О чём эта статья
Статья 82 — право на компенсацию ущерба от нарушения GDPR.
82(1) — Право на компенсацию
Любое лицо, понёсшее материальный или нематериальный ущерб в результате нарушения GDPR, имеет право на компенсацию от контролёра или обработчика за понесённый ущерб.
82(2) — Ответственность контролёра и обработчика
Контролёр несёт ответственность за ущерб, причинённый его обработкой, нарушающей GDPR. Обработчик несёт ответственность только за ущерб, причинённый его обработкой, если он не соблюдал обязательства, специально направленные на обработчиков, или действовал вне или против указаний контролёра.
82(3) — Освобождение от ответственности
Контролёр или обработчик освобождается от ответственности, если докажет, что никоим образом не несёт ответственности за событие, повлёкшее ущерб.
82(4) — Солидарная ответственность
Если несколько контролёров и обработчиков участвовали в одной обработке, каждый из них несёт ответственность за весь ущерб, чтобы обеспечить эффективную компенсацию субъекту.
82(5) — Регрессное требование
Контролёр или обработчик, выплативший полную компенсацию, имеет право регрессного требования к другим участвовавшим в обработке.
82(6) — Суд
Производство по компенсации возбуждается в судах государства-члена, как указано в Art. 79(2).
Почему это важно
Art. 82 — прямой иск против контролёра, в обход DPA. Если AKI отказал в расследовании, это не значит, что путь к деньгам закрыт. Гражданский иск к контролёру по Art. 82 + Art. 79 — самостоятельный путь.
CJEU в деле C-300/21 (Österreichische Post, май 2023) разъяснил, что:
- нарушения GDPR самого по себе недостаточно для компенсации;
- но нематериальный ущерб (стресс, страх, потеря контроля над данными) может быть основанием для компенсации;
- размер ущерба определяется национальным правом.
В Германии и Австрии уже выписываются компенсации €500-5000 за неправильную обработку данных. Это создаёт финансовый стимул для контролёров соблюдать GDPR без вмешательства регулятора.