Оприлюднення імен спортсменів-порушників антидопінгових правил відповідає GDPR, але потребує індивідуального зважування інтересів поза встановленими законом винятками – Суд ЄС

14 липня 2026 року Суд Європейського Союзу (Велика палата) ухвалив рішення у справі C-474/24 за преюдиційним запитом Федерального адміністративного суду Австрії, роз’яснивши застосування Загального регламенту про захист даних (GDPR) до практики оприлюднення в інтернеті імен спортсменів, покараних за порушення антидопінгових правил.

Обставини справи

Четверо спортсменів (AR, YT, DI, RN) були дискваліфіковані на певний строк чи довічно рішеннями Австрійської антидопінгової правової комісії (ÖADR) або Незалежної арбітражної комісії (USK), яка переглядає рішення ÖADR. Відповідно до австрійського антидопінгового закону (ADBG), Національне антидопінгове агентство Австрії (NADA) публікує на своєму сайті перелік дискваліфікацій із зазначенням імені та прізвища спортсмена, виду спорту, вчиненого порушення, санкції та строків її дії; аналогічну інформацію ÖADR публікує на власному сайті в розділі прес-релізів.

У жовтні 2021 року заявники вимагали від ÖADR і NADA видалити з сайтів згадки про їхні імена та види спорту. Отримавши відмову, вони звернулися зі скаргою до Австрійського органу захисту даних на підставі статті 77 GDPR, вимагаючи визнати порушення права на видалення даних (стаття 17 GDPR). Орган захисту даних відхилив скарги трьох заявників як необґрунтовані, а скаргу четвертої заявниці (YT) — через відсутність предмета спору, оскільки на момент розгляду її дані ще не були оприлюднені (хоча дискваліфікацію вже призначили).

Перше питання: чи взагалі застосовується GDPR

Австрійський суд запитав, чи підпадає оприлюднення антидопінгової інформації під дію права ЄС узагалі, чи ця сфера — оскільки боротьба з допінгом належить до компетенції держав-членів, а спорт як такий не має економічного характеру — виключена зі сфери застосування GDPR (стаття 2(2)(a) Регламенту, яка виключає обробку даних поза межами права ЄС, зокрема пов’язану з національною безпекою).

Суд ЄС відповів однозначно: цей виняток тлумачиться вузько і стосується лише діяльності, спрямованої на захист національної безпеки, або діяльності тієї ж категорії. Той факт, що боротьба з допінгом належить до компетенції держав-членів, а не ЄС, сам по собі не виводить обробку даних зі сфери дії GDPR — так само як і аргумент про нібито неекономічний характер спорту. GDPR застосовується до цієї практики оприлюднення в повному обсязі.

Друге питання: чи є це «даними про здоров’я»

Суд роз’яснив: сама лише інформація про те, що особа вчинила антидопінгове порушення і за це дискваліфікована, за загальним правилом не є «даними про здоров’я» в розумінні статті 9 GDPR (яка встановлює посилений захист для особливих категорій даних). Інакше — якщо публікація містить назву чи категорію конкретної забороненої речовини чи методу, з якої в поєднанні з іншою інформацією можна опосередковано зробити висновок про стан здоров’я особи (наприклад, якщо особа приймала заборонену речовину через конкретний стан здоров’я, не подавши при цьому заяви на терапевтичний виняток). Оцінити це в конкретних обставинах справи — зокрема щодо практики ÖADR, яка у прес-релізах вказує назву речовини, — повинен національний суд.

Третє й четверте питання: чи потрібне індивідуальне зважування інтересів

Це центральний практичний висновок рішення. Суд визнав, що австрійське регулювання саме по собі не суперечить принципам законності та мінімізації даних (стаття 5(1)(a) і (c) GDPR) і вимозі пропорційності (стаття 6(3) GDPR): законодавець заздалегідь визначив категорії й обсяг даних, що підлягають оприлюдненню, та передбачив винятки для аматорів, вразливих осіб і викривачів («whistleblowers»), тобто вже здійснив абстрактне зважування інтересів на рівні закону.

Водночас Суд встановив важливе застереження: з огляду на серйозність втручання в право на приватне життя (публікація доступна необмеженій кількості осіб, може відтворюватися на інших сайтах і залишатися доступною навіть після видалення з першоджерела), закон не може повністю замінити індивідуальну оцінку в кожному конкретному випадку, коли наперед визначені законом категорії винятків не охоплюють усіх релевantних обставин. Відповідальні за обробку даних органи (NADA, ÖADR) зобов’язані — поза межами прямо встановлених законом винятків — здійснювати індивідуальне зважування інтересів перед публікацією, враховуючи, зокрема:

  • тяжкість порушення та статус особи (провідний спортсмен з певним рівнем публічної відомості несе підвищену відповідальність);
  • тривалість самої публікації: що довше триває оприлюднення, то суворіші вимоги до його пропорційності — зокрема, якщо санкція діє довічно чи на дуже тривалий строк, а спортсмен із часом досягає віку, коли фізично не може продовжувати кар’єру, подальше оприлюднення після цього віку є, як правило, непропорційним.

П’яте питання: чи є це «даними про кримінальні судимості»

Суд відхилив тезу про застосування статті 10 GDPR (посилений захист для даних про кримінальні засудження та правопорушення, обробка яких можлива лише під контролем офіційного органу). Ключовий критерій: поняття «правопорушення» в статті 10 стосується виключно кримінального права. Антидопінгові порушення адресовані вузькому колу осіб (спортсменам), які добровільно взяли на себе зобов’язання дотримуватися Всесвітнього антидопінгового кодексу, і за своєю природою є радше дисциплінарними санкціями, спрямованими на підтримання доброчесності спортивного змагання, а не кримінальним переслідуванням в інтересах суспільства в цілому. Стаття 10 GDPR до цих даних не застосовується.

Сьоме питання: чи можна подати скаргу до оприлюднення даних

Суд роз’яснив ситуацію заявниці YT, чию скаргу орган захисту даних відхилив через відсутність предмета спору, оскільки дані ще не були оприлюднені на момент розгляду скарги. Суд ЄС встановив: скарга за статтею 77 GDPR є прийнятною навіть до фактичного оприлюднення даних, якщо на момент подання скарги вже існують конкретні ознаки того, що обробка даних невідворотно наближається чи відбудеться в найближчому майбутньому. Це узгоджується з наглядовими повноваженнями органів захисту даних попереджати про потенційне порушення ще до його вчинення (стаття 58(2)(a) GDPR) і з метою GDPR забезпечити високий рівень захисту персональних даних. Оскільки YT вже була дискваліфікована рішенням ÖADR на чотири роки й публікація була неминучою, її скарга мала визнаватися прийнятною.

Значення рішення

Це рішення встановлює баланс для всіх національних антидопінгових органів у ЄС: законодавчо встановлена система автоматичного оприлюднення персональних даних спортсменів-порушників сумісна з GDPR, але не звільняє відповідальних за обробку даних від обов’язку проводити змістовну індивідуальну оцінку пропорційності в нетипових випадках, що виходять за межі прямо передбачених законом винятків, — особливо щодо тривалості публікації після завершення спортивної кар’єри особи.

Аби першими отримувати новини, підпишіться на телеграм-канал ADVOKAT POST.