Open in app

Sign in

Write

Sign in

Цивільні позови в Україні про захист персональних даних

З вами капітан очевидність. І до вашої уваги матеріал про те, як українські суди не розуміють законодавства про захист персональних даних.

Axonomist
Axon Partners
12 min readFeb 29, 2024

--

Я взяла лопату, трохи внутрішньої рівноваги та натхнення і відкрила судовий реєстр, щоб перевірити, з якими вимогами звертаються в цивільні суди наші співвітчизники і що їм каже суд.

Виявляється, суди не перший рік з потом на чолі намагаються тлумачити маловідомий закон про захист даних. У них вийшло так, що про моральну шкоду у справах про захист приватності можна не мріяти. Але як мінімум, є деякі шанси, якщо через суд вимагати видалити дані чи визнати обробку неправомірною.

Нижче детально пройдемося справами за типами вимог позивачів. Обережно! Це лиш для тих, хто не любить вершки, а любить хардкор.

Вимога 1. Визнати договори позики недійсними, бо є незаконна обробка персональних даних

Йдеться про справи за участі кредитних установ, де мова про персональні дані і недійсність договорів. Наприклад, позивачі просять визнати кредитні договори недійсними і стверджують, що персональні дані обробляються незаконно (немає згоди, неналежна згода, неможливо відкликати згоду). Подібних рішень можна знайти чимало, і не тільки від судів першої інстанції (Рішення 1, Рішення 2, Рішення 3, Рішення 4, Рішення 5, Рішення 6, Рішення 7, Постанова 1, Постанова 2).

Зазвичай суди вирішують справу на користь кредитної установи, бо або суди влаштовує згода, або вони кажуть, що у таких ситуаціях згода не потрібна, бо є інша законна підстава обробки — необхідність укладення/виконання договору. І тут суди мали б рацію. Якби вони не змішували “згоду” і “договір” як підстави обробки даних за статтею 11 Закону України “Про захист персональних даних”. В одному реченні суди стверджують, що не треба згоди, бо обробка потрібна для виконання договору, а в іншому — що позивач добровільно погодився на обробку. Або ж правильно кажуть в одному реченні, що згода є лише однією з підстав обробки персональних даних, тому відкликання згоди можливе лише у випадку обробки за згодою, а далі не заглиблюються у “договір” як підставу обробки.

Тож тенденція така, що суди не копають глибше і не аналізують, наскільки необхідною є інформація про особу для укладення договору чи наскільки широко можна використовувати договір як підставу обробки. Може, то вже наші рожеві мрії. Бо куди там, якщо суд плутає “повідомлення про обробку” і “згоду про обробку”.

Вимога 2. Визнати дії з обробки даних протиправними + зобов’язати видалити дані

Позивачі у цивільних справах дуже люблять просити суд, аби їхні дані видалили. Наприклад, просять видалити дані у таких ситуаціях:

а) Вибір ідентифікатора і релігійні переконання

Позивач просив видалити дані з баз даних. Він за релігійними переконаннями не бажав мати код, за яким його ідентифікуватимуть для обліку комунальних послуг (Рішення). Суд став на бік позивача і зобовʼязав відповідачів обліковувати споживача за прізвищем-іменем і місцем проживання. Щоправда, в обґрунтуванні дуже мало про персональні дані, зате дуже багато про свободу віросповідання і не вичерпний перелік прав і свобод за Конституцією.

б) Персональні дані в чаті ОСББ у WhatsApp

У цій справі ОСББ опублікувала у чаті рішення загальних зборів, де додатком була заява із персональними даними позивача. Позивач висловився проти публікації його даних і просив видалити їх із чату. ОСББ стверджувала, що вона не підпадає під дію законодавства про захист персональних даних. Суд вирішив, що ОСББ є “третьою особою” у розумінні нашого закону, а тому має видалити персональні дані позивача.

