Звонить будут не только Цукербергу: за использование данных пользователей без их ведома ответят администраторы страниц
Появился кейс по толкованию законодательства о защите данных от Европейского суда. 5 июня Высшая судебная инстанция ЕС признала администраторов корпоративных страниц Facebook контролером данных.
Рассказывает партнер, руководитель практики Startups & VC юридической фирмы Arzinger & Partners Клим Сташевский.
Предыстория
Судебная канитель в истории «Wirtschaftsakademie Schleswig-Holstein» (WSH) закрутилась ещё семь лет назад на севере Германии. Тогда местные власти попросили WSH удалить их страницу в Facebook. Мол, не уведомили вы посетителей, что собираете и обрабатываете их данные с помощью cookies. Тогда компания оспорила это предписание. И началось: сначала Федеральный суд Германии, теперь — Европейский суд.
Чего так долго тянули
Можно сказать, ждали решения наднационального органа. Это чисто юридический нюанс. До вступления в силу регламента GDPR в Европе действовала Директива о защите данных 95/46 (именно ее положение толковал Европейский суд в новом решении). При этом регламент страны ЕС могут применять напрямую, а директиву — мало того, что нужно было «внедрить» в национальное законодательство, так ещё и (при желании) добавить к нему свои, страновые особенности, свои оговорки.
Словом, появился GDPR, и правила по защите данных стали общими для всех в ЕС, без оглядки на то, как трактовали Директиву в разных странах до того. Появилась однозначность.
Что сказал Европейский суд
- Назвал корпоративную страницу WSH «фанатской страницей».
- Признал WSH контролером данных со всеми вытекающими.
То есть всё то, что относится к Facebook как к социальной сети, сервису, который получает и обрабатывает данные, теперь точно относится и к владельцам корпоративных страниц.
Кто такой контролер данных
Контролер — это лицо, которое определяет цели (зачем) и способы (как) обработки персональных данных. Контролер обязан не только обеспечить соответствие принципам защиты данных, но также и обеспечить внедрение необходимых технических (на уровне ПО и железа) и организационных (на уровне privacy policy, других документов и уровней доступа) мер, обеспечивающих соответствие принципам и положениям законодательства о защите персональных данных.
В том случае, когда контролеров данных несколько, то каждый из них несет ответственность перед субъектом данных (пользователем) в полном размере ущерба, а субъекты данных могут инициировать защиту своих интересов (то есть подать в суд) в отношении каждого из соконтролеров. Каждый контролер должен уведомить власти об утечке персональных данных в течение 72 часов с момента, как об этом стало известно.
Я маркетолог и веду корпоративную страницу в Facebook, что мне делать?
Если вы работаете по трудовому договору, то повода для личного беспокойства нет (контролером с высокой долей вероятности будет признана компания, а не вы), но за компанию волноваться нужно — покажите эту статью своему нанимателю и посоветуйте привлечь юристов и инженеров для аудита на соответствие требованиям GDPR.
Если же вы подрядчик (индивидуальный предприниматель, фрилансер, компания) и вас наняли, чтобы заниматься, например, SMM и Client Relationship Management, «гнать трафик» на сайт нанимателя, то беспокоиться нужно — есть высокая доля вероятности, что вы будете признаны процессором данных (data processor), со всеми вытекающими обязанностями и последствиями, минимизировать которые поможет подготовка необходимых документов.
#право #маркетинг #gdpr
© vc.ru