Ірина Лисенко, Юридичний радник ДП «ССМ» (Publicis One)

1. Листопад 2017, Київ
або
куди бігти українському digital-ринку?

2. СХВИЛЬОВАНІ ЄВРОПЕЙЦІ?
*За матеріалами Flash Eurobarometer 433 on ePrivacy, December 2016

3. … ЧИ ЗАНЕПОКОЄНІ УКРАЇНЦІ?
 General Data Protection Regulation (GDPR) vs. Draft Regulation on Privacy
and Electronic Communications (e-Privacy Regulation)
 Регламент, не директива
 Сакральна дата – 25 травня 2018
 Lex generalis / lex specialis
 Cфера дії
“This Regulation [e-Privacy Regulation] applies to:
(a) the provision of electronic communications services to end-users in the Union,
irrespective of whether a payment of the end-user is required;
(b) the use of such services;
(c) the protection of information related to the terminal equipment of end-users
located in the Union.”
(e-Privacy Regulation, Art. 3 (1))

4. 1. ЗМІСТ E-PRIVACY
REGULATION

5. 1.1. ELECTRONIC COMMUNICATIONS DATA
Контент
Контент, яким обмінюються
користувачі в процесі
отримання послуги
електронного зв’язку
Текст, голосові повідомлення,
відео, зображення, звук
Метадані
Дані, що обробляються у мережі з метою
передачі, розповсюдження чи обміну
контентом
Дані, що використовуються для обліку та
ідентифікації відправника та отримувача
електронного повідомлення
Дані про місцезнаходження пристрою,
отримані в ході надання послуги
електронного зв’язку
Дата, час, тривалість та тип комунікації

6. 1.1. ELECTRONIC COMMUNICATIONS DATA
За матеріалами https://inflowing.net/blog/gdpr-and-eprivacy-regulation/

7. 1.2. СOOKIES
 невеликий текстовий файл, що
зберігається на пристрої користувача
та надає можливість веб-сайту
«впізнати» цього користувача та
записати його вподобання
 First-party & third-party cookies
 Tracking & non-tracking (non-privacy
intrusive) cookies
 Персональні дані за GDPR

8. GDPR e-Privacy Regulation
Будь-який файл сookie або інший
унікальний ідентифікатор,
притаманний виключно даному
пристою і, як наслідок, здатний
ідентифікувати особу або
розглядати її як унікальну,
вважається персональними
даними
Файли cookie, що
розміщені/використовуються
сайтом, на якому знаходиться
користувач і не здійснюють збір
даних (first party non-tracking
cookies), не потребують згоди
особи на їх обробку
Згода особи відповідно до
критеріїв GDPR
Файли cookie, що здійснюють
збір даних про особу, та такі, що
розміщені сторонніми сайтами,
потребують згоди
1.2. СOOKIES

9. Відділена від
інших умов
Активна
opt-in
Окрема для
кожного типу
обробки
Поіменована
Докази
отримання
згоди
Анулювати
так само
легко, як і
надати
Проста і
зрозуміла
користувачу
“… any freely given, specific, informed and unambiguous indication of the
data subject's wishes by which he or she, by a statement or by a clear
affirmative action, signifies agreement to the processing of personal data
relating to him or her”
(GDPR, Art. 4 (11))
1.3. ЗГОДА ЗА
ЗРАЗКОМ GDPR