З прикольного — при тлумаченні терміну “третя особа” суд заглядав до посібника з європейського права у сфері захисту персональних даних. Нетипово, але дуже пізнавально:)

в) Шахрайство із персональними даними

Позивач просив визнати договори недійсними і видалити його дані з баз даних кредитної установи, в якій шахраї взяли на нього кредит. Суд погодився з позивачем, що дані зібрані незаконно, посилаючись на пункт 6 та 11 частини другої статті 8 Закону України “Про захист персональних даних”. І це дуже смішне поєднання. Пункт 6 — про право видалити дані, які отримані незаконно. А пункт 11 — про право відкликати згоду. Якщо дані отримані незаконно — яке значення має “згода”? Тим більше, сам суд визначив, що для укладення кредитного договору згода не потрібна, бо є підстава “укладення та виконання правочину”. Змішують, бо не розуміють.

г) Персональні дані в Telegram-каналі Портнова. Справа-шедевр, всім раджу вчитатися!

Позивач у справі скаржився, що канал PortnovUA в Telegram опублікував його прізвище, ім’я, по батькові, дату народження, номерний знак автомобіля, адресу місця проживання та дані РНОКПП. Позивач — це водій Радіо Свобода. Серйозно задумавшись про важливу роль водія, суди першої та апеляційної інстанції вирішили, що порушення немає, а було поширення інформації з обмеженим доступом, яка є предметом суспільного інтересу (хахаха).

Засумнівавшись у суспільних чи політичних інтересах, які піднімають його дані, позивач подав касаційну скаргу. На його думку, єдиною метою публікації персональних даних позивача було покарати журналістів Радіо Свобода за їхню роботу (а журналісти працювали над розслідуванням щодо Портнова). Тому дані треба видалити.

Верховний Суд у суспільному інтересі засумнівався і наголосив, що тягар доведення, чи можна використати виняток і поширювати дані без згоди, має лежати на відповідачеві. Також Суд вказав, що попередні суди неуважно дослідили справу, тому він передав справу на новий розгляд до суду першої інстанції. Ключовий момент, на думку Верховного Суду, у тому, що суди:

  • неправильно розподілили тягар доведення у справі (недостатньо напрягли Портнова),
  • незрозуміло чому вирішили, що є суспільний інтерес у поширенні даних водія Радіо Свобода у відповідь на нібито незаконні розслідування журналістами активностей Портнова,
  • не встановили факт поширення персональних даних та чи була згода, чи все ж були винятки, на підставі яких можна було поширити дані.

Печерський районний суд міста Києва давно призначив склад суду (розподілив судді у 2022 році). Однак поки в публічному доступі лише ухвала про відкриття провадження від 04 серпня 2022 року. Дуже і дуже хочеться почитати, що вийде у Печерського суду в результаті :)

ґ) Строк зберігання персональних даних банком і відкликання згоди

У судовій справі (Постанова) позивач стверджував, що банк незаконно зберігає персональні дані. Позивач пояснював, що він вже не є клієнтом банку і відкликає свою згоду та просить дані видалити. Суд першої інстанції, як і апеляційний, нагадали позивачеві, що у банку є законодавчо встановлений обовʼязок зберігати дані 5 років (бо це пряма вимога закону про запобігання відмиванню доходів). Щоправда, до питання суд підійшов геть з неочікуваного боку — вказав, що позивач не довів, що треба видалити дані за однією із підстав, що визначені в статті 15 Закону “Про захист персональних даних”.

Ні суд першої інстанції, ні апеляційний суд не зацікавився іншим шляхом захисту — довести, що і надалі є підстава обробки даних — “необхідність виконання обов’язку володільця персональних даних, який передбачений законом”. Тож знову бачимо поверхневий аналіз, хоча і правильне за змістом рішення (на користь банку).

Вимога 3. Зобовʼязати дати відповідь на запит і визнати протиправним “мовчання” банку

Позивач скаржився до трьох судових інстанцій, що його запит на доступ і видалення даних проігнорували у банку. Позивач хотів, щоб банк розглянув його звернення про відкликання згоди і надав йому дані та документи про нього: договір про надання банківських послуг, номери банківських карт і рахунків, стан поточної заборгованості, банківську виписку. Додатково позивач просив суди зобовʼязати банк:

  • припинити використання його персональних даних і видалити ці дані,
  • надати інформацію та копії документів, які містять його персональні дані, інформацію про осіб, яким та коли було надано доступ до даних;
  • надати засвідчену копію нормативного документу банку, який регулює обробку персональних даних.

