Сегодня 01 марта 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → gdpr
Быстрый переход

Meta✴ обвинили в незаконном массовом сборе персональных данных европейских пользователей

Европейская организация потребителей (BEUC), объединяющая 45 региональных учреждений, сообщила, что восемь из них подали жалобы на компанию Meta в национальные органы по защите данных.

 Источник изображения: NoName_13 / pixabay.com

Источник изображения: NoName_13 / pixabay.com

Meta, по версии правозащитников, собирает излишне большие массивы данных о своих пользователях, включая информацию о сексуальной ориентации, эмоциональном состоянии и даже предрасположенности к зависимостям — и потребители не могут дать согласие на сбор таких данных. Своими действиями компания, возможно, нарушает действующий в Европе Общий регламент по защите данных (GDPR) — основной документ, регламентирующий механизмы сбора и обработки личной информации граждан в регионе.

В самой Meta обвинения решительно отвергают. «Мы очень серьёзно относимся к своим нормативным обязательствам и уверены, что наш подход отвечает GDPR. С 2019 года мы пересмотрели политику конфиденциальности в Meta. Мы отвечаем за конфиденциальность людей перед регулирующими органами, должностными лицами и экспертами. Мы сотрудничаем с ними, чтобы гарантировать, что наш сервис соответствует передовым практикам и отвечает высоким стандартам защиты данных», — заявил представитель компании.

В мае прошлого года европейские власти оштрафовали Meta на €1,2 млрд за нарушение GDPR, выраженное в передаче персональных данных пользователей Facebook на серверы в США — пока это самое крупное наказание за нарушение закона, действующего в регионе с 2018 года. В октябре компании предписали в явном виде запрашивать у пользователей согласие на обработку личной информации для показа им целевой рекламы. Несколько дней спустя компания ввела для европейских пользователей подписку по цене от €9,99 в месяц за использование Facebook и Instagram без рекламы. С завтрашнего дня подписка станет дороже в зависимости от числа учётных записей.

Meta утверждает, что так она обеспечивает соблюдение GDPR. Но в BEUC считают, что это предложение — «несправедливый и вводящий в заблуждение выбор», поскольку применяемые компанией механизмы обработки данных непрозрачны. Более того, доминирование Meta на рынке соцсетей означает, что пользователи не могут свободно отказаться от использования её платформ, не отрезав себя от семьи и друзей.

Германия обязала Google дать пользователям больше контроля над собираемыми личными данными

После выдвинутых ещё в январе антимонопольным органом Германии возражений по поводу условий обработки персональных данных, Google согласилась предоставить пользователям расширенный выбор того, как разрешать компании использовать их личную информацию, сообщило Федеральное антикартельное управление (FCO) Германии. Теперь Google должна получить разрешение пользователя на объединение персональных данных из разных источников и на их перекрёстное использование.

 Источник изображений: Pixabay

Источник изображений: Pixabay

Заявление FCO подтверждает, что Google будет вынуждена отказаться от нарушающего конфиденциальность пользователей решения от января 2012 года, консолидирующего более 60 отдельных уведомлений о конфиденциальности для своих продуктов в единую всеобъемлющую политику. Тогда Google утверждала, что принудительное преобразование нескольких политик конфиденциальности и объединение информации о пользователях приведёт к «более простому и интуитивно понятному интерфейсу Google». На самом деле, этот шаг позволил компании собрать гораздо больше личных данных, расширив возможности по профилированию пользователей и улучшив качество таргетинга рекламы.

«В будущем Google придётся предоставить своим пользователям возможность давать бесплатное, конкретное, информированное и недвусмысленное согласие на обработку их данных всеми сервисами. Для этой цели Google должна предложить соответствующие варианты выбора для комбинации данных», — заявили в FCO, добавив, что дизайн новых «диалогов выбора» не должен быть направлен на манипулирование пользователями.

FCO изучала практики использования персональных данных компанией Google с мая 2021 года. Расследование активизировалось в 2022 году после того, как ведомство подтвердило, что к Google могут быть применены обновлённые правила внутренней конкуренции, направленные против технологических гигантов. Регулятор заявил, что Google «имеет первостепенное значение для конкуренции на разных рынках», в соответствии с немецким законом о борьбе с ограничением конкуренции.

