотримуватися «сучасних заходів безпеки», які забороняють йому передавати інформацію «неавторизованим третім особам», суд постановив, що вона недостатньо конкретна .
Це рiшення стало черговим кроком у формуваннi практики застосування статтi 82 DSGVO. Воно пiдкреслює низку важливих аспектiв:
1. Для успiшного розгляду справ у сферi захисту персональних даних необхiдно надати переконливi докази реальної шкоди. Суддi чiтко дали зрозумiти, що абстрактнi претензiї без конкретних наслiдкiв не можуть бути пiдставою для компенсацiї.
2. Компанiї повиннi придiляти особливу увагу розробцi та документуванню заходiв захисту даних. Демонстрацiя цих заходiв може суттєво знизити ризики судових позовiв.
3. Це рiшення створює прецедент для розумiння того, як саме слiд оцiнювати нематерiальну шкоду у справах про порушення захисту даних.
Отже,
Рiшення у справi 4 U 808/24 є важливим орiєнтиром у сферi захисту даних. Воно пiдтверджує, що для отримання компенсацiї необхiдно не лише посилатися на загальнi порушення, але й надавати конкретнi докази шкоди. Водночас, воно наголошує на необхiдностi вдосконалення корпоративних практик у сферi безпеки даних, що є критично важливим в умовах сучасного цифрового середовища.