Суди першої та апеляційної інстанції прийняли рішення на користь банку. Суд першої інстанції встановив, що банк відписував позивачу на його звернення і надавав документи, тому бездіяльності не було. У поясненні суд посилався винятково на положення Закону України “Про звернення громадян”, не згадавши про статтю 8 Закону “Про захист персональних даних”. Апеляційний суд погодився із судом першої інстанції і вказав, що позивач не спростував доводи банку про персональні дані. Верховний Суд вирішив піти простим шляхом і відмовив у відкритті касаційного провадження.

Цікавішою ця справа могла лиш якби банк не відповів. Або якби позивач краще доводив свою позицію, що його право на доступ до даних було неналежно забезпечено. Або якщо б суд знав про існування статті 8 Закону “Про захист персональних даних”.

Вимога 4. Встановити факт незаконної обробки

Позивачка зверталася в суд в контексті недійсності договору щодо комунальних послуг. Позивачка просила визнати, що концерн “Міські теплові мережі” обробляє її персональні дані незаконно, без згоди. Апеляційний суд вирішив, що варто застосовувати іншу підставу обробки — дозвіл на обробку персональних даних виконавцем послуг, наданий законом виключно для здійснення повноважень. Але ще суд зауважив, що позивачка не надала доказів, що її дані використовувалися для чогось іще, крім як аби надавати послуги. На думку суду, позивачка мала добре пояснити, які саме її дані оброблялися неправомірно і чому.

А помріємо і уявимо, що апеляційний суд міг би пояснити, а яка різниця між “дозволом на обробку” та “необхідністю виконання правочину”. Бо ж тут теж мова про договір і послуги, то ж чому підставою не може бути “правочин”? Прямої відповіді суди не дали, тож між рядків читаємо, що тут специфічний субʼєкт, якого виконавчий комітет Запорізької міської Ради вирішив призначити надавачем комунальних послуг. А значить у цього субʼєкта дуже специфічні публічні повноваження, і для їх виконання йому потрібно обробляти персональні дані. Грань тонка — тут би не завадило побачити розʼяснення від Уповноваженого ВРУ з прав людини.

Вимога 5. Визнати інформацію недостовірною та такою, що принижує честь, гідність та ділову репутацію (і трішки про анонімізацію)

Позивачка звернулася до суду, оскільки телеканал без її згоди опублікував про неї розслідування, у якому стверджував, що вона мати дитини, яку вона нібито народила і покинула в 16 років. Позивачка підтвердила, що ця інформація недостовірна, здавши ДНК-тест. Натомість, канал серед іншого стверджував, що анонімізував дані про позивачку. Канал у сюжеті брав інтервʼю у родичів позивачки і знімав могилу її матері, де було видно роки життя матері, ім’я та по батькові матері, саме місце зйомки, в тому числі розміщення сусідніх могил. Додатково канал опублікував аудіозапис розмови із позивачкою без її згоди. Позивачка стверджувала, що все це дані про її приватне життя, а відповідачі — що позивачку ідентифікувати неможливо з наданого відеофайлу (nice try!).

Апеляційний суд погодився, що матеріали зйомки містять достатньо інформації, щоб ідентифікувати позивачку. Додатково ці матеріали формують аморальний образ позивачки серед її родичів, знайомих і незнайомих людей. Тому суд підтвердив, що було неправомірне поширення персональних даних (без згоди), а опублікована інформація — недостовірна і принижує честь-гідність.

Справа цікава спробою судів пояснити, коли дані анонімні, а коли персональні. Хоча теж доводиться пробиратися до цих висновків крізь нетрі процесуальних норм.

Вимога 6. Відшкодувати моральну шкоду

На жаль чи щастя, рішення у цій рубриці — переважно на користь відповідачів. Тобто, моральну шкоду переважно не відшкодовують.

