Право Klim Stashevsky
1 529

Звонить будут не только Цукербергу: за использование данных пользователей без их ведома ответят администраторы страниц

Появился кейс по толкованию законодательства о защите данных от Европейского суда. 5 июня Высшая судебная инстанция ЕС признала администраторов корпоративных страниц Facebook контролером данных.

В закладки

Рассказывает партнер, руководитель практики Startups & VC юридической фирмы Arzinger & Partners Клим Сташевский.

Предыстория

Судебная канитель в истории "Wirtschaftsakademie Schleswig-Holstein" (WSH) закрутилась ещё семь лет назад на севере Германии. Тогда местные власти попросили WSH удалить их страницу в Facebook. Мол, не уведомили вы посетителей, что собираете и обрабатываете их данные с помощью cookies. Тогда компания оспорила это предписание. И началось: сначала Федеральный суд Германии, теперь — Европейский суд.

Чего так долго тянули

Можно сказать, ждали решения наднационального органа. Это чисто юридический нюанс. До вступления в силу регламента GDPR в Европе действовала Директива о защите данных 95/46 (именно ее положение толковал Европейский суд в новом решении). При этом регламент страны ЕС могут применять напрямую, а директиву — мало того, что нужно было «внедрить» в национальное законодательство, так ещё и (при желании) добавить к нему свои, страновые особенности, свои оговорки.

Словом, появился GDPR, и правила по защите данных стали общими для всех в ЕС, без оглядки на то, как трактовали Директиву в разных странах до того. Появилась однозначность.

Что сказал Европейский суд

  1. Назвал корпоративную страницу WSH «фанатской страницей».
  2. Признал WSH контролером данных со всеми вытекающими.

То есть всё то, что относится к Facebook как к социальной сети, сервису, который получает и обрабатывает данные, теперь точно относится и к владельцам корпоративных страниц.

Кто такой контролер данных

Контролер — это лицо, которое определяет цели (зачем) и способы (как) обработки персональных данных. Контролер обязан не только обеспечить соответствие принципам защиты данных, но также и обеспечить внедрение необходимых технических (на уровне ПО и железа) и организационных (на уровне privacy policy, других документов и уровней доступа) мер, обеспечивающих соответствие принципам и положениям законодательства о защите персональных данных.

В том случае, когда контролеров данных несколько, то каждый из них несет ответственность перед субъектом данных (пользователем) в полном размере ущерба, а субъекты данных могут инициировать защиту своих интересов (то есть подать в суд) в отношении каждого из соконтролеров. Каждый контролер должен уведомить власти об утечке персональных данных в течение 72 часов с момента, как об этом стало известно.

Я маркетолог и веду корпоративную страницу в Facebook, что мне делать?

Если вы работаете по трудовому договору, то повода для личного беспокойства нет (контролером с высокой долей вероятности будет признана компания, а не вы), но за компанию волноваться нужно — покажите эту статью своему нанимателю и посоветуйте привлечь юристов и инженеров для аудита на соответствие требованиям GDPR.

Если же вы подрядчик (индивидуальный предприниматель, фрилансер, компания) и вас наняли, чтобы заниматься, например, SMM и Client Relationship Management, «гнать трафик» на сайт нанимателя, то беспокоиться нужно — есть высокая доля вероятности, что вы будете признаны процессором данных (data processor), со всеми вытекающими обязанностями и последствиями, минимизировать которые поможет подготовка необходимых документов.

#право #маркетинг #gdpr

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Klim Stashevsky", "author_type": "self", "tags": ["\u043f\u0440\u0430\u0432\u043e","\u043c\u0430\u0440\u043a\u0435\u0442\u0438\u043d\u0433","gdpr"], "comments": 20, "likes": 19, "favorites": 1, "is_advertisement": false, "subsite_label": "legal", "id": 39480, "is_wide": false, "is_ugc": true, "date": "Wed, 06 Jun 2018 12:47:30 +0300" }
{ "id": 39480, "author_id": 176652, "diff_limit": 1000, "urls": {"diff":"\/comments\/39480\/get","add":"\/comments\/39480\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/39480"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199120, "possessions": [] }

20 комментариев 20 комм.

Популярные

По порядку

Написать комментарий...
6

Какие же странные все эти законы о защите данных. На законодательном уровне создаётся видимость безопасности, которой в интернете никогда не было и не будет.

Владельцы многих интернет-проектов и не подозревают, что:
1) их сервер уже взломан и является частью ботнета;
2) кто-то из сотрудников сливает инфу вручную;
3) на проекте есть баги, из-за которых данные обрабатываются не "по бумаге".

Я уже не говорю про то, что трафик бегает по сотням промежуточных узлов (те же Wi-Fi роутеры), на которых достаточно успешно осуществляется перехват данных.

Ответить
3

В целом, так ("видимость безопасности") можно сказать про большинство областей человеческой деятельности. Нет ответственности, нет мер по безопасности. Ввели ответственность - начнется движение по принятию мер (реальный или видимых - это уже другой вопрос).

Ответить
2

Пока что началось лишь движение судебных исков.

Реальные меры по обеспечению безопасности могут позволить себе только структуры с огромными бюджетами (банки, например). Да и там безопасность скорее направлена на защиту бизнеса, а не на пользователей.

А вообще, я бы сравнивал интернет с дикими джунглями. Разве можно на законодательном уровне обеспечить безопасность человека в диких джунглях? Конечно, нет. Вместо этого из года в год людям дают рекомендации о том, как вести себя в джунглях, чтобы остаться живым, обучают, предлагают за деньги опытных проводников.