10. 1.4. ЗГОДА VS. ПОВІДОМЛЕННЯ - 1
Дія за e-Privacy
Regulation
Дія на практиці Вимога щодо згоди /
повідомлення
Посилання
на e-Privacy
Regulation
Використання
можливостей
обробки та
зберігання даних
термінального
(комунікаційного)
обладнання
(далі - ТО)
користувачів та
збір інформації з
ТО користувачів
Розміщення cookies/device fingerprinting
в маркетингових цілях (вивчення
поведінки, інтересів користувачів)
Попередня згода Ст. 8 (1) (b)
Збір пакетів даних, якими обмінюються
користувачі мессенджера, виключно з
метою надання послуги зв’язку
Згода не потрібна, оскільки
збір даних здійснюється
виключно з метою надання
послуги зв’язку
Ст. 8 (1) (a)
• Доступ до камери мобільного
телефону для завантаження фото
до соціальної мережі
• Збір даних із сенсорів для
підрахунку кроків або серцевого
ритму
• Запис даних про місцезнаходження
пристрою для гео-тегування або
використання навігатора
Згода не потрібна, оскільки
дані необхідні для надання
інформаційної послуги,
запитуваної користувачем
Ст. 8 (1) (с)
Розміщення cookies сайтом, щоб
отримати інформацію про його
користувачів (н-д, к-ть показів посту у
соціальній мережі) з метою
покращення чи перевірки коректності
роботи цього сайту
Згода не потрібна, оскільки
дані необхідні для
вимірювання веб-аудиторії
надавачем інформаційної
послуги, запитуваної
користувачем
Ст. 8 (1) (d)

11. 1.4. ЗГОДА VS. ПОВІДОМЛЕННЯ - 2
Дія за e-Privacy
Regulation
Дія на практиці Вимога щодо згоди /
повідомлення
Посилання
на e-Privacy
Regulation
Збір даних, що
надходять від
ТО, з метою
забезпечення
можливості його
підключення до
іншого пристрою
та/чи
мережевого
обладнання
Збір сигналів, що надходять з
мобільного телефона у публічному
місці (н-д, аеропорт), щоб надати
можливість користувачу під’єднатися
до точки доступу wi-fi
Згода/повідомлення не
потрібні, оскільки такий збір
необхідний для
встановлення з’єднання
Ст. 8 (2) (а)
Моніторинг даних місця знаходження,
отриманих від мобільних телефонів у
публічному місці з метою визначення
відвідуваності місця / трафіку
Зрозуміле та явно виражене
повідомлення
Ст. 8 (2) (b)
Поєднання даних про місце
знаходження, отриманих від
мобільного телефона, з профілем
користувача для надання
персоналізованої реклами
Зрозуміле та явно виражене
повідомлення
+ вимоги щодо
незатребуваних
повідомлень
Ст. 8 (2) (с)
Ст. 16

12.  E-mail та SMS
 режим ‘opt-in’
 виняток ‘soft opt-in’ для існуючих клієнтів (за умови просування
аналогічних продуктів/послуг та можливості ‘opt-out’ в кожному
листі)
 Прямі маркетингові дзвінки (voice-to-voice live calls)
 як ‘opt-in’, так і ‘opt-out’
 відображення номера телефону або спеціальний префікс/ код
 OTT-services (voice-over-IP, messaging apps)
 режим ‘opt-in’
 AdBlockers
 поза межами дії e-Privacy Regulation
1.4. UNSOLICITED COMMUNICATIONS

13. За матеріалами https://pagefair.com/blog/2017/gdpr_risk_to_the_duopoly/

14. 1.5. CATCH ME – IF YOU CAN
 Хто контролює? Букет із GDPR та European Electronic Communication
Code
 Наскільки боляче? 10 млн. євро чи 2% від щорічного обороту; 20 млн.
євро чи 4% від щорічного обороту – залежно від того, яка сума більша
 від щорічного обороту групи
 особливості – в національному законодавстві країн-учасниць
 З чиєї ініціативи? Будь-яка особа, яка зазнала негативного впливу та
має легітимний інтерес
 Право користувача на компенсацію
майнової та немайнової шкоди
 Тягар доказування – на відповідачеві

15. 2. IMPLICATIONS, АБО КУДИ
БІГТИ

16. 2.1. ШЛЯХИ ОТРИМАННЯ ЗГОДИ
I
agree!
Через
налаштування
браузера
Бізнес
самостійно
Через видавців,
власників веб-
сайту
Через ключових
гравців-
посередників, які
збирають згоди?
Рішення в
масштабах
галузі?
База згод на
блокчейні?

17.  Користувачі зможуть надати ‘opt-in’ згоду під час встановлення
браузера – окремо на кожному пристрої. Однак тільки за умови, що за
замовчуванням налