Nikita Zhurlov
Мне кажется, у ТикТок всё же получится оспорить штраф и Нидерланды будут менее тоталитарными :)
Роспотребнадзор даже специально памятку потребителям сделал на эту тему
Если есть возможность расторгнуть договор и отказаться от подписки, но продолжают списывать деньги - это незаконно. На самом деле, надо смотреть договор, чтобы сказать конкретно по Вашей ситуации.
То есть, сервис уже запущен? Клиники из кауих стран уже есть?
Не совсем так.
Максимум риска - это наложение штрафа (до 20 000 000 евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год), а также применение блокировок, эмбарго. Вопрос только в том, что такой практики ещё не было по отношении к проектам из других государств :)
Но могу сказать, что РФ не входит в перечень стран, обеспечивающих адекватную защиту персональных данных с точки зрения Европейской комиссии, поэтому контрагенты из ЕС должны самостоятельно проверять на соответствие продавца требованиям GDPR, когда делают у него заказ. И если происходит трансграничная передача для ЕС, то вся ответственность ляжет на этого контрагента, а потом будет как в случае с Mailchimp - "показательная порка".
Лучше смотреть риски в контексте именно Вашего продукта и сегмента рынка, чтобы не быть голословным. К примеру, если это b2b рынок, то можно подставить своего пользователя (клиента) из ЕС.
К тому же, если у продукт нацелен на аудиторию ЕС, то соответствие их нормам как минимум поднимет лояльность, так как отношение к персональным данным и законам более тщательное.
В целом, если правообладатель (продавец) сам находится в РФ, то достаточно соответствовать основным принципам GDPR и подстроить бизнес-процессы под него.
По правоприменению GDPR в отношении проектов из других стран, наверное вот самые известные:
1) AggregateIQ Data Services Ltd из Канады, в отношении которого в 2018 года надзорный орган Великобритании (ICO) выдавало предписания (ссылки ниже);
2) Mailchimp из США, в отношении которого по жалобе гражданина Германии надзорный орган начал проверку, что компания использовала этот онлайн-сервис, который не соответствует нормам GDPR. В результате, был суд и надзорный орган выдал настоятельную рекомендацию не пользоваться сервисом Mailchimp. Ссылка yf сайт Европейской комиссии по защите данных: https://edpb.europa.eu/news/national-news/2021/bavarian-dpa-baylda-calls-german-company-cease-use-mailchimp-tool_en
Максим, если компания нацелена на рынок ЕС и обрабатывает данные граждан стран ЕС, то да - GDPR в таком случае распространяется на эту компанию, то есть необходимо соответствовать требованиям.
Правильно, именно только законы и то как они применяются в реальности - дают возможность анализировать и понимать риски.
Но руководствоваться только практикой в РФ тоже нельзя:
В российском законодательстве есть много "спящих" норм, которые внесены и 5-7 лет их никто не использует, никто не применяет и вообще о них забыли, без них строится практика... А потом раз и какой-нибудь юрист найдёт эту норму, скажет о ней в суде. Суд примет решение, потом сделает обзор практики за период, это дойдет до Верховного Суда и он включит в свой обзор.
И теперь этим должны руководствоваться все. Так практика меняется вообще с ног голову, хотя нормы остались те же.
Согласен, вопрос интересный и его надо будет рассмотреть в среде персональных данных ЕС.
Хорошая идея, записал в планы и тему про правоприменение!
В дальнейшем будет ещё обзор по другим странам, куда войдут США, Канада, страны Латинской Америки и Азии.
Спасибо за фидбек! :)
На самом деле - всё верно, закопаться во всех правилах, законах и требованиях очень просто. И тогда никакого профита не будет.
Поэтому следует руководствоваться принципом разумной достаточности и закрывать те риски, которые наиболее вероятны. А не переводить деньги на юристов, пытаясь создать правовую крепость и залезть в неё :)
Всё верно! Если хоть кто-то в правоотношениях из ЕС - на него уже распространяется GDPR. Общий регламент прежде всего нацелен на защиту граждан стран ЕС, а национальные законы - на граждан своей страны и регулирует процессы внутри государства.
В практике как раз на маленькие компании чаще всего подают жалобы по национальным законам. К примеру, кто-то случайно переслал рабочее письмо с ПД третьему лицу или камера уличной кафешки чуть-чуть снимала улицу, а не только столики. В таком случае обычно бывает предупреждение или небольшой штраф.
Можно и по первому варианту. Главное, чтобы в РФ на сервере была база данных с наиболее актуальными и полными персональными данными.
Хороший вопрос. В указанном Вами случае надо более подробно смотреть на конкретный проект и продукт, чтобы не быть голословным. Это связано с тем, что кроме фото и номера могут автоматически собираться ещё данные и совокупность данных может позволять идентифицировать лицо.