а) Шкода у звʼязку із поширенням персональних даних без згоди та поширенням недостовірної інформації, що порочить честь-гідність

У справі про розслідування історії неповнолітньої матері з пункту вище канал разом із виробником відеоматеріалів мали сплатити на користь позивачки моральну шкоду 800 000 грн. Суд першої інстанції вирішив, що це може бути 200 000 грн (у звʼязку із моральними переживаннями позивачки, погіршення відносин у родині та необхідність докладати зусиль, спрямованих на спростування такої інформації). Апеляційний суд врахував зауваження відповідачів, що розмір шкоди не доведений та очевидно завищений, і зменшив цей розмір до 100 000 грн. Так суд врахував характер та обсяг заподіяних моральних страждань, виходячи із засад розумності і справедливості.

У цьому рішенні є легкий флер зради для прайвасі-юриста: а якби тут не було поширення “недостовірної” інформації, то чи була би взагалі моральна шкода? Скажімо, якби було поширення правдивих даних без правових підстав для обробки?

б) Шкода за навʼязливі телефонні дзвінки

Ця справа на межі між захистом прав споживачів та персональних даних. Позивачка була не в захваті від умов співпраці із кредитною установою. Тож серед іншого вона стверджувала, що їй були завдані душевні страждання, бо відповідач порушив законодавство про захист даних і прав споживачів. Позивач постійно телефонував, надсилав повідомлення і звертався до неї через сторонніх осіб, використовував загрозливі вислови і лайливі слова, і це все принижувало її честь і гідність. Внаслідок цього позивачка перебувала у постійному страху, що унеможливлювало подальше нормальне життя, вона нестерпно хвилювалася, і це відобразилось на стані її здоров’я. Це все позивачка готова була стерпіти за 10 000 гривень моральної шкоди. Суд не погодився, вказавши, що позивачка не довела образи і погрози, а також що є сумніви, чи була недостовірною інформація, яку поширював відповідач. Про навʼязливі дзвінки родичам без їх згоди суд нічого не сказав.

в) Шкода за незаконну публікацію персональних даних в Telegram-каналі

У справі про канал Портнова, яку ми вже вище аналізували, позивач (водій) вимагав також відшкодувати 10 000 грн. моральної шкоди у звʼязку із порушенням права на приватність. Печерський суд позивачеві відмовив (ну бо він загалом вирішив, що порушення не було). Можливо, коли буде новий розгляд справи — є шанси на розгляд і цього питання.

г) Шкода за незаконну передачу даних СБУ

У цій справі підприємство, яке обладнує та продає авто, надало на запит СБУ документи, які містили інформацію про позивачку (ПІБ, ідентифікаційний код, адреси реєстрації, паспортні дані, платежі тощо). Позивачка була переконана, що так порушили її право на приватність, бо її дані розголосили без згоди. Вона просила стягнути з відповідача моральну шкоду в розмірі 1 476 458,42 грн. — суму, яка була витрачена на придбання автомобіля та його дооблаштування. Моральну шкоду позивачка пояснювала так: неправомірні дії відповідача потягли за собою негативні наслідки для стану її фізичного і психічного здоров’я.

Місцевий суд позивачці відмовив, пояснивши, що позивачка не підтвердила і не пояснила:

  • доказами моральні страждання саме відповідачем і за яких обставин спричинена моральна шкода,
  • якими діями чи бездіяльністю завдана,
  • чим підтверджується вина відповідача у спричиненні позивачу моральної шкоди,
  • що саме діями відповідача позивачці було завдано моральну шкоду,
  • наявності причинно-наслідкового зв’язку між діями відповідача та завданою позивачу моральною шкодою,
  • з яких міркувань вона виходила, визначаючи суму моральної шкоди.

Законність запиту СБУ суд ніяк не коментував, бо позивачка не оскаржувала дії СБУ як неправомірні.

Апеляційний суд задовольнив позов частково — суд інакше розподілив судові витрати, а по суті підтвердив, що відповідь на запит СБУ була правомірною. На думку суду, СБУ вимагали документи про покупку автомобіля для перевірки фактичних даних про організовану злочинну діяльність і корупцію.

Верховний Суд погодився з попередніми інстанціями. Він додатково пояснив концепцію моральної шкоди, посилаючись на свої раніші справи (наприклад, цю). Якщо коротко — довести позивачу всі елементи для відшкодування моральної шкоди (особливо причинно-наслідковий звʼязок), чи то у справах про приватність, чи в інших, буде ой як важко.

