(Федерика Де Стефани, юрист и менеджер Aidr Regione Lombardia) Санкции, вытекающие из незаконного обращения с данными, могут иметь различный характер, поскольку, согласно действующему законодательству, между ними могут существовать уголовные, административные и гражданские санкции, в зависимости от тип нарушения.
Как правило, мы привыкли думать, что Европейский регламент о защите данных предусматривает только административные санкции миллионера (до 20 миллионов евро), но тот же Регламент предусматривает в ст. 82 также возможность для тех, кто пострадал в результате незаконного обращения, потребовать соответствующую компенсацию.
Это правило было недавно опубликовано в заголовке решения Верховного окружного суда Австрии, который санкционировал компенсацию за ущерб, причиненный в результате незаконного обращения с данными, и указал условия получения компенсации за ущерб.
Статья. 82 Регламента в действительности четко предусматривается компенсация материального или нематериального ущерба, вызванного незаконной обработкой данных, путем указания субъектов, необходимых для выплаты компенсации, в контроллере данных или контролере данных.
По сути, если, с одной стороны, закон прямо признает допустимость морального вреда, с другой, для возникновения обязательства по возмещению, необходимо, чтобы:
- незаконная обработка данных, то есть активное или бездействующее поведение, которое сопряжено с нарушением правил Регламента;
- ущерб;
- этиологическая связь между поведением и ущербом.
Регламент предусматривает, что ущерб (материальный или нематериальный) подлежит компенсации, если он вызван нарушением правил, и предоставляет контроллеру данных и обработчику данных возможность освобождения от ответственности, если они докажут, что вредное событие никоим образом не является приписываемые им.
Это означает, что обсуждаемое обязательство не является объективным, а существует только в том случае, если существует причинно-следственная связь между нарушением Регламента (относящимся к владельцу или управляющему) и вредным событием.
Другими словами, субъект имеет возможность представить доказательства того, что он правильно выполнил обязательства, вытекающие из Регламента, и что он принял соответствующие меры для защиты данных.
Это, без всякого сомнения, очень широкое нормативное положение, так сказать, если мы считаем, что термин «нарушение этого правила» без указания какого-либо дополнительного аспекта, требует обращения к декларации 85 для примерного списка, и конечно, не исчерпывающий, из причин, которые могут быть основанием для запроса компенсации.
Сольный концерт 85, по сути, указывает на ряд аспектов, касающихся:
- потеря контроля над личными данными заинтересованных сторон;
- ограничение их прав;
- дискриминации;
- кража личных данных или узурпация;
- финансовые потери;
- несанкционированное дешифрование псевдонима;
- ущерб репутации;
- потеря конфиденциальности личных данных, защищенных профессиональной тайной
Наконец, он завершается общей гипотезой о «любом другом значительном экономическом или социальном ущербе для соответствующего физического лица».
Закрывающая формула соответствует положениям ст. 82, который в общем обозначает «любое нарушение этого правила», тем самым оставляя широкую возможность выявления конкретных случаев
В самом недавнем постановлении Австрийский высший земельный суд Инсбрука (решение от 13.02.2020 - Аз .: 1 R 182/19 b) вмешался в вопрос о компенсации ущерба, причиненного нарушением GDPR, и указал, что компенсация полученные в результате незаконной обработки данных, не подлежат re ipsa, но лицо, подавшее требование о компенсации, должно продемонстрировать ущерб, причиненный незаконностью обработки, и характеристики понесенного ущерба.
Таким образом, в судебном процессе недостаточно утверждать, что ему был причинен ущерб только из-за того, что он подвергся незаконному обращению с данными, но необходимо предоставить доказательства этиологической связи между ними.
Поэтому необходимо будет сформулировать вашу просьбу, объяснив причиненный ущерб, указав различные особенности. Следовательно, ущерб должен быть квалифицированным и конкретизированным, в том числе относящимся к типам рисков, указанных в изложениях 75 и 85 Регламента, которые в любом случае содержат только ориентировочные указания. Следовательно, ущерб должен быть детальным и не указываться в общем виде, прибегая к «общей категории». Заинтересованная сторона также должна предоставить доказательства фактического причинения заявленного ущерба. Опять же, недостаточно ссылаться на общую категорию и утверждать, что она получила связанный с этим ущерб, но необходимо предоставить конкретные доказательства заявленного ущерба и также должна быть продемонстрирована степень ущерба. Последнее, по сути, не может в целях компенсации рассматриваться как простая проблема или просто неприятность, вызванная незаконным обращением. Другими словами, ущерб должен иметь, так сказать, значимое значение, чтобы считаться актуальным для целей компенсации.
Ко всему этому добавляется, кроме того, этиологическая связь.
Сообщаемый ущерб должен быть прямой причиной утечки данных, как это прямо предусмотрено в ст. 82 Регламента.
В заключение, следовательно, получение компенсации за ущерб, понесенный в результате нарушения личных данных, возможно, даже если, как видно, существуют довольно специфические доказательственные ограничения.
Особого отражения заслуживает тот факт, что это не объективная ответственность, которая автоматически вызывает возникновение убытков.
GDPR - это очень специфическое регулирование, которое в силу принципа подотчетности оставляет владельцу достаточный выбор в отношении мер, которые должны быть приняты для соблюдения.
Это приводит к возможности иметь решения, которые подходят для определенной реальности, но которые при применении к различным реалиям могут не гарантировать защиту персональных данных.
Предварительная оценка мер, принятых владельцем до предъявления требований о возмещении убытков, в ближайшем будущем будет необходима для оценки возможного исхода судебного дела.