Предварительный вердикт FCO по условиям использования данных Google заключался в том, что пользователям «не было предоставлено достаточного выбора относительно того, согласны ли они и в какой степени на эту далеко идущую обработку своих данных в разных сервисах» — при этом варианты, предоставленные Google, были найдены недостаточно прозрачными и «слишком общими».

По мнению регулятора, Google может «ставить использование сервисов в зависимость от согласия пользователей на обработку своих данных, не предоставляя им достаточного выбора». FCO также опасается, что Google может получить стратегическое преимущество перед конкурентами, которые не обладают столь же широкими возможностями объединения персональных данных.

Недавно вступил в силу «Закон ЕС о цифровых рынках» (DMA), который на общеевропейском уровне предусматривает эквивалентные немецкому законодательству ограничения на объединение пользовательских данных без согласия пользователя. В соответствии с новым законом, Google, наряду с другими технологическими гигантами, была признана посредником (привратником), после включения Google Maps, Google Play, Google Shopping, Google Ads Services, Google Chrome, Google Android, Google Search и YouTube в список так называемых «основных сервисов платформы». Для компаний-привратников установлен шестимесячный срок для приведения их деятельности в соответствие с DMA, что означает, что серьёзные операционные изменения со стороны таких компаний, как Google, скорее всего, не начнутся до марта 2024 года.

Немецкий регулятор сообщил, что, в связи с вступлением в силу европейского DMA, обязательства Google перед FCO будут применяться только к продуктам, на которые не распространяется действие DMA, то есть они охватят более 25 других сервисов Google, включая Gmail, Новости Google, Assistant, Контакты и Google TV.

На вопрос журналистов, как будет выглядеть «свободное, конкретное, информированное и недвусмысленное согласие» представитель FCO сообщил, что «следующим шагом со стороны Google будет представление плана реализации [новых требований] в течение следующих трёх месяцев».

Некоторые предположения можно сделать уже сейчас, опираясь на ход судебного процесса, возбуждённого FCO против Meta — в июне ведомство объявило, что Meta запустит новый центр учётных записей, который предоставит пользователям большую степень выбора в отношении объединения их персональных данных. Нужно заметить, что не все пользователи рады таким жёстким ограничениям со стороны регулирующих органов, так как перекрёстное профилирование давало им возможность «бесшовной» публикации в других сервисах Meta и их устраивало, что Meta объединяла их данные для таргетинга рекламы.

В рамках общего регламента по защите данных (GDPR), Meta на сегодняшний день не имеет правовой основы для обработки данных своих пользователей для таргетирования рекламы. Сначала компания собиралась получать согласие пользователей из ЕС на обработку рекламы, однако последние сообщения в прессе говорят о том, что Meta решила выпустить свои продукты в ЕС по подписке, что выводит их из-под действия GDPR.

На X подали в суд за незаконный оборот личных данных миллионов людей бывшей «дочкой» Twitter

Компания X, до недавного времени называемая Twitter, столкнулась с коллективным иском в Нидерландах из-за действий своей бывшей дочерней компании MoPub, обвиняемой в «незаконном обороте» личных данных миллионов пользователей. Иск, поданный Нидерландским некоммерческим фондом защиты данных (SDBN), может привести к многомиллиардным штрафам для компании Илона Маска (Elon Musk).

 Источник изображения: TRESOR69 / Pixabay

Источник изображения: TRESOR69 / Pixabay

В период с октября 2013-го по декабрь 2021 года рекламная платформа MoPub, принадлежавшая компании, тогда ещё называвшейся Twitter, занималась незаконным сбором и обменом пользовательскими данными из более чем 30 000 бесплатных мобильных приложений. Данные собирались без согласия пользователей, что является грубым нарушением Общего регламента защиты данных (GDPR) Европейского Союза (ЕС).

Среди подобных приложений оказались популярные сервисы, такие как Wordfeud, Buienradar, Vinted, Shazam и Duolingo. Кроме того, в список попали фитнес-приложения, включая MyFitnessPal, программы для знакомств Grindr и Happn, детские игры вроде My Talking Tom и прочие продукты.

