Звонить будут не только Цукербергу: за использование данных пользователей без их ведома ответят администраторы страниц

Появился кейс по толкованию законодательства о защите данных от Европейского суда. 5 июня Высшая судебная инстанция ЕС признала администраторов корпоративных страниц Facebook контролером данных.

1212

Какие же странные все эти законы о защите данных. На законодательном уровне создаётся видимость безопасности, которой в интернете никогда не было и не будет.

Владельцы многих интернет-проектов и не подозревают, что:
1) их сервер уже взломан и является частью ботнета;
2) кто-то из сотрудников сливает инфу вручную;
3) на проекте есть баги, из-за которых данные обрабатываются не "по бумаге".

Я уже не говорю про то, что трафик бегает по сотням промежуточных узлов (те же Wi-Fi роутеры), на которых достаточно успешно осуществляется перехват данных.

7

В целом, так ("видимость безопасности") можно сказать про большинство областей человеческой деятельности. Нет ответственности, нет мер по безопасности. Ввели ответственность - начнется движение по принятию мер (реальный или видимых - это уже другой вопрос).

3

Кто-нибудь, пожалуйста, расшифруйте статью. Ничего не понял. За что, кого и как могут наказать?

«вас наняли, чтобы заниматься, например, SMM и Client Relationship Management, «гнать трафик» на сайт нанимателя, то беспокоиться нужно — есть высокая доля вероятности, что вы будете признаны процессором данных (data processor), со всеми вытекающими обязанностями и последствиями, минимизировать которые поможет подготовка необходимых документов»

Особенно про это

1

По GDPR есть несколько категорий лиц, работающих с данными, как-то: субъект данных (тот, чьи данные обрабатываются), контролер (тот, кто определяет как и зачем обрабатывать) и процессор (тот, кто обрабатывает).

Как правило, если компания не нанимает по гражданско-правовому договору подрядчика (это может быть как специалист по маркетингу, так и аналитики различного толка) для работы с данными, то контролер и процессор совпадают в одном лице.

Если функции контролера и процессора фактически выполняет работник компании (есть трудовой договор), то контролером и процессором будет признана все равно компания-наниматель, а не работник. Но если этот специалист "работает" не по трудовому договору, а как ИП или фрилансер, то тогда такой человек рассматривается как самостоятельный процессор данных. Следовательно, он должен позаботиться, чтобы были приняты технические (железо и софт) и организационные (договор на обработку данных с "нанимателем" и т.п.) меры, т.к. такой подрядчик становится самостоятельным субъектом ответственности по GDPR, наряду с "нанимателем".

Что касается решения Европейского суда, то его можно перефразировать так: не важно, что Facebook самостоятельно контролирует свою платформу и обрабатывает кукис, мы все равно считаем, что компании, которые ведут там свои страницы тоже должны быть признаны контролерами данных наравне с Facebook; как следствие, ответственность вы будете нести вместе за любой ущерб (он может выражаться как в утечке данных, так и в необеспечении их безопасности, даже когда ничего не утекло, но еврорегулятор пришел к вам с проверкой).

2

и какие документы нужны?

Высокая доля вероятности, что..
Бесят все законы и юристы консультанты! Как так можно писать законы, что там нет точного ответа на каждую ситуацию, и начинАется.. Закон есть, но как его трактовать высокая/низкая вероятность поступить неправильно и влететь на бабки!
И юристы при этом никакого доверия не вызывают, так как у каждого свое мнение.

1

Я вас понимаю, самого порой раздражают юристы (полагаю, больше вашего). Универсальных рекомендаций нет ни у одного юриста. Представьте себе ситуацию, когда доктор, в ответ на ваши жалобы, каждый раз говорит "приложите подорожник, болька пройдёт"

3

местные власти попросили WSH удалить их страницу в Facebook. Мол, не уведомили вы посетителей, что собираете и обрабатываете их данные с помощью cookies

Мне вот интересно, понимают ли вообще люди, которые выдвигают эти претензии, как это работает и что это такое? Если не ошибаюсь, администраторы сообществ не имеют вообще никакого отношения к записям cookie в браузере подписчиков. Соответственно, и обрабатывать их не могут.

В комменте выше расписал про контролера и процессора. С позиции суда, важно тут не то, кто конкретно обрабатывает, а кто определяет цели и способы обработки. Суд решил, что администратор страницы это делает, следовательно, он - контролер данных наравне с Facebook и должен нести ответственность в случае сливов и т.п.

1