Блог

Персональные данные и право собственности

Защита персональных данных все больше занимает умы не только разработчиков и юристов, но и обычных пользователей.

Люди сталкиваются с разными ситуациями и вопрос защиты данных становится все более актуальным. Вот, например, одна из них:

«Я хотел бы знать, нарушаю ли я правила GDPR. Форум, которым я пользуюсь уже 10 лет, закрывается. Первоначальный владелец покидает сайт и удаляет его с платформы форума. К счастью, нам удалось сохранить его и найти время и ресурсы, чтобы начать переводить форум на совершенно новую платформу, на которой будут работать новые люди.
Мы сохраним оригинальное имя, оригинальное доменное имя, а первоначальный владелец сохранит право собственности на домен. Мы не переносим какой-либо старый контент на новую платформу, но я бы хотел перенести данные таблицы пользователя (имена пользователей, электронные письма и пароли), чтобы пользователям не приходилось создавать новые учетные записи.

Нынешний владелец не хочет передавать это мне из-за шума вокруг GDPR. Я считаю, что никакого нарушения не произошло, поскольку «собственность» остается прежней. Однако я хотел бы в этом убедиться»

Что делать?

Ответ не так прост.

Поскольку владелец сохраняет за собой право собственности на домен, который, является основным активом (поскольку доменное имя является также брендом), сама суть форума не меняется.

Это можно сравнить с проектом с открытым исходным кодом, который привлекает больше добровольцев, чтобы помочь в управлении службой, или одним бизнесом.

Однако может также иметь место тот факт, что новые операторы считаются отдельным юридическим лицом, предоставляющим услуги форума владельцу объекта (владельцу доменного имени). В этом случае новый объект будет обработчиком данных для владельца имени домена, который будет контроллером данных. Это представляет собой изменение в политике конфиденциальности, и требуется уведомление. Новому форуму также понадобится соглашение об обработке данных и все такое.

Еще одна точка зрения заключается в том, что право собственности меняется, потому что услуга считается «активом владения». Это будет означать, что доменное имя, являющееся брендом форума, в конечном итоге заменяется.  Уведомление должно быть дано, и в зависимости от того, что предписывает политика конфиденциальности, - вы можете или не можете передавать данные без возобновленного согласия.

GDPR предлагает мало решений в тех случаях, когда возможны множественные толкования. Учитывая все это, можно считать бренд главным активом и относиться к нему так, как будто в проекте набирается больше добровольцев (или фрилансеров), чтобы помочь им в управлении. Бренд по-прежнему принадлежит той же организации, и новые юридические лица не введены.

В терминах GDPR контроллер меняется, поэтому необходимо проинформировать пользователей об этом изменении. Если на форуме нет конфиденциальных данных (например, информации о здоровье), то, возможно, новому контроллеру не понадобится согласие пользователя на переключение контроля. Если есть, то технически потребуется явное согласие. Лучше всего информировать пользователей и дать им возможность отказаться, а также обновить уведомление о конфиденциальности.

Итак, контроллер данных меняется, и все пользователи должны быть уведомлены об этом изменении.  Причем, лучше сделать это заранее, чтобы дать людям время возразить. Также нужно будет внести изменения в уведомление о конфиденциальности на веб-сайте.

Читайте по теме:
Privacy Notice: как не испугать пользователя
Конфиденциальность и «удаленка». Что делать сотрудникам, которые отвечают за соответствие
Как создать Privacy Notice в соответствии с требованиями GDPR
Made on
Tilda