Хочу отметить, что никто не запрещает хранить и обрабатывать данные на зарубежных серверах. Важно, чтобы на серверах в РФ в базах данных была самая актуальная полная информация. Это называется локализация ПД. А потом можно, чтобы они шли в любую страну, обеспечивающую на правовом и техническом уровне адекватную защиту ПД. Это уже трансграничная передача ПД, о чём надо уведомлять пользователей в документах. Обычно это делается так: ПД собираются сначала на сервер в РФ, а потом отправляются на зарубежный сервер, где обрабатываются и где сам продукт.
Если хотите, то можете написать мне в соцсетях, мы обсудим Ваши вопросы детальнее.
Спасибо, буду ждать :)
Давайте, тогда разберёмся с вопросом что такое вообще ПД.
Как с точки зрения российского законодательства, так и с точки зрения законодательства ЕС (GDPR, который Вы указали): персональные данные - это некая совокупность данных по которым можно идентифицировать человека, то есть точно сказать что Иванов Иван Иванович - это вот этот человек и никакой иной.
В деталях и процедурах между GDPR и 152-ФЗ уже будут различия, но понятие ПД примерно одинаковое.
Только по номеру телефона (то что Ваш пользователь вводит на 1 экране) - идентифицировать его нельзя, поэтому это не является ПД. Потом, когда на 2 экране к нему добавляются ещё данные, то номер телефона дополняет и предоставляет возможность полностью установить лицо, поэтому имеет ставить чек-бокс именно там.
По этому вопросу есть разъяснение РКН и соответственным образом сложившаяся практика:
"Согласно ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Осуществление же телефонного опроса без указания на фамилию, имя, отчество, дату рождения, адреса места жительства субъекта персональных данных и т.д., само по себе подразумевает анонимность данного мероприятия и не является обработкой персональных данных какого-либо конкретного субъекта персональных данных".
Так как Вы сделали ссылку на GDPR, видимо, Ваш проект имеет зарубежную аудиторию, возможно следующее будет полезно :) Периодически, я общаюсь с регуляторами GDPR - DPO (Data Protection Office) в разных странах, которые как раз являются надзором в области защиты ПД в ЕС, мы с ними поднимали вопросы по квалификации телефонов и электронных почты в качестве ПД. Как я и говорил, номера телефона в отрыве от остальных данных - не ПД, а вот электронная почта, где содержится фамилия - это уже ПД (к примеру i.ivаnоv@gmаil.cоm).
Если остались какие-нибудь вопросы - можете мне написать, я понимаю, что правовая сторона сферы довольно специфическая
На двух экранах не имеет смысла делать чек-бокс о согласии.
Достаточно установить отметку на 2 экране, где собираются сами персональные данные (до получения остальных данных - номер телефона не может относиться к ПД, так как только по нему нельзя идентифицировать лицо).
Не забудьте сделать надписи у чек-боксов линками на эти документы! :)
В большинстве случаев получается вернуть приложение в стор, если нет грубых нарушений. Но для этого надо чтобы апелляцию проводил вручную модератор и понимал сложившуюся ситуацию.
Самое сложное - это когда модератор вернул приложение, а алгоритм его опять автоматически удалил. И никто не может понять в чём же нарушение. Тогда приходится карайне скорпулёзно проводить ревью и искать к чему же придрался алгоритм стора :)
Борис, да, решения уже стали выносить, вот ссылка на первое решение, там в материалах дела есть сам акт. После такого дебюта блокировки, насколько мне известно - пошло много аналогичных заявлений правообладателей.
При создании и разработке нового продукта - главное не нарушать права третьих лиц и правообладателей, тогда рисков значительно меньше.
Хорошая статья и правильно подобрана судебная практика!
Только несколько неточностей:
1) Согласие на обработку персональных данных - это не сама политика. Это отдельный документ, который основан на политике по обработке ПД. То есть, оно должно быть конкретным, информированным, сознательным, и содержать что собирается и как используется, цель, кому передаются данные;
2) Чтобы выразить согласие - должен быть обязательный чекбокс с текстом о согласии и ссылкой на это согласие и политику. Просто всплывающее окно достаточно для куки как предупреждение. А если руководствоваться мировой практикой, то лучше ещё и предоставить возможность отключить куки и трекинг на своём сайте;
3) Пользовательское соглашение - это совсем иная отрасль. Это гражданско-правовое соглашение, которое определяет права, обязанности правообладателя и пользователя (посетителя сайта). Оно может дополнять какие-то положения политики по обработке ПД (если это предусмотрено), но не заменять, так как политика должна быть отдельно опубликована.
Андрей, спасибо за комментарий!
Статья о том, что когда развиваешь бизнес, то быстро забываешь о том, что пользователи и покупатели - люди. Они становятся метриками и письмами, записями, да чем угодно. Нашему мозгу проще повесить какой-нибудь "ярлык", поместить в собственную систему восприятия и продолжать вести дела. Это вполне нормальный процесс.
При этом, если вспомнить, что за "ярлыком" перед нами живой человек, а потом руководствоваться этим, то взаимодействие с ним будет плодотворнее.
