Евросоюз оштрафовал Meta* на $5,9 млн. за нарушение правил Общего регламента ЕС по защите данных (
Общий регламент защиты персональных данных (GDPR) – постановление Европейского Союза, с помощью которого Европейский парламент, Совет Европейского Союза и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в Европейском Союзе (ЕС). Постановление также направлено на экспорт данных из ЕС.
Ключевые принципы GDPR:
-
Законность, справедливость и прозрачность — должны быть легальные основания в рамках GDPR для сбора и использования данных, ненарушение любых законов, открытость, честность от начала и до конца об использовании персональных данных;
-
Ограничение целью — обработка должна сводиться к тому, что было заявлено субъекту данных. Все конкретные задачи должны быть закреплены в политике конфиденциальности и должны чётко соблюдаться;
-
Минимизация данных — использование минимально необходимого объёма данных для выполнения поставленных целей;
-
Точность — персональные данные должны быть точными и не должны вводить в заблуждение; ошибочные данные подлежат корректировке;
-
Ограничение хранения данных — не хранить данные дольше, чем нужно, периодически проводить аудит данных и удалять неиспользуемые;
-
Целостность и конфиденциальность/безопасность — хранить данные в безопасном месте и уделять достаточное внимание сохранности данных;
-
Подотчётность — ответственность за обработку персональных данных и выполнение всех остальных принципов GDPR, включая записи о конфиденциальности, защите, использовании, проверке данных; назначении должностного лица по защите данных (англ. DPO, data protection officer).
Важным моментом является то, что GDPR применим и к тому, кто обрабатывает данные (процессор или обработчик), и к тому, кто собирает данные (контролёр). Контролёр определяет цель и значение обработки персональных данных, а процессор ответственен за непосредственную обработку данных, но оба несут ответственность за соблюдение норм GDPR.
» data-html=»true» data-original-title=»GDPR»>GDPR). Штраф связан со всплывающими сообщениями, которые преднамеренно показывались пользователям WhatsApp в последние несколько лет. Эти подсказки призывали людей принять новые Условия обслуживания Meta*, чтобы продолжить пользоваться WhatsApp.
Регламент GDPR должен был вступить в силу в 2018 году, и Meta* воспользовалась случаем, чтобы сообщить пользователям, что они должны сначала согласиться с правилами компании, если хотят использовать WhatsApp после введения GDPR.
Согласно заявлению
Ирландской комиссии по защите данных (DPC), где находится штаб-квартира Meta*, WhatsApp Ireland занял позицию, согласно которой «обработка данных пользователей в связи с предоставлением услуг была законной и необходимой для выполнения этого контракта, который включает предоставление улучшенного обслуживания и функций безопасности».
Однако, заявитель из Германии заявил, что согласие пользователя нужно для того, чтобы обеспечить законное основание для обработки Meta* данных пользователей». Другими словами, WhatsApp Ireland «заставляла» пользователей давать согласие на обработку персональных данных и тем самым нарушала GDPR. Также было установлено, что компания действовала «в нарушение своих обязательств в отношении прозрачности».
Наблюдательный орган также поручил WhatsApp привести свои операции по обработке данных в соответствие с требованиями в течение 6 месяцев. Представитель WhatsApp заявил, что намерен обжаловать это решение и твердо уверен, что способ работы мессенджера соответствует как техническим, так и юридическим требованиям.
Ранее Meta* уже был вынесен рекордный штраф в размере $725 млн. за предоставление третьим лицам доступа к личной информации пользователей Facebook*.
* Компания Meta и продукты компании (Instagram и Facebook) признаны экстремистскими организациями; их деятельность запрещена на территории РФ.