Звонить будут не только Цукербергу: за использование данных пользователей без их ведома ответят администраторы страниц
Появился кейс по толкованию законодательства о защите данных от Европейского суда. 5 июня Высшая судебная инстанция ЕС признала администраторов корпоративных страниц Facebook контролером данных.
Рассказывает партнер, руководитель практики Startups & VC юридической фирмы Arzinger & Partners Клим Сташевский.
Предыстория
Судебная канитель в истории "Wirtschaftsakademie Schleswig-Holstein" (WSH) закрутилась ещё семь лет назад на севере Германии. Тогда местные власти попросили WSH удалить их страницу в Facebook. Мол, не уведомили вы посетителей, что собираете и обрабатываете их данные с помощью cookies. Тогда компания оспорила это предписание. И началось: сначала Федеральный суд Германии, теперь — Европейский суд.
Чего так долго тянули
Можно сказать, ждали решения наднационального органа. Это чисто юридический нюанс. До вступления в силу регламента GDPR в Европе действовала Директива о защите данных 95/46 (именно ее положение толковал Европейский суд в новом решении). При этом регламент страны ЕС могут применять напрямую, а директиву — мало того, что нужно было «внедрить» в национальное законодательство, так ещё и (при желании) добавить к нему свои, страновые особенности, свои оговорки.
Словом, появился GDPR, и правила по защите данных стали общими для всех в ЕС, без оглядки на то, как трактовали Директиву в разных странах до того. Появилась однозначность.
Что сказал Европейский суд
- Назвал корпоративную страницу WSH «фанатской страницей».
- Признал WSH контролером данных со всеми вытекающими.
То есть всё то, что относится к Facebook как к социальной сети, сервису, который получает и обрабатывает данные, теперь точно относится и к владельцам корпоративных страниц.
Кто такой контролер данных
Контролер — это лицо, которое определяет цели (зачем) и способы (как) обработки персональных данных. Контролер обязан не только обеспечить соответствие принципам защиты данных, но также и обеспечить внедрение необходимых технических (на уровне ПО и железа) и организационных (на уровне privacy policy, других документов и уровней доступа) мер, обеспечивающих соответствие принципам и положениям законодательства о защите персональных данных.
В том случае, когда контролеров данных несколько, то каждый из них несет ответственность перед субъектом данных (пользователем) в полном размере ущерба, а субъекты данных могут инициировать защиту своих интересов (то есть подать в суд) в отношении каждого из соконтролеров. Каждый контролер должен уведомить власти об утечке персональных данных в течение 72 часов с момента, как об этом стало известно.
Я маркетолог и веду корпоративную страницу в Facebook, что мне делать?
Если вы работаете по трудовому договору, то повода для личного беспокойства нет (контролером с высокой долей вероятности будет признана компания, а не вы), но за компанию волноваться нужно — покажите эту статью своему нанимателю и посоветуйте привлечь юристов и инженеров для аудита на соответствие требованиям GDPR.
Если же вы подрядчик (индивидуальный предприниматель, фрилансер, компания) и вас наняли, чтобы заниматься, например, SMM и Client Relationship Management, «гнать трафик» на сайт нанимателя, то беспокоиться нужно — есть высокая доля вероятности, что вы будете признаны процессором данных (data processor), со всеми вытекающими обязанностями и последствиями, минимизировать которые поможет подготовка необходимых документов.
Какие же странные все эти законы о защите данных. На законодательном уровне создаётся видимость безопасности, которой в интернете никогда не было и не будет.
Владельцы многих интернет-проектов и не подозревают, что:
1) их сервер уже взломан и является частью ботнета;
2) кто-то из сотрудников сливает инфу вручную;
3) на проекте есть баги, из-за которых данные обрабатываются не "по бумаге".
Я уже не говорю про то, что трафик бегает по сотням промежуточных узлов (те же Wi-Fi роутеры), на которых достаточно успешно осуществляется перехват данных.
В целом, так ("видимость безопасности") можно сказать про большинство областей человеческой деятельности. Нет ответственности, нет мер по безопасности. Ввели ответственность - начнется движение по принятию мер (реальный или видимых - это уже другой вопрос).
Пока что началось лишь движение судебных исков.
Реальные меры по обеспечению безопасности могут позволить себе только структуры с огромными бюджетами (банки, например). Да и там безопасность скорее направлена на защиту бизнеса, а не на пользователей.
А вообще, я бы сравнивал интернет с дикими джунглями. Разве можно на законодательном уровне обеспечить безопасность человека в диких джунглях? Конечно, нет. Вместо этого из года в год людям дают рекомендации о том, как вести себя в джунглях, чтобы остаться живым, обучают, предлагают за деньги опытных проводников.
