Взаимосвязь между RODO и Законом о цифровых услугах

1. AUC и RODO — статус отношений: «это сложно». 

В последние месяцы многие предприятия электронной коммерции внедряют в своих организациях положения ЕС — Закон о цифровых услугах (AUC).  

Важно помнить, что AUC не действует в вакууме. В дополнение к нему предпринимателям электронной коммерции необходимо помнить о других нормативных актах, которые они должны соблюдать, чтобы полностью соответствовать требованиям. Одним из них как раз и является RODO. Можно даже рискнуть сказать, что AUC не будет реализован должным образом, если RODO не было внедрено в организации заранее.  

По своему содержанию Положение о КАС указывает, как оно соотносится с RODO. В целом, AUC не затрагивает регламент ЕС по защите данных (т. е. в первую очередь RODO). В этот момент юрист использует выражение, что RODO является lex specialis по отношению к AUC. Это означает, что положения RODO специфичны по отношению к положениям AUC. Закон о цифровых услугах лишь дополняет положения RODO.  

Ниже приведены несколько областей, в которых RODO следует иметь в виду при внедрении AUC в организации.  

2. RODO и темные шаблоны 

Одним из примеров является запрет темных шаблонов — «обманчивых интерфейсов». Согласно статье 25(1) КАС, провайдеры онлайн-платформ не должны разрабатывать, организовывать или эксплуатировать свои онлайн-интерфейсы таким образом, чтобы вводить в заблуждение или манипулировать получателями услуг или иным образом существенно препятствовать или ухудшать способность получателей услуг принимать свободные и обоснованные решения. Важно отметить, что данное положение применяется в тех случаях, когда положения RODO и Директивы о недобросовестной рыночной практике не применяются. Что это значит? Даже если поставщик онлайн-платформы использует темные шаблоны, сначала необходимо установить, не связаны ли они со сбором или обработкой персональных данных и не направлены ли они на потребителей. Если нет ни того, ни другого, то необходимо использовать регламент AUC.  

Таким образом, RODO остается более актуальным, чем AUC, при борьбе с темными схемами. В этом контексте важно обратить внимание, в частности, на Руководство 3/2022 Европейского совета по защите данных (Guidelines 3/2022 on Deceptive design patterns in social media platform interfaces: How to recognise and avoid them, принятое 14.2.2023 (версия 2.0)).  

3. RODO и профилирование 

Одной из областей, которой AUC уделяет особое внимание, является вопрос представления рекламы на основе профилирования персональных данных.  

Что такое профилирование? Согласно RODO, это любая форма автоматизированной обработки персональных данных, которая предполагает использование персональных данных для оценки определенных личных факторов человека, в частности, для анализа или прогнозирования аспектов, связанных с его деятельностью, экономическим положением, здоровьем, личными предпочтениями, интересами, надежностью, поведением, местоположением или перемещениями.  

Постановление AUC в первую очередь касается профилирования в отношении провайдеров онлайн-платформ.  

Во-первых, поставщики онлайн-платформ не могут предоставлять получателям услуг рекламу, основанную на профилировании, используя специальные категории персональных данных.  

Что это за «специальные категории данных», которые также называют «чувствительными данными»? RODO указывает, что это персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзе, а также генетические данные, биометрические данные для целей однозначной идентификации физического лица или данные, касающиеся здоровья, сексуальности или сексуальной ориентации человека.  

Во-вторых, поставщики онлайн-платформ не могут размещать на своем интерфейсе рекламу, основанную на профилировании, используя персональные данные (не только конфиденциальные!) получателя услуг, если им с достаточной степенью уверенности известно, что получатель услуг является несовершеннолетним.  

В-третьих, поставщики очень крупных онлайн-платформ и очень крупных поисковых систем, использующих рекомендательные системы (подробнее по ссылке), должны предоставить как минимум одну опцию для каждой из своих рекомендательных систем, не основанную на профилировании.  

4. RODO и защита несовершеннолетних 

Еще одна область DSA, в которой знание RODO необходимо для реализации, — это вопрос защиты несовершеннолетних (с точки зрения DSA — лиц моложе 18 лет). Выше я упоминал о запрете на представление несовершеннолетним рекламы, основанной на профилировании, с использованием персональных данных. Ниже приводится еще одно обязательство.  

Поставщики онлайн-платформ, доступных для несовершеннолетних, должны принять соответствующие и соразмерные меры для обеспечения высокого уровня конфиденциальности, безопасности и защиты несовершеннолетних в рамках предоставляемых ими услуг. Этот подход схож с моделью «конфиденциальность по замыслу» и «конфиденциальность по умолчанию», представленной в RODO. Другими словами, при принятии соответствующих мер по обеспечению конфиденциальности, безопасности и защиты несовершеннолетних необходимо опираться на положения RODO в этой области, особенно в контексте статей 25 и 34 Регламента. Также важно использовать руководство, разработанное как ЕРОД (например, 5/2020 о согласии в соответствии с Регламентом 2016/679), так и надзорными органами отдельных государств-членов Европейского союза (например, «Основы подхода к обработке данных, ориентированного на детей», разработанного Ирландской комиссией по защите данных).  

 Резюме 

Это лишь несколько примеров, иллюстрирующих, насколько важен RODO с точки зрения AUC. Внедрение Закона о цифровых услугах в организации будет неполным, если заранее не внедрить RODO. Это означает, что каждому предприятию электронной коммерции уже сейчас стоит проверить правильность своих решений по защите данных. 

ПОДПИШИСЬ НА