Инициатором судебного процесса выступает фонд SDBN, представляющий в Нидерландах интересы около 11 млн взрослых и 1 млн детей, данными которых оперировала компания. Судебный процесс финансируется лондонской частной инвестиционной группой Orchard Global Capital Group.

SDBN требует, чтобы компания X выплатила компенсации пострадавшим и удалила все незаконно собранные данные. Целью иска является не только компенсация ущерба, но и изменение подхода к работе с данными на уровне всей IT-индустрии, чтобы предотвратить подобные нарушения в будущем.

Судебный процесс был инициирован подачей искового заявления в суд Роттердама. Ожидается, что первое судебное решение по данному делу может быть принято не ранее 2026 года. Однако этот срок может сократиться, если X пойдёт на урегулирование спора. В противном случае может столкнуться с многомиллиардными штрафами. По мнению экспертов, каждый пострадавший пользователь может рассчитывать на компенсацию в размере от 250 до 500 евро.

Данная ситуация демонстрирует усиление юридического давления на техногигантов в ЕС, где стремятся обеспечить соблюдение норм GDPR. В Нидерландах недавно была введена новая система коллективных исков, что может привести к увеличению числа подобных дел.

Евросоюз принял третье соглашение с США о безопасном экспорте личных данных, но и его, возможно, придётся переделывать

Персональные данные европейцев теперь могут свободно и безопасно передаваться из ЕС в США без дополнительных условий или разрешений на основе механизма, который защищает людей и обеспечивает юридическую определённость компаниям. Платформа конфиденциальности данных (DPF) была анонсирована ещё в марте 2022 года, но потребовалось больше года, чтобы доработать её. Прежний механизм экспорта данных был признан судьями ЕС недействительным ещё три года назад.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Нынешнее решение — уже третье по счёту и пока неясно насколько прочным оно будет. Еврокомиссар Дидье Рейндерс (Didier Reynders) настроен оптимистично, утверждая, что структура — не просто копия более ранних механизмов передачи, а «совершенно другая система и очень надёжное решение». Обе предшествующие договорённости (известные как Safe Harbor и Privacy Shield) были отклонены высшим судом ЕС, когда выяснилось, что экспортируемые в США личные данные не были защищены в соответствии с требуемыми правовыми стандартами.

Участники кампании по защите конфиденциальности предупреждают, что новое соглашение также может оказаться несовершенным. Критики соглашения утверждают, что США не предприняли никаких шагов, чтобы обеспечить защиту информации иностранцев. По их мнению, DPF все ещё содержит тот же фундаментальный юридический конфликт между правами на неприкосновенность частной жизни в ЕС и полномочиями США по наблюдению, описанными в 702 статье Акта о негласном наблюдении в целях внешней разведки (FISA). Статья посвящена сбору персональной информации лиц, находящихся за пределами США.

 Источник изображения: pexels.com

Источник изображения: pexels.com

Рейндерс признал, что сегодняшний «зелёный свет» — это, по сути, одностороннее решение исполнительной власти ЕС, а впереди месяцы (или даже годы) обсуждения в суде ЕС и окончательный вердикт по DPF может быть вынесен лишь через несколько лет. Для справки: юридические вопросы по Privacy Shield были переданы в суд в мае 2018 года, а решение об отмене этого механизма появилось только в июле 2020 года.

«Говорят, определение безумия — это делать одно и то же снова и снова и ожидать другого результата. Как и в случае с Privacy Shield, последнее соглашение основано не на материальных изменениях, а на политических интересах, — заявил председатель группы по защите конфиденциальности Макс Шремс (Max Schrems). — FISA 702 должна быть продлена США в этом году, но, с объявлением о новом соглашении DPF, ЕС потерял всякую возможность повлиять на реформу FISA 702».

«Мы добились значительных изменений в правовой базе США, — возражает Рейндерс. — Требования необходимости и пропорциональности теперь обеспечиваются гарантиями США. При оценке возможности доступа к данным американских спецслужб будут учитываться те же факторы, что и требования прецедентного права ЕС. Они включают характер данных, серьёзность угрозы и вероятное воздействие на права человека. Каждое разведывательное агентство США пересмотрело свои внутренние правила и процедуры для реализации новых требований на оперативном уровне».

