Звонить будут не только Цукербергу: за использование данных пользователей без их ведома ответят администраторы страниц

Появился кейс по толкованию законодательства о защите данных от Европейского суда. 5 июня Высшая судебная инстанция ЕС признала администраторов корпоративных страниц Facebook контролером данных.

Рассказывает партнер, руководитель практики Startups & VC юридической фирмы Arzinger & Partners Клим Сташевский.

Предыстория

Судебная канитель в истории "Wirtschaftsakademie Schleswig-Holstein" (WSH) закрутилась ещё семь лет назад на севере Германии. Тогда местные власти попросили WSH удалить их страницу в Facebook. Мол, не уведомили вы посетителей, что собираете и обрабатываете их данные с помощью cookies. Тогда компания оспорила это предписание. И началось: сначала Федеральный суд Германии, теперь — Европейский суд.

Чего так долго тянули

Можно сказать, ждали решения наднационального органа. Это чисто юридический нюанс. До вступления в силу регламента GDPR в Европе действовала Директива о защите данных 95/46 (именно ее положение толковал Европейский суд в новом решении). При этом регламент страны ЕС могут применять напрямую, а директиву — мало того, что нужно было «внедрить» в национальное законодательство, так ещё и (при желании) добавить к нему свои, страновые особенности, свои оговорки.

Словом, появился GDPR, и правила по защите данных стали общими для всех в ЕС, без оглядки на то, как трактовали Директиву в разных странах до того. Появилась однозначность.

Что сказал Европейский суд

  1. Назвал корпоративную страницу WSH «фанатской страницей».
  2. Признал WSH контролером данных со всеми вытекающими.

То есть всё то, что относится к Facebook как к социальной сети, сервису, который получает и обрабатывает данные, теперь точно относится и к владельцам корпоративных страниц.

Кто такой контролер данных

Контролер — это лицо, которое определяет цели (зачем) и способы (как) обработки персональных данных. Контролер обязан не только обеспечить соответствие принципам защиты данных, но также и обеспечить внедрение необходимых технических (на уровне ПО и железа) и организационных (на уровне privacy policy, других документов и уровней доступа) мер, обеспечивающих соответствие принципам и положениям законодательства о защите персональных данных.

В том случае, когда контролеров данных несколько, то каждый из них несет ответственность перед субъектом данных (пользователем) в полном размере ущерба, а субъекты данных могут инициировать защиту своих интересов (то есть подать в суд) в отношении каждого из соконтролеров. Каждый контролер должен уведомить власти об утечке персональных данных в течение 72 часов с момента, как об этом стало известно.

Я маркетолог и веду корпоративную страницу в Facebook, что мне делать?

Если вы работаете по трудовому договору, то повода для личного беспокойства нет (контролером с высокой долей вероятности будет признана компания, а не вы), но за компанию волноваться нужно — покажите эту статью своему нанимателю и посоветуйте привлечь юристов и инженеров для аудита на соответствие требованиям GDPR.

Если же вы подрядчик (индивидуальный предприниматель, фрилансер, компания) и вас наняли, чтобы заниматься, например, SMM и Client Relationship Management, «гнать трафик» на сайт нанимателя, то беспокоиться нужно — есть высокая доля вероятности, что вы будете признаны процессором данных (data processor), со всеми вытекающими обязанностями и последствиями, минимизировать которые поможет подготовка необходимых документов.

1212
20 комментариев

Какие же странные все эти законы о защите данных. На законодательном уровне создаётся видимость безопасности, которой в интернете никогда не было и не будет.

Владельцы многих интернет-проектов и не подозревают, что:
1) их сервер уже взломан и является частью ботнета;
2) кто-то из сотрудников сливает инфу вручную;
3) на проекте есть баги, из-за которых данные обрабатываются не "по бумаге".

Я уже не говорю про то, что трафик бегает по сотням промежуточных узлов (те же Wi-Fi роутеры), на которых достаточно успешно осуществляется перехват данных.

7
Ответить

В целом, так ("видимость безопасности") можно сказать про большинство областей человеческой деятельности. Нет ответственности, нет мер по безопасности. Ввели ответственность - начнется движение по принятию мер (реальный или видимых - это уже другой вопрос).

3
Ответить

Кто-нибудь, пожалуйста, расшифруйте статью. Ничего не понял. За что, кого и как могут наказать?

«вас наняли, чтобы заниматься, например, SMM и Client Relationship Management, «гнать трафик» на сайт нанимателя, то беспокоиться нужно — есть высокая доля вероятности, что вы будете признаны процессором данных (data processor), со всеми вытекающими обязанностями и последствиями, минимизировать которые поможет подготовка необходимых документов»

Особенно про это

1
Ответить

По GDPR есть несколько категорий лиц, работающих с данными, как-то: субъект данных (тот, чьи данные обрабатываются), контролер (тот, кто определяет как и зачем обрабатывать) и процессор (тот, кто обрабатывает).

Как правило, если компания не нанимает по гражданско-правовому договору подрядчика (это может быть как специалист по маркетингу, так и аналитики различного толка) для работы с данными, то контролер и процессор совпадают в одном лице.

Если функции контролера и процессора фактически выполняет работник компании (есть трудовой договор), то контролером и процессором будет признана все равно компания-наниматель, а не работник. Но если этот специалист "работает" не по трудовому договору, а как ИП или фрилансер, то тогда такой человек рассматривается как самостоятельный процессор данных. Следовательно, он должен позаботиться, чтобы были приняты технические (железо и софт) и организационные (договор на обработку данных с "нанимателем" и т.п.) меры, т.к. такой подрядчик становится самостоятельным субъектом ответственности по GDPR, наряду с "нанимателем".

Что касается решения Европейского суда, то его можно перефразировать так: не важно, что Facebook самостоятельно контролирует свою платформу и обрабатывает кукис, мы все равно считаем, что компании, которые ведут там свои страницы тоже должны быть признаны контролерами данных наравне с Facebook; как следствие, ответственность вы будете нести вместе за любой ущерб (он может выражаться как в утечке данных, так и в необеспечении их безопасности, даже когда ничего не утекло, но еврорегулятор пришел к вам с проверкой).

2
Ответить

и какие документы нужны?

Ответить

Высокая доля вероятности, что..
Бесят все законы и юристы консультанты! Как так можно писать законы, что там нет точного ответа на каждую ситуацию, и начинАется.. Закон есть, но как его трактовать высокая/низкая вероятность поступить неправильно и влететь на бабки!
И юристы при этом никакого доверия не вызывают, так как у каждого свое мнение.

1
Ответить

Я вас понимаю, самого порой раздражают юристы (полагаю, больше вашего). Универсальных рекомендаций нет ни у одного юриста. Представьте себе ситуацию, когда доктор, в ответ на ваши жалобы, каждый раз говорит "приложите подорожник, болька пройдёт"

3
Ответить