Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
Деньги
Личный опыт
AI
Соцсети
Телеграм
Право
Крипто
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Versus.legal
Право

Штраф за нарушение GDPR можно получить и без реальной обработки персональных данных

Штраф за нарушение GDPR можно получить и без реальной обработки персональных данных

К такому выводу пришел Высший Суд Бельгии при решении одного из недавних споров (дело Cass. 7 October 2021, Data Protection Authority v. Verreydt bv, C.20.0323.N.).

  • Поводом для разбирательства стало жалоба клиента одной из компаний в бельгийский орган по защите данных.

  • Как следовало из жалобы, компания установила правило, что для получения скидок и карт лояльности нужно предоставить электронные удостоверения личности (ID).

  • Иных возможностей предоставить персональные данные не было. Например, на бумаге.

  • Орган по защите данных посчитал, что данные правила нарушают GDPR, а именно принцип минимизации данных.

  • Суть принципа – сбор данных должен ограничиваться только тем объемом, который необходим для достижения целей обработки.

  • Нижестоящий суд указал, что фактической обработки данных этого клиента не было, так как электронное удостоверение личности не было предоставлено. Как следствие, нельзя констатировать наличие нарушения.

  • Высший Суд Бельгии не согласился с этим выводом и указал, что согласно GDPR наложение штрафа возможно и тогда, когда оператор понуждает своих клиентов предоставить персональные данные для обработки, если такая обработка не соответствует требованиям GDPR (в том числе принципа минимизации).

Напомним, что в отечественном законе № 152-ФЗ содержится аналогичный принцип обработки персональных данных (ч.2 ст.5 №152-ФЗ). Любопытно, что в российской судебной практике навязывание договорных условий, связанных с предоставлением персональных данных («не предоставишь данные / согласие – не получишь услугу»), может решаться в том числе и через законодательство о защите прав потребителей (см., например, судебные акты по делам № А31-10126/2020, № А65-33540/2017).

Это позволяет российским контрольно-надзорным органам применять штрафы за навязывание потребителям условий об обработке данных (ч.2. ст. 14.8. КоАП). Теоретически для квалификации правонарушения самого факта навязывания достаточно, реальная обработка может и не потребоваться. А у Роскомнадзора есть полномочия по выявлению подобных нарушений.

3
15 комментариев