Ця справа могла би бути дуже цікавою, якби суди детальніше проаналізували правомірність запиту СБУ та за яких умов дії відповідача, який розкриває дані, могли бути незаконними. Наприклад, суд не аналізував, які мають бути елементи у запиті правоохоронного органу, які запити можуть бути надмірними, що таке пропорційність даних, які розкриваються. Ну як ви, вже ржете з моєї наївності?:)

ґ) Шкода за незаконне поширення номера телефону на конверті

Позивач отримав лист із Київського апеляційного суду. На конверті з листом без згоди позивача було зазначено номер його телефону. У вказаному позивач побачив порушення його права на приватність, а тому просив суд стягнути з відповідача моральну шкоду 100 000 гривень (а потім ще й в апеляції хотів збільшити позовні вимоги до 200 000 гривень).

Суд першої інстанції відмовив позивачу. Апеляційний суд залишив скаргу без задоволення, рішення суду першої інстанції — без змін. Тут все виявилося просто — за Правилами надання послуг поштового зв’язку, які затвердив Кабмін, на конверті має бути телефон. Тому суд (відповідач) нічого не порушив. Тож і про моральну шкоду не може бути мови. Але ще на думку суду, позивач не надав належних і допустимих доказів, аби підтвердити моральну шкоду, не пояснив, у чому було порушення його прав і яку шкоду йому завдали.

Апеляційний суд вирішив, що посилатися на законодавство про захист даних — для слабаків, тому у цій частині правового обґрунтування немає.

д) Шкода за незаконне розголошення ПД в листуванні

У цій справі, на думку позивачки, відповідач (Центр соціальної-психологічної допомоги, ЦСПД) порушив її право на приватність, бо незаконно поширив персональні дані та конфіденційну інформацію про неї та її сина. ЦСПД надіслав лист школі, у якій вчився син позивачки. У листі ЦСПД просив школу повпливати на позивачку як матір і закликати її до відповідального батьківства. А в обґрунтування ЦСПД описав обставини щодо проживання позивачки в приміщенні ЦСПД і щодо неналежного використання соціальної допомоги. Оскільки це посягнуло на її честь і гідність, позивачка просила стягнути моральну шкоду 100 000 гривень.

Суд першої інстанції частково задовольнив позов (стягнув з ЦСПД 7 000 грн. моральної шкоди). Апеляційний суд скасував рішення та ухвалив нове, яким у задоволенні позову відмовив. Суд зауважив, що не було втручання в приватне життя чи поширення конфіденційної інформації, а була критична оцінка певних фактів про позивачку, а дії ЦСПД були спрямовані на захист свого права (звільнення приміщення). А так як не було втручання — то і моральної шкоди не було.

І, о сюрприз! Жоден із судів ґрунтовно не проаналізував законодавство про захист персональних даних і чи були підстави розкривати інформацію. А було би цікаво — може ми би про законний (легітимний) інтерес почитали. Місцевий суд лише сказав, що дані розкрили незаконно, бо не було згоди позивачки. І послався на Конституцію та Закон України “Про інформацію”, навідріз забувши про спеціальний закон про персональні дані. Ну що ж, буває.

То як, усе це можна назвати гарним правозастосуванням?

Позивачі та відповідачі часто впливають на гарні рішення суду, наводять якісну аргументацію. Хочеться більше і краще. Деякі суди молодці, стараються розібратися, що є персональними даними і здогадуються, що крім згоди існує ще щось. Але більшості варто занурюватися у Закон України “Про захист персональних даних” з аквалангом, а деяким — просто дізнатися, що він існує. Наразі українські суди щоразу ризикують неграмотно застосовувати правові норми, не розуміючи їх змісту. Що уже хотіти від організацій, які обробляють персональні дані чи від звичайних споживачів.

У просвітництві судів корисними були би спеціалізовані тренінги. Можливо, це буде більш доцільно, коли приймуть новий закон про захист даних на основі Загального регламенту ЄС про захист даних. Законопроєкт потрошки просувається, тож прайвасі юристи, го ставити свічку за прийняття в першому читанні.

🖋 Оксана Задніпровська

--

--

Axonomist
Axon Partners

Written by Axonomist

90 Followers

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams