Взаємозв’язок між РОДО та Законом про цифрові послуги

1. AUC та РОДО – стан відносин: «все складно». 

Протягом останніх місяців багато підприємств електронної комерції впроваджують у своїх організаціях регулювання ЄС – Закон про цифрові послуги (АМУ).  

Важливо пам’ятати, що AUC діє не у вакуумі. На додаток до нього, підприємці електронної комерції повинні пам’ятати про інші нормативні акти, яких вони повинні дотримуватися для того, щоб бути повністю комплаєнсними. Одним з них є саме RODO. Можна навіть наважитися стверджувати, що АМУ не буде належним чином впроваджена, якщо попередньо в організації не буде впроваджено РОДО.  

За своїм змістом Положення про АМУ вказує на те, як воно співвідноситься з РОДО. Загалом, на АМУ не впливають правила ЄС щодо захисту даних (тобто, в першу чергу, RODO). На цьому етапі юристи використовують вираз, що RODO є lex specialis для АМУ. Це означає, що положення RODO є специфічними для АМУ. Закон про цифрові послуги лише доповнює положення RODO.  

Нижче наведено кілька сфер, в яких варто пам’ятати про RODO при впровадженні АМУ в організації.  

2. RODO та dark patterns 

Одним із прикладів є заборона « dark patterns » – «оманливих інтерфейсів». Згідно зі статтею 25(1) AUC, провайдери онлайн-платформ не повинні розробляти, організовувати або експлуатувати свої онлайн-інтерфейси таким чином, щоб вводити в оману або маніпулювати отримувачами послуг чи іншим чином суттєво перешкоджати або обмежувати здатність отримувачів їхніх послуг приймати вільні та поінформовані рішення. Важливо, що цей регламент застосовується у випадках, коли положення RODO та Директиви про недобросовісну ринкову практику не можуть бути застосовані.  

Що це означає? Навіть якщо провайдер онлайн-платформи використовує «темні» схеми, спочатку необхідно встановити, чи не пов’язані вони зі збором або обробкою персональних даних і чи не спрямовані вони на споживачів. Якщо жодна з цих ситуацій не відповідає дійсності, то слід застосовувати положення AUC.  

Таким чином, РОДО залишається більш актуальним, ніж АUC, у боротьбі з «т dark patterns ». Важливо в цьому контексті звернути увагу, серед іншого, на Рекомендації Європейської ради із захисту даних 3/2022 (Guidelines 3/2022 on Deceptive design patterns in social media platform interfaces: How to recognize and avoid them, прийняті 14.2.2023 (версія 2.0)).  

3. РОДО та профілювання

Однією зі сфер, якій АМУ приділила особливу увагу, є питання показу реклами на основі профайлінгу з використанням персональних даних.  

Що таке профілювання? Відповідно до Закону «Про захист персональних даних», це будь-яка форма автоматизованої обробки персональних даних, яка передбачає використання персональних даних для оцінки певних особистих факторів фізичної особи, зокрема для аналізу або прогнозування аспектів, пов’язаних з діяльністю, економічним становищем, здоров’ям, особистими уподобаннями, інтересами, надійністю, поведінкою, місцезнаходженням або пересуванням цієї особи.  

Регламент AUC в першу чергу стосується профайлінгу у випадку провайдерів онлайн-платформ.  

По-перше, провайдери онлайн-платформ не можуть надавати отримувачам послуг рекламу на основі профілювання з використанням особливих категорій персональних даних. Що це за «особливі категорії даних», які також називають «чутливими даними»? RODO вказує, що це персональні дані, які розкривають расове або етнічне походження, політичні погляди, релігійні або філософські переконання, членство в профспілках та генетичні дані, біометричні дані з метою однозначної ідентифікації фізичної особи або дані, що стосуються здоров’я, статевого життя або сексуальної орієнтації особи.  

По-друге, провайдери онлайн-платформ не можуть розміщувати на своєму інтерфейсі рекламу на основі профілювання з використанням персональних даних (не лише чутливих даних!) отримувача послуги, якщо їм достовірно відомо, що отримувач послуги є неповнолітнім.  

По-третє, провайдери дуже великих онлайн-платформ і дуже великих пошукових систем, які використовують системи рекомендацій (більше за цим посиланням), повинні забезпечити принаймні одну опцію для кожної зі своїх систем рекомендацій, яка не ґрунтується на профілюванні.  

4. РОДО та захист неповнолітніх

Ще однією сферою діяльності АМУ, де знання RODO є необхідним для реалізації, є питання захисту неповнолітніх (з точки зору АМУ – осіб, які не досягли 18 років). Вище я згадував про заборону показувати неповнолітнім рекламу, що базується на профілюванні з використанням персональних даних. Нижче – ще одне зобов’язання.  

Постачальники онлайн-платформ, доступних для неповнолітніх, повинні вжити належних та пропорційних заходів для забезпечення високого рівня конфіденційності, безпеки та захисту неповнолітніх у послугах, які вони надають. Це схожий підхід до моделі конфіденційності за задумом та конфіденційності за замовчуванням, запровадженої в RODO. Іншими словами, при впровадженні відповідних заходів для забезпечення конфіденційності, безпеки та захисту неповнолітніх необхідно спиратися на acquis RODO в цьому відношенні, особливо в контексті статей 25 і 34 Регламенту. Важливо також використовувати настанови, розроблені як EROD (наприклад, 5/2020 про згоду відповідно до Регламенту 2016/679), так і наглядовими органами окремих держав-членів Європейського Союзу (наприклад, «Основи підходу до обробки даних, орієнтованого на інтереси дитини», розроблені Ірландською комісією із захисту даних).  

Підсумок 

Це лише кілька прикладів, які ілюструють, наскільки важливим є РОДО з точки зору AUC. Впровадження Закону про цифрові послуги в організації не буде повним, якщо заздалегідь не буде належним чином впроваджено RODO. Це означає, що кожному бізнесу електронної комерції вже зараз варто перевірити обґрунтованість своїх рішень щодо захисту даних.