Звонить будут не только Цукербергу: за использование данных пользователей без их ведома ответят администраторы страниц

cover.jpg

Появился кейс по толкованию законодательства о защите данных от Европейского суда. 5 июня Высшая судебная инстанция ЕС признала администраторов корпоративных страниц Facebook контролером данных.

Рассказывает партнер, руководитель практики Startups & VC юридической фирмы Arzinger & Partners Клим Сташевский.

Предыстория

Судебная канитель в истории «Wirtschaftsakademie Schleswig-Holstein» (WSH) закрутилась ещё семь лет назад на севере Германии. Тогда местные власти попросили WSH удалить их страницу в Facebook. Мол, не уведомили вы посетителей, что собираете и обрабатываете их данные с помощью cookies. Тогда компания оспорила это предписание. И началось: сначала Федеральный суд Германии, теперь — Европейский суд.

Чего так долго тянули

Можно сказать, ждали решения наднационального органа. Это чисто юридический нюанс. До вступления в силу регламента GDPR в Европе действовала Директива о защите данных 95/46 (именно ее положение толковал Европейский суд в новом решении). При этом регламент страны ЕС могут применять напрямую, а директиву — мало того, что нужно было «внедрить» в национальное законодательство, так ещё и (при желании) добавить к нему свои, страновые особенности, свои оговорки.

Словом, появился GDPR, и правила по защите данных стали общими для всех в ЕС, без оглядки на то, как трактовали Директиву в разных странах до того. Появилась однозначность.

Что сказал Европейский суд

  1. Назвал корпоративную страницу WSH «фанатской страницей».
  2. Признал WSH контролером данных со всеми вытекающими.

То есть всё то, что относится к Facebook как к социальной сети, сервису, который получает и обрабатывает данные, теперь точно относится и к владельцам корпоративных страниц.

Кто такой контролер данных

Контролер — это лицо, которое определяет цели (зачем) и способы (как) обработки персональных данных. Контролер обязан не только обеспечить соответствие принципам защиты данных, но также и обеспечить внедрение необходимых технических (на уровне ПО и железа) и организационных (на уровне privacy policy, других документов и уровней доступа) мер, обеспечивающих соответствие принципам и положениям законодательства о защите персональных данных.

В том случае, когда контролеров данных несколько, то каждый из них несет ответственность перед субъектом данных (пользователем) в полном размере ущерба, а субъекты данных могут инициировать защиту своих интересов (то есть подать в суд) в отношении каждого из соконтролеров. Каждый контролер должен уведомить власти об утечке персональных данных в течение 72 часов с момента, как об этом стало известно.

Я маркетолог и веду корпоративную страницу в Facebook, что мне делать?

Если вы работаете по трудовому договору, то повода для личного беспокойства нет (контролером с высокой долей вероятности будет признана компания, а не вы), но за компанию волноваться нужно — покажите эту статью своему нанимателю и посоветуйте привлечь юристов и инженеров для аудита на соответствие требованиям GDPR.

Если же вы подрядчик (индивидуальный предприниматель, фрилансер, компания) и вас наняли, чтобы заниматься, например, SMM и Client Relationship Management, «гнать трафик» на сайт нанимателя, то беспокоиться нужно — есть высокая доля вероятности, что вы будете признаны процессором данных (data processor), со всеми вытекающими обязанностями и последствиями, минимизировать которые поможет подготовка необходимых документов.

#право #маркетинг #gdpr

©  vc.ru