Klim Stashevsky

Корпоративных страниц в FB и иных сетях

Какое сообщество?

соглашение об обработке данных + privacy policy

В комменте выше расписал про контролера и процессора. С позиции суда, важно тут не то, кто конкретно обрабатывает, а кто определяет цели и способы обработки. Суд решил, что администратор страницы это делает, следовательно, он - контролер данных наравне с Facebook и должен нести ответственность в случае сливов и т.п.

По GDPR есть несколько категорий лиц, работающих с данными, как-то: субъект данных (тот, чьи данные обрабатываются), контролер (тот, кто определяет как и зачем обрабатывать) и процессор (тот, кто обрабатывает).

Как правило, если компания не нанимает по гражданско-правовому договору подрядчика (это может быть как специалист по маркетингу, так и аналитики различного толка) для работы с данными, то контролер и процессор совпадают в одном лице.

Если функции контролера и процессора фактически выполняет работник компании (есть трудовой договор), то контролером и процессором будет признана все равно компания-наниматель, а не работник. Но если этот специалист "работает" не по трудовому договору, а как ИП или фрилансер, то тогда такой человек рассматривается как самостоятельный процессор данных. Следовательно, он должен позаботиться, чтобы были приняты технические (железо и софт) и организационные (договор на обработку данных с "нанимателем" и т.п.) меры, т.к. такой подрядчик становится самостоятельным субъектом ответственности по GDPR, наряду с "нанимателем".

Что касается решения Европейского суда, то его можно перефразировать так: не важно, что Facebook самостоятельно контролирует свою платформу и обрабатывает кукис, мы все равно считаем, что компании, которые ведут там свои страницы тоже должны быть признаны контролерами данных наравне с Facebook; как следствие, ответственность вы будете нести вместе за любой ущерб (он может выражаться как в утечке данных, так и в необеспечении их безопасности, даже когда ничего не утекло, но еврорегулятор пришел к вам с проверкой).

для чего именно?

Я вас понимаю, самого порой раздражают юристы (полагаю, больше вашего). Универсальных рекомендаций нет ни у одного юриста. Представьте себе ситуацию, когда доктор, в ответ на ваши жалобы, каждый раз говорит "приложите подорожник, болька пройдёт"

Кстати, был как-то на встрече с одним банком, который заинтересовался на приведение технической стороны в соответствие с GDPR, по итогу банк принял решение отказаться открывать (и позакрывал текущие) счета резидентам ЕС (их было не много, и затраты на техническую модернизацию были больше в разы).

В целом, так ("видимость безопасности") можно сказать про большинство областей человеческой деятельности. Нет ответственности, нет мер по безопасности. Ввели ответственность - начнется движение по принятию мер (реальный или видимых - это уже другой вопрос).