Было бы глупо требовать от стран, на территории которых находятся джунгли, обеспечить отсутствие ядовитых насекомых, опасных змей, пауков и проч. Лезешь в джунгли без подготовки – будь готов к последствиям.
Кстати, был как-то на встрече с одним банком, который заинтересовался на приведение технической стороны в соответствие с GDPR, по итогу банк принял решение отказаться открывать (и позакрывал текущие) счета резидентам ЕС (их было не много, и затраты на техническую модернизацию были больше в разы).
Не удивительно. Это ещё раз доказывает, что банк умеет считать, и для него важнее безопасность самого бизнеса, нежели безопасность горстки пользователей.
Кто-нибудь, пожалуйста, расшифруйте статью. Ничего не понял. За что, кого и как могут наказать?
«вас наняли, чтобы заниматься, например, SMM и Client Relationship Management, «гнать трафик» на сайт нанимателя, то беспокоиться нужно — есть высокая доля вероятности, что вы будете признаны процессором данных (data processor), со всеми вытекающими обязанностями и последствиями, минимизировать которые поможет подготовка необходимых документов»
Особенно про это
По GDPR есть несколько категорий лиц, работающих с данными, как-то: субъект данных (тот, чьи данные обрабатываются), контролер (тот, кто определяет как и зачем обрабатывать) и процессор (тот, кто обрабатывает).
Как правило, если компания не нанимает по гражданско-правовому договору подрядчика (это может быть как специалист по маркетингу, так и аналитики различного толка) для работы с данными, то контролер и процессор совпадают в одном лице.
Если функции контролера и процессора фактически выполняет работник компании (есть трудовой договор), то контролером и процессором будет признана все равно компания-наниматель, а не работник. Но если этот специалист "работает" не по трудовому договору, а как ИП или фрилансер, то тогда такой человек рассматривается как самостоятельный процессор данных. Следовательно, он должен позаботиться, чтобы были приняты технические (железо и софт) и организационные (договор на обработку данных с "нанимателем" и т.п.) меры, т.к. такой подрядчик становится самостоятельным субъектом ответственности по GDPR, наряду с "нанимателем".
Что касается решения Европейского суда, то его можно перефразировать так: не важно, что Facebook самостоятельно контролирует свою платформу и обрабатывает кукис, мы все равно считаем, что компании, которые ведут там свои страницы тоже должны быть признаны контролерами данных наравне с Facebook; как следствие, ответственность вы будете нести вместе за любой ущерб (он может выражаться как в утечке данных, так и в необеспечении их безопасности, даже когда ничего не утекло, но еврорегулятор пришел к вам с проверкой).
и какие документы нужны?
для чего именно?
Вы писали же...
"Если же вы подрядчик (индивидуальный предприниматель, фрилансер, компания) и вас наняли, чтобы заниматься, например, SMM и Client Relationship Management, «гнать трафик» на сайт нанимателя, то беспокоиться нужно — есть высокая доля вероятности, что вы будете признаны процессором данных (data processor), со всеми вытекающими обязанностями и последствиями, минимизировать которые поможет подготовка необходимых документов."
соглашение об обработке данных + privacy policy
с каждым пользователем вступающим в сообщество?
Какое сообщество?
"за использование данных пользователей без их ведома ответят администраторы страниц"
Администраторов каких страниц?
Корпоративных страниц в FB и иных сетях
ну.
соглашение об обработке данных + privacy policy с каждым пользователем вступающим в корпоративные страницы нужно заключать?
Высокая доля вероятности, что..
Бесят все законы и юристы консультанты! Как так можно писать законы, что там нет точного ответа на каждую ситуацию, и начинАется.. Закон есть, но как его трактовать высокая/низкая вероятность поступить неправильно и влететь на бабки!
И юристы при этом никакого доверия не вызывают, так как у каждого свое мнение.
Я вас понимаю, самого порой раздражают юристы (полагаю, больше вашего). Универсальных рекомендаций нет ни у одного юриста. Представьте себе ситуацию, когда доктор, в ответ на ваши жалобы, каждый раз говорит "приложите подорожник, болька пройдёт"
Мне вот интересно, понимают ли вообще люди, которые выдвигают эти претензии, как это работает и что это такое? Если не ошибаюсь, администраторы сообществ не имеют вообще никакого отношения к записям cookie в браузере подписчиков. Соответственно, и обрабатывать их не могут.
В комменте выше расписал про контролера и процессора. С позиции суда, важно тут не то, кто конкретно обрабатывает, а кто определяет цели и способы обработки. Суд решил, что администратор страницы это делает, следовательно, он - контролер данных наравне с Facebook и должен нести ответственность в случае сливов и т.п.
Комментарий удален модератором
Комментарий удален модератором