Что касается переработанного механизма возмещения ущерба, Рейндерс описал его как «независимый и беспристрастный трибунал, который уполномочен расследовать жалобы, поданные европейцами, и выносить обязательные решения по исправлению положения», также отметив, что этот орган имеет право потребовать удаления данных, собранных с нарушениями.

Он подчеркнул, что механизм «удобен для пользователя» — граждане ЕС могут подать жалобу бесплатно и на своём родном языке, через местный орган по защите данных. Заявителю не нужно будет доказывать, что к его данным обращались спецслужбы США. Интересы истца бесплатно представит специальный адвокат с допуском службы безопасности. Возмещение ущерба контролируется независимым органом — Советом по надзору за конфиденциальностью и гражданскими свободами.

Критики нового соглашения полагают, что весь этот многолетний процесс — просто способ для законодателей по обе стороны океана выиграть ещё несколько лет отсрочки. Хорошим примером может служить ситуация с компанией Meta, которая уже около десяти лет подвергается преследованию за передачу данных из ЕС в США. В мае от компании потребовали в течении шести месяцев приостановить передачу персональных данных. Но после принятия DPF она может просто игнорировать приказ о приостановке. Правда, $1,3 млрд ей выплатить всё же придётся.

Этот процесс, который правозащитники назвали «разочаровывающим юридическим пинг-понгом», показывает, насколько сложно гражданам ЕС осуществлять право на неприкосновенность частной жизни. Технологические гиганты могут попирать права людей, пока получают достаточно прибыли, чтобы списывать любые штрафы на расходы по ведению бизнеса.

Конечно, в соответствии с принятыми законами, компании должны будут продемонстрировать, что они полностью соблюдают GDPR (Общее положение о защите данных). И тут Meta придётся нелегко, поскольку регулирующие органы ЕС поставили под сомнение правовую основу, на которую Meta ссылается при обработке данных для таргетинга рекламы. Даже если гиганту рекламных технологий теперь не придётся отрезать все потоки данных между ЕС и США, некоторые жёсткие реформы в рекламном бизнесе в ЕС теперь выглядят для компании неизбежными.

Евросоюз усилит контроль за IT-гигантами в сфере конфиденциальности пользователей

Регулирующие органы стран ЕС должны будут продемонстрировать более решительные действия при нарушениях Закона о защите персональных данных (GDPR). Еврокомиссия отныне требует, чтобы страны ЕС делились обзорами «крупномасштабных» расследований дел по GDPR каждые два месяца. Они будут включать «ключевые процедурные шаги» и предпринятые действия — национальные регулирующие органы должны будут активнее реагировать при нарушениях GDPR крупными компаниями.

 Источник изображения: Pavlo Gonchar/SOPA Images/LightRocket via Getty Images

Источник изображения: Pavlo Gonchar/SOPA Images/LightRocket via Getty Images

Евросоюз стремится максимально жёстко реагировать на нарушения конфиденциальности со стороны технологических гигантов, но во многих случаях расследования по подобным делам затягиваются, а наказания оказываются предельно скромными. Но вскоре действия в этом направлении станут более решительными. Более жёсткий подход появился после того, как омбудсмен ЕС потребовал пристального внимания к делам, подпадающим под действие Ирландской комиссии по защите данных, которая регулирует деятельность Meta и других отраслевых гигантов. Он обвинил комиссию в том, что она слишком медлительна и снисходительна к нарушениям конфиденциальности. К примеру, несколько недель назад Европейскому совету по защите данных пришлось вынуждать комиссию увеличить штраф, наложенный на Meta за обработку персональных данных с 28 до 390 миллионов евро.

Как отмечает Bloomberg, Европейская комиссия и раньше каждые два года выпускала отчёты об общем состоянии соблюдения GDPR, но тщательные и частые проверки исполнения закона в отдельных странах не проводились. Новое требование теоретически привлечёт к ответственности все государства-члены ЕС, если они задержат расследование или не применят закон, когда это необходимо. Предусмотрены юридические последствия в Европейском суде.