Было бы глупо требовать от стран, на территории которых находятся джунгли, обеспечить отсутствие ядовитых насекомых, опасных змей, пауков и проч. Лезешь в джунгли без подготовки – будь готов к последствиям.

Ответить
2

Кстати, был как-то на встрече с одним банком, который заинтересовался на приведение технической стороны в соответствие с GDPR, по итогу банк принял решение отказаться открывать (и позакрывал текущие) счета резидентам ЕС (их было не много, и затраты на техническую модернизацию были больше в разы).

Ответить
2

Не удивительно. Это ещё раз доказывает, что банк умеет считать, и для него важнее безопасность самого бизнеса, нежели безопасность горстки пользователей.

Ответить
1

Кто-нибудь, пожалуйста, расшифруйте статью. Ничего не понял. За что, кого и как могут наказать?

«вас наняли, чтобы заниматься, например, SMM и Client Relationship Management, «гнать трафик» на сайт нанимателя, то беспокоиться нужно — есть высокая доля вероятности, что вы будете признаны процессором данных (data processor), со всеми вытекающими обязанностями и последствиями, минимизировать которые поможет подготовка необходимых документов»

Особенно про это

Ответить
2

По GDPR есть несколько категорий лиц, работающих с данными, как-то: субъект данных (тот, чьи данные обрабатываются), контролер (тот, кто определяет как и зачем обрабатывать) и процессор (тот, кто обрабатывает).

Как правило, если компания не нанимает по гражданско-правовому договору подрядчика (это может быть как специалист по маркетингу, так и аналитики различного толка) для работы с данными, то контролер и процессор совпадают в одном лице.

Если функции контролера и процессора фактически выполняет работник компании (есть трудовой договор), то контролером и процессором будет признана все равно компания-наниматель, а не работник. Но если этот специалист "работает" не по трудовому договору, а как ИП или фрилансер, то тогда такой человек рассматривается как самостоятельный процессор данных. Следовательно, он должен позаботиться, чтобы были приняты технические (железо и софт) и организационные (договор на обработку данных с "нанимателем" и т.п.) меры, т.к. такой подрядчик становится самостоятельным субъектом ответственности по GDPR, наряду с "нанимателем".

Что касается решения Европейского суда, то его можно перефразировать так: не важно, что Facebook самостоятельно контролирует свою платформу и обрабатывает кукис, мы все равно считаем, что компании, которые ведут там свои страницы тоже должны быть признаны контролерами данных наравне с Facebook; как следствие, ответственность вы будете нести вместе за любой ущерб (он может выражаться как в утечке данных, так и в необеспечении их безопасности, даже когда ничего не утекло, но еврорегулятор пришел к вам с проверкой).

Ответить
–1

и какие документы нужны?

Ответить
0

для чего именно?

Ответить
–1

Вы писали же...

"Если же вы подрядчик (индивидуальный предприниматель, фрилансер, компания) и вас наняли, чтобы заниматься, например, SMM и Client Relationship Management, «гнать трафик» на сайт нанимателя, то беспокоиться нужно — есть высокая доля вероятности, что вы будете признаны процессором данных (data processor), со всеми вытекающими обязанностями и последствиями, минимизировать которые поможет подготовка необходимых документов."

Ответить
2

соглашение об обработке данных + privacy policy

Ответить
–1

с каждым пользователем вступающим в сообщество?

Ответить
0

Какое сообщество?

Ответить
–1

"за использование данных пользователей без их ведома ответят администраторы страниц"

Администраторов каких страниц?

Ответить
0

Корпоративных страниц в FB и иных сетях

Ответить
–1

ну.

соглашение об обработке данных + privacy policy с каждым пользователем вступающим в корпоративные страницы нужно заключать?

Ответить
0

Высокая доля вероятности, что..
Бесят все законы и юристы консультанты! Как так можно писать законы, что там нет точного ответа на каждую ситуацию, и начинАется.. Закон есть, но как его трактовать высокая/низкая вероятность поступить неправильно и влететь на бабки!
И юристы при этом никакого доверия не вызывают, так как у каждого свое мнение.

Ответить
3

Я вас понимаю, самого порой раздражают юристы (полагаю, больше вашего). Универсальных рекомендаций нет ни у одного юриста. Представьте себе ситуацию, когда доктор, в ответ на ваши жалобы, каждый раз говорит "приложите подорожник, болька пройдёт"

Ответить
0

местные власти попросили WSH удалить их страницу в Facebook. Мол, не уведомили вы посетителей, что собираете и обрабатываете их данные с помощью cookies

Мне вот интересно, понимают ли вообще люди, которые выдвигают эти претензии, как это работает и что это такое? Если не ошибаюсь, администраторы сообществ не имеют вообще никакого отношения к записям cookie в браузере подписчиков. Соответственно, и обрабатывать их не могут.

Ответить
1

В комменте выше расписал про контролера и процессора. С позиции суда, важно тут не то, кто конкретно обрабатывает, а кто определяет цели и способы обработки. Суд решил, что администратор страницы это делает, следовательно, он - контролер данных наравне с Facebook и должен нести ответственность в случае сливов и т.п.

Ответить

0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Голосовой помощник выкупил
компанию-создателя
Подписаться на push-уведомления
{ "page_type": "default" }