Офис ирландского Комиссара по защите данных (DPC) готовит постановление, в соответствии с которым Facebook будет предписано изменить способ информирования пользователей об обработке данных. Если документ будет принят, то Facebook вдобавок грозит штраф в размере от €28 до €36 млн.
Правозащитник Макс Шремс / Источник: wsj.com
Очередное расследование в отношении крупнейшей в мире соцсети связано с жалобой, которую в 2018 году подал австрийский юрист и специалист по вопросам конфиденциальности Макс Шремс (Max Schrems) — его некоммерческая организация NOYB опубликовала проект постановления. Представитель DPC отказался от комментариев, поскольку расследование всё ещё продолжается, хотя на прошлой неделе Офис разослал документ в регулирующие органы 26 стран Евросоюза. В течение месяца ведомства смогут дать ответ или выдвинуть возражения, после чего DPC примет окончательное решение.
В жалобе от 2018 года, поданной из-за предполагаемого нарушения Общего регламента защиты персональных данных (GDPR), говорится, что Facebook не получала согласия пользователей на свои методы обработки данных, в том числе на использование личной информации для показа рекламы — вместо этого сервис заставил их принять Условия предоставления сервиса как договор. Правозащитники утверждают, что компании должны лишиться возможности скрывать важную информацию об особенностях обработки данных, особенно в тех документах, которые большинство пользователей не читает внимательно.
Источник: wsj.com
Согласно требованиям GDPR, для обработки персональных данных компания должна либо получить на это явное согласие лица, либо обосновать, что такая обработка необходима для выполнения договора с этим лицом. В 2019 году Европейский совет по защите данных (EDPB), курирующий все профильные регулирующие органы в ЕС, постановил, что в общем случае обработку персональных данных для предоставления таргетированной рекламы нельзя обосновывать выполнением договора.
Однако DPC не согласился с доводами господина Шремса: «Контраргумент состоит в том, что такая реклама, являющаяся ядром бизнес-модели Facebook и ядром договора между Facebook и его пользователями, необходима для выполнения данного договора между Facebook и Истцом». Ведомство предложило потребовать от Facebook в течение трёх месяцев сделать свои условия более прозрачными, но, согласно проекту постановления, компании для этого потребуется больше времени.
За последний год европейские регуляторы лишь дважды не согласились с выводами ирландского коллеги: в декабре 2020 года по делу Twitter и в сентябре 2021 года по делу WhatsApp. В обоих случаях DPC воспользовался стандартной процедурой разрешения споров, продлив рассмотрение дел на несколько месяцев. По мнению экспертов, решение относительно Facebook также встретится с возражениями, поскольку оно касается принципиально важного вопроса о том, в какой именно форме пользователь должен давать согласие на обработку своих данных.
В соответствии с GDPR, ирландский регулятор является основным надзорным органом в области обработки данных крупными транснациональными корпорациями от имени граждан ЕС, поскольку их европейские штаб-квартиры находятся в Ирландии. Решения DPC вызывали недовольство других европейских регуляторов, которые настаивали на более высоких штрафах в отношении WhatsApp и Twitter.
Источник: 3DNews