Новые требования критикуются активистами за недостаточную прозрачность. Поскольку страны будут делиться своим прогрессом на «строго конфиденциальной основе», общественность не сможет узнать, правильно ли регулирующий орган рассматривает дело, пока ЕС не предпримет видимых ответных действий. Тем не менее, это может побудить Meta, Amazon, Google и других технологических тяжеловесов серьёзней относиться к европейским законам о конфиденциальности, так как они могут столкнуться с ускоренными расследованиями и весьма ощутимыми штрафами.

Ирландия оштрафовала WhatsApp на €5,5 миллиона за нарушение GDPR

Офис Уполномоченного по защите данных Ирландии (DPC) наложил на юрлицо WhatsApp Ireland штраф в размере €5,5 млн за нарушение действующего в ЕС Общего регламента защиты данных (GDPR) и предписало администрации мессенджера устранить это нарушение в течение шести месяцев.

 Источник изображения: Alexander Shatov / unsplash.com

Источник изображения: Alexander Shatov / unsplash.com

Ирландский офис DPC оказался главным регулирующим органом в Европе для американских техногигантов из-за того, что здесь действует самая низкая в регионе налоговая ставка в размере 12,5 %. Решение ведомства было вынесено по поданной ещё в 2018 году жалобе гражданина ФРГ — он был недоволен тем, что мессенджер фактически не дал ему возможности отказаться от обновлённых условий обслуживания до 25 мая 2018 года, когда вступал в силу GDPR.

WhatsApp демонстрировал пользователям обновлённый текст условий обслуживания, противоречивших GDPR, и предлагал либо принять их, либо прекратить пользоваться мессенджером. Штраф в размере €5,5 млн едва ли станет серьёзным обременением для владеющей мессенджером компании Meta, но он свидетельствует об активной европейской правоприменительной практике в данной области: недавно DPC оштрафовал компанию на €400 млн за нарушения GDPR, допущенные при сборе данных для целевой рекламы, и дал компании три месяца на устранение нарушений. Ведомство обвинило компанию в недостаточной прозрачности при разъяснении пользователям механизмов сбора персональных данных: общие сведения приводятся в политике с избыточными подробностями, а значимая для пользователей информация, напротив, преподносится в недопустимо сжатом виде.

Ирландия оштрафовала Meta✴ на $400 млн за таргетированную рекламу

Ирландская комиссия по защите данных (Data Protection Commission) оштрафовала компанию Meta в сумме на $400 млн за нарушения при сборе и обработке пользовательских данных для таргетированной рекламы. Об этом пишет The Verge. Регулятор считает, что компания принуждала пользователей согласиться с обработкой их личных данных в Instagram и Facebook.

 Источник: Pixabay

Источник изображения: Pixabay

Штрафы стали последствием двух жалоб, поданных в 2018 году. Компанию обвинили в несоблюдении европейского Регламента по защите данных (GDPR). Новый закон был принят в том же году, но несмотря на это Meta продолжила требовать от пользователей соглашаться на обработку данных в пользовательском соглашении. В жалобах было указано, что это равносильно принуждению к согласию на таргетированную рекламу.

Регулятор посчитал, что компания недостаточно чётко объяснила пользователям все условия. После консультации с Европейским советом по защите данных (European Data Protection Board) было решено, что такое согласие не может защитить подобные нарушения. Кроме наложенных штрафов, компанию обязали привести свои сервисы в соответствии с требованиями GDPR в течение трёх месяцев.

Meta планирует обжаловать вынесенное решение. Представители компании также заявили, что это никак не помешает сервисам показывать таргетированную рекламу. «Мы изучаем различные варианты того, как продолжить предлагать пользователям наш персонализированный сервис», — говорится в заявлении Meta.

Это не первый штраф для Meta за обработку персональных данных. В сентябре компанию оштрафовали на $402 млн за обработку сведений подростков, а в ноябре разработчика обязали выплатить $276 млн за утечку данных в 2021 году.

