Листопад 2017, Київ

або

куди бігти українському digital-ринку?

СХВИЛЬОВАНІ ЄВРОПЕЙЦІ?

*За матеріалами Flash Eurobarometer 433 on ePrivacy, December 2016

… ЧИ ЗАНЕПОКОЄНІ УКРАЇНЦІ?

General Data Protection Regulation (GDPR) vs. Draft Regulation on Privacy

and Electronic Communications (e-Privacy Regulation)

Регламент, не директива

Сакральна дата – 25 травня 2018

Lex generalis / lex specialis

Cфера дії

“This Regulation [e-Privacy Regulation] applies to:

(a) the provision of electronic communications services to end-users in the Union,

irrespective of whether a payment of the end-user is required;

(b) the use of such services;

(c) the protection of information related to the terminal equipment of end-users

located in the Union.”

(e-Privacy Regulation, Art. 3 (1))

1. ЗМІСТ E-PRIVACY

REGULATION

1.1. ELECTRONIC COMMUNICATIONS DATA

Контент

Контент, яким обмінюються користувачі в процесі

отримання послуги електронного зв’язку

Текст, голосові повідомлення, відео, зображення, звук

Метадані

Дані, що обробляються у мережі з метоюпередачі, розповсюдження чи обміну

контентом

Дані, що використовуються для обліку та ідентифікації відправника та отримувача

електронного повідомлення

Дані про місцезнаходження пристрою, отримані в ході надання послуги

електронного зв’язку

Дата, час, тривалість та тип комунікації

1.1. ELECTRONIC COMMUNICATIONS DATA

За матеріалами https://inflowing.net/blog/gdpr-and-eprivacy-regulation/

1.2. СOOKIES

невеликий текстовий файл, що

зберігається на пристрої користувача

та надає можливість веб-сайту

«впізнати» цього користувача та

записати його вподобання

First-party & third-party cookies

Tracking & non-tracking (non-privacy

intrusive) cookies

Персональні дані за GDPR

GDPR e-Privacy Regulation

Будь-який файл сookie або інший

унікальний ідентифікатор,

притаманний виключно даному

пристою і, як наслідок, здатний

ідентифікувати особу або

розглядати її як унікальну,

вважається персональними

даними

Файли cookie, що

розміщені/використовуються

сайтом, на якому знаходиться

користувач і не здійснюють збір

даних (first party non-tracking

cookies), не потребують згоди

особи на їх обробку

Згода особи відповідно до

критеріїв GDPR

Файли cookie, що здійснюють

збір даних про особу, та такі, що

розміщені сторонніми сайтами,

потребують згоди

1.2. СOOKIES

Відділена від інших умов

Активна

opt-in

Окрема для кожного типу

обробки

ПоіменованаДокази

отримання згоди

Анулювати так само

легко, як і надати

Проста і зрозуміла

користувачу

“… any freely given, specific, informed and unambiguous indication of the

data subject's wishes by which he or she, by a statement or by a clear

affirmative action, signifies agreement to the processing of personal data

relating to him or her”

(GDPR, Art. 4 (11))

1.3. ЗГОДА ЗА

ЗРАЗКОМ GDPR

1.4. ЗГОДА VS. ПОВІДОМЛЕННЯ - 1

Дія за e-Privacy

Regulation

Дія на практиці Вимога щодо згоди /

повідомлення

Посилання

на e-Privacy

Regulation

Використання

можливостей

обробки та

зберігання даних

термінального

(комунікаційного)

обладнання

(далі - ТО)

користувачів та

збір інформації з

ТО користувачів

Розміщення cookies/device fingerprinting

в маркетингових цілях (вивчення

поведінки, інтересів користувачів)

Попередня згода Ст. 8 (1) (b)

Збір пакетів даних, якими обмінюються

користувачі мессенджера, виключно з

метою надання послуги зв’язку

Згода не потрібна, оскільки

збір даних здійснюється

виключно з метою надання

послуги зв’язку

Ст. 8 (1) (a)

• Доступ до камери мобільного

телефону для завантаження фото

до соціальної мережі

• Збір даних із сенсорів для

підрахунку кроків або серцевого

ритму

• Запис даних про місцезнаходження

пристрою для гео-тегування або

використання навігатора

Згода не потрібна, оскільки

дані необхідні для надання

інформаційної послуги,

запитуваної користувачем

Ст. 8 (1) (с)

Розміщення cookies сайтом, щоб

отримати інформацію про його

користувачів (н-д, к-ть показів посту у

соціальній мережі) з метою

покращення чи перевірки коректності

роботи цього сайту

Згода не потрібна, оскільки

дані необхідні для

вимірювання веб-аудиторії

надавачем інформаційної

послуги, запитуваної

користувачем

Ст. 8 (1) (d)

