Рішення CJEU і моральна шкода у справах про персональні дані

А Суд ЄС такий: “Підождіть, людоньки! Це ж було вже” – і скидає Верховному Суду лінк на рішення CJEU від 14.12.2023 року за подібним зверненням від Болгарії. Там CJEU вирішив, що:

– Якщо витекли дані – це не значить, що контролер персональних даних однозначно винен і повинен витягати гаманець;

– Контролеру треба дати шанс довести, що він молодець і вжив належні заходи захисту інформації (вміє відрізнити тру infosec від політики конфіденційності);

– Доводити достатність та належність заходів має контролер, а не люди, що постраждали, чи поліція чи хтось ще;

– Висновок експерта про достатність захисту – не робе сам по собі, суд має оцінювати сукупність доказів;

– Якщо збитки люди понесли через витік даних, створений хакерами в чорних шапках (black-hat, тобто), це ще не означає, що контролер має відшкодувати ці збитки. Контролер може спробувати довести, що він жодним чином не відповідальний за ці збитки;

– Для відшкодування моральної шкоди достатньо сильного переляку суб’єкта персональних даних від того, що його/її/їх дані можуть неправомірно використати злі хакери в результаті порушення обовʼязків контролера даних.

Ми ні на що не натякаємо, усі збіги з українським сьогоденням – випадкові. Просто кажемо, що кібербезпека в ЄС буває недооцінена, але за це може прилетіти. А нещодавні новини про Україну і ЄС – то велика радість але і великий клопіт, бо мрії вже не будуть далекими, а збіги – випадковими.

Лінк на рішення CJEU від 14.12.2023 року.