С 1 января Microsoft начнёт локализацию данных европейских клиентов

Microsoft заявила, что клиенты её облачных служб в Евросоюзе с января получат возможность хранить и обрабатывать часть своих данных на территории региона. Развёртывание «границы данных ЕС» будет производиться поэтапно и коснётся всех основных сервисов компании: Azure, Microsoft 365, Dynamics 365 и Power BI.

 Источник изображения: efes / pixabay.com

Источник изображения: efes / pixabay.com

Бесконтрольное движение данных через границу региона всё больше беспокоит крупные европейские компании — от них требуют соблюдения направленного на обеспечение конфиденциальности пользователей Общего регламента по защите данных (GDPR), который был принят в 2018 году. Еврокомиссия прорабатывает возможные сценарии реализации требований документа, а пока данные европейских пользователей продолжают передаваться в США.

Глава службы обеспечения конфиденциальности данных в Microsoft Джули Брилл (Julie Brill) отметила, что для достижения целей необходим поэтапный подход: на первом этапе будут локализованы данные клиентов; на втором, который завершится в конце 2023 года, — сервисные и регистрационные данные; а на третьем, уже в 2024 году, — вся остальная информация.

Сейчас у Microsoft более десятка европейских дата-центров. Они расположены в том числе в Германии, Испании, Франции и Швейцарии. Данные крупных компаний распределяются по ресурсам в нескольких странах, и не всегда есть возможность достоверно установить, где именно они локализованы, и не является ли это нарушением GDPR. Microsoft же относится к требованиям документа со всей серьёзностью: ранее компания выразила готовность выплачивать финансовые компенсации клиентам, чьи данные передаются в нарушение закона.

Евросоюз оштрафовал Meta✴ на €17 млн за нарушение правил защиты данных пользователей

Управление комиссара по защите данных в Ирландии оштрафовало компанию Meta Platforms (владеет Facebook, Instagram и WhatsApp) на €17 млн за нарушение общего регламента по защите данных (GDPR), который действует на территории Евросоюза. Такое решение было принято по результатам расследования на основе 12 уведомлений, поступивших в ведомство в период с июня по декабрь 2018 года.

 Источник изображения: Capri23auto / pixabay.com

Источник изображения: Capri23auto / pixabay.com

В ходе расследования регулятор установил, что Meta нарушила несколько статей GDPR, в том числе «не приняла соответствующих технических и организационных мер, позволяющих продемонстрировать меры безопасности, применяемые на практике для защиты данных пользователей ЕС». Решение о взыскании штрафа вызвало возражение некоторых других европейских надзорных органов, но в конечном счёте все нюансы удалось уладить. Отметим, что в настоящее время европейские надзорные органы проводят ещё несколько расследований, которые связаны с обработкой пользовательских данных сервисами, принадлежащими американской компании.

Представитель Meta, комментируя данный вопрос, отметил, что штраф касается практики, которая применялась компанией в 2018 году и с тех пор была существенно изменена. Речь не идёт о неспособности Meta обеспечить должный уровень защиты данных пользователей. Также было отмечено, что компания серьёзно относится к GDPR и прикладывает необходимые усилия для соответствия действующему в регионе законодательству.


window-new
Soft
Hard
Тренды 🔥
ИИ стал для Apple самым серьёзным вызовом, но для компании ещё не всё потеряно 2 ч.
Созданный «Сбером» российский аналог Github открылся для разработчиков 2 ч.
Редакторы «Википедии» признали издание Cnet ненадёжным, поскольку на нём есть статьи, написанные ИИ 3 ч.
Две инди-игры в Steam замаскировались под Helldivers 2, чтобы обмануть пользователей 3 ч.
СберТех открыл платформу GitVerse для совместной разработки и хостинга кода 4 ч.
Вышло функциональное обновление Windows 11 — улучшенный Copilot, виджеты, чистка фоток и другое 4 ч.
Разработчикам сюрреалистической игры о побеге от милиционера-великана пришлось умерить исполинские амбиции — новые подробности Militsioner 5 ч.
За пределы российского App Store ушло до 20 % платежей в мобильных играх 5 ч.
Объём мирового рынка облачных инфраструктур в 2023 году достиг $290 млрд 5 ч.
Alibaba значительно снизила цены на облачные услуги в Китае 5 ч.