Следующий звонок у неё будет среднему бизнесу)
Добрый день!
Если речь идёт сугубо про РФ, то Вы можете это прописать в тексте самого согласия на обработку персональных данных, что одна из целей сбора - получение информационных материалов. Но, в любом случае, у пользователя должна быть возможность отказаться от этой рассылки.
В ЕС и США так уже нельзя, должен быть отдельный чек-бокс и каждое письмо долдно предлагать отписаться.
Алексей, конечно, "галочка" - это не письменное согласие. Они решают разные вопросы.
Давайте, вместе почитаем законы, чтобы у нас сложилось общее понимание. Не против, надеюсь? Так как в комментариях, к сожалению, нельзя выделать текст, поэтому буду указывать только интересующие нас части норм.
Часть 1 статьи 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных” определяет форму согласия на сбор персональные данные:
"... Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом...".
Делаем вывод: не важна форма, а важна возможность подтвердить факт согласия.
Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных” говорит, что согласие в письменном виде требуется тогда, когда того требует ФЗ. К примеру, согласие в письменной форме требуется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических персональных данных, на трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных. При иных обстоятельствах согласие на обработку персональных данных может быть дано в любой форме.
По поводу "галочки" Роскомнадзор говорит вот здесь: https://rkn.gov.ru/news/rsoc/news51712.htm , а потом повторяет во всех своих разъяснениях (к примеру: https://35.rkn.gov.ru/news/news152844.htm или https://59.rkn.gov.ru/p6119/p15151/p20914/ ).
Теперь к вопросу про оценку, допустим, финансового положения. Как бы нам не хотелось, чтобы меня не оценивали по этому критерию, к сожалению, законного способа - нет. Также как и вообще, создание моего потребительского портрета, исходя из общедоступных данных, которые я опубликовал сам.
Всё очень просто - если я не хочу, чтобы кто-то смотрел и оценивал моё финансовое положение, то я не делаю эту информацию общедоступной. Законодатель не создаёт ограничения для использования общедоступной информации, кроме того, что это использование не должно нарушать законные права и интересы субъекта. Об этом, по сути, статья и написана...
А вот про избыточные данные, которые несовместимы с целью сбора - это, действительно, проблема. Причём, встречающаяся повсеместно. Недавно, кадастровые инженеры, вместе с письменным согласием на обработку ПД - запрашивали у меня СНИЛС. Зачем - так и не смогли ответить...
P.s. Если остались какие вопросы или сомнения - можете напрямую написать мне в соцсетях, а то могу здесь в комментариях не заметить.
Да, в статье, правда, много ссылок и цитат из законов...
Но вопрос крайне актуален и нельзя в нём быть голословным.
Согласитесь: утверждение, что Ваши данные из соцсетей могут быть использованы и это законно - требует как раз подтверждения буковой закона, а не только моими словами и ссылкой, где читатели сами будут искать подтверждение.
И спасибо за фидбэк, следующие статьи изложу более просто)
Использует, но не Яндекс.Метрику или GoogleAnalytics, а Спутник...
https://cnt.sputnik.ru/report/676303?daterange=2018121821-2018121912
Этот Спутник, мол, не собирает персонофицированную информацию и обезличивает вообще всё что только можно.
Как и обещал, вот статья про сервис для автоматической проверки проектов на нарушения: https://vc.ru/services/52525-ai-na-sluzhbe-gdpr
Где-то в предыдущей статье я писал, что штрафы по GDPR в размере 20 000 000 € или до 4 % от годового оборота компании - для граждан РФ не страшны. Надзорным органам ЕС со своим штрафом не дотянуться и не взыскать их, поскольку РФ не является участницей таких международных договоров с ЕС. А вот, если есть точка продаж или представительство в странах ЕС, то уже не получится прикрыться этим от санкций за правонарушения и может "прилететь" предупреждение, требование и штраф.
А вот что могут сделать: запретить доступ к сайту своим гражданам (есть такое постановление Европейского парламента о защите потребителей от 07 ноября 2017 года, позволяющее это делать национальным надзорным органам) и запретить въезд гражданину РФ в страну, где он нарушил законодательство.
Плюсом к тому, это большие репутационные риски и понижение лояльности европейской аудитории к продукту (сайту), что само по себе вредит бизнесу.
О, а тут ошибаетесь немного.
Я в следующей статье расскажу про один проект, который разработали надзорные органы ЕС. Который будет шерстить Интернет в поисках нарушений у продуктов.
Если у бизнеса нет покупателей и пользователей в Европе, а приложения нет в Google Play или App Store, то можно не соответствовать GDPR вообще)
А так, я бы сказал, что есть ещё месяц подготовиться к возможным санкциям от надзорных органов. Даже если бизнес ведётся из РФ.
Лера, можете написать мне в любых соцсетях (ссылки в профиле) или Телеграм https://t.me/nzhurlov