1.4. ЗГОДА VS. ПОВІДОМЛЕННЯ - 2

Дія за e-Privacy

Regulation

Дія на практиці Вимога щодо згоди /

повідомлення

Посилання

на e-Privacy

Regulation

Збір даних, що

надходять від

ТО, з метою

забезпечення

можливості його

підключення до

іншого пристрою

та/чи

мережевого

обладнання

Збір сигналів, що надходять з

мобільного телефона у публічному

місці (н-д, аеропорт), щоб надати

можливість користувачу під’єднатися

до точки доступу wi-fi

Згода/повідомлення не

потрібні, оскільки такий збір

необхідний для

встановлення з’єднання

Ст. 8 (2) (а)

Моніторинг даних місця знаходження,

отриманих від мобільних телефонів у

публічному місці з метою визначення

відвідуваності місця / трафіку

Зрозуміле та явно виражене

повідомлення

Ст. 8 (2) (b)

Поєднання даних про місце

знаходження, отриманих від

мобільного телефона, з профілем

користувача для надання

персоналізованої реклами

Зрозуміле та явно виражене

повідомлення

+ вимоги щодо

незатребуваних

повідомлень

Ст. 8 (2) (с)

Ст. 16

E-mail та SMS

режим ‘opt-in’

виняток ‘soft opt-in’ для існуючих клієнтів (за умови просування

аналогічних продуктів/послуг та можливості ‘opt-out’ в кожному

листі)

Прямі маркетингові дзвінки (voice-to-voice live calls)

як ‘opt-in’, так і ‘opt-out’

відображення номера телефону або спеціальний префікс/ код

OTT-services (voice-over-IP, messaging apps)

режим ‘opt-in’

AdBlockers

поза межами дії e-Privacy Regulation

1.4. UNSOLICITED COMMUNICATIONS

За матеріалами https://pagefair.com/blog/2017/gdpr_risk_to_the_duopoly/

1.5. CATCH ME – IF YOU CAN

Хто контролює? Букет із GDPR та European Electronic Communication

Code

Наскільки боляче? 10 млн. євро чи 2% від щорічного обороту; 20 млн.

євро чи 4% від щорічного обороту – залежно від того, яка сума більша

від щорічного обороту групи

особливості – в національному законодавстві країн-учасниць

З чиєї ініціативи? Будь-яка особа, яка зазнала негативного впливу та

має легітимний інтерес

Право користувача на компенсацію

майнової та немайнової шкоди

Тягар доказування – на відповідачеві

2. IMPLICATIONS, АБО КУДИ

БІГТИ

2.1. ШЛЯХИ ОТРИМАННЯ ЗГОДИ

I

agree!

Через налаштування

браузера

Бізнессамостійно

Через видавців, власників веб-

сайту

Через ключових гравців-

посередників, які збирають згоди?

Рішення в масштабах

галузі?

База згод на блокчейні?

Користувачі зможуть надати ‘opt-in’ згоду під час встановлення

браузера – окремо на кожному пристрої. Однак тільки за умови, що за

замовчуванням налаштування браузера – DNT /do not track/

Програмне забезпечення, встановлене на ТО до травня 2018 року,

повинне забезпечити можливість блокувати cookies, розміщені

сторонніми сайтами, після свого наступного оновлення, але до серпня

2018 року

Будь-яка маркетингова діяльність та/або діяльність зі збору даних про

користувачів/ їх пристрої в ЄС буде відслідковуватися

Паралельно із визнанням «згоди-через-браузер», веб-сайти можуть

отримати окрему pop-up згоду

2.2. ОЧІКУВАНІ ЗМІНИ

ПОПЕРЕДНЯ АКТИВНА ЗГОДА КОРИСТУВАЧА –

МОДЕЛЬ ЗА ЗАМОВЧУВАННЯМ

2.3. НАСКІЛЬКИ ЗАКОННИЙ ВАШ ІНТЕРЕС?

За матеріалами Copyright of Data Protection Network. 2017 ©

2.4. ДОМАШНЯ РОБОТА

Моніторимо зміни у законодавстві / очікуємо фінальний

варіант Регламенту

Залякуємо Розповідаємо про очікувані зміни нашим

клієнтам, обговорюємо гарантії покриття потенційних

штрафів

Погоджуємо нові жорсткі умови роботи з підрядниками

Готуємося до нового суворішого режиму охорони і захисту

персональних даних

…

‘The future is literally in our hands

to mold as we like.

But we cannot wait until tomorrow.

Tomorrow is now’

(Eleanor Roosevelt)

Sincerely Yours,