Без емоцій:2. Місце діїКвартира подруги-словенки-студентки в Німеччині. Hromadske Monobank — зареєстрований в Україні (АТ «Універсал Банк»). Публікація — у соцмережі Threads (Meta, юрисдикція ЄС — DSGVO).3. Потенційні правові порушенняУкраїнське законодавствоЗакон України «Про захист персональних даних» (2297-VI): фотографія з верифікації є персональними даними. Публікація без згоди суб'єкта — порушення ст. 6 (законність обробки) та ст. 14 (передача третім особам). Регулятор — Уповноважений ВРУ з прав людини.Закон «Про банки і банківську діяльність» (2121-III), ст. 60–62: банківська таємниця охоплює будь-яку інформацію про клієнта та його операції. Публікація верифікаційного фото — пряме порушення. Відповідальність — адміністративна (ст. 73¹ ЗУ «Про НБУ») та цивільна (відшкодування моральної шкоди).Цивільний кодекс, ст. 307: право на власне зображення. Використання фото без згоди — порушення.КУпАП, ст. 188-39 / 188-40: порушення законодавства про захист персональних даних — штраф на посадових осіб.Регулятор — НБУ: може порушити справу щодо monobank як фінансової установи.Німецьке законодавство (місце перебування постраждалої)BDSG (Bundesdatenschutzgesetz) у взаємодії з GDPR: особа, що перебуває в Німеччині, є суб'єктом захисту незалежно від того, де зареєстрований оператор. Питання екстериторіального застосування GDPR — ст. 3(2): якщо банк надає послуги особам в ЄС — GDPR застосовується.KUG (Kunsturhebergesetz), §22–23: публікація впізнаваного зображення особи без згоди — порушення. Виняток «суспільного інтересу» тут не застосовується: клієнт банку — не публічна особа.§ 201a StGB (Verletzung des höchstpersönlichen Lebensbereichs): поширення зображень, що завдають шкоди репутації — кримінальна відповідальність до 2 років позбавлення волі.Законодавство ЄС / GDPRGDPR, ст. 5: принципи законності, мінімізації, цільового обмеження. Верифікаційне фото зібрано для KYC — публікація в соцмережах виходить за межі цілей збору.GDPR, ст. 6: відсутня правова підстава для публікації (ні згода, ні законний інтерес не покривають публічне розкриття).GDPR, ст. 9: якщо публікація супроводжується політичними судженнями щодо особи — можлива кваліфікація як обробка спеціальних категорій даних (політичні переконання).GDPR, ст. 83(4–5): штраф до €20 млн або 4% глобального обороту.Компетентний наглядовий орган — BfDI (Федеральний уповноважений з захисту даних, Німеччина) або орган за місцем головного офісу оператора (Україна — поза ЄС, тому BfDI може діяти безпосередньо).Додаткові ризикиДифамація / наклеп (Verleumdung, §187 StGB): публічне приписування особі проросійських поглядів без доказів із наміром завдати шкоди репутації.Compliance-порушення всередині банку: внутрішні політики обробки даних клієнтів, NDA співробітників, регуляторні вимоги НБУ щодо KYC-процедур (Постанова НБУ №65 від 2020 р.).Потенційний позов про моральну шкоду в українському суді (ст. 23 ЦКУ) та/або в німецькому (§823 BGB, §1004 BGB аналогово).Ключова вразливість кейсу: СЕО банка особисто, як посадова особа та публічний комунікатор банку, здійснив публікацію — що формує пряму особисту та корпоративну відповідальність одночасно. Його заява «не буде жодного захисту персональних даних» є задокументованим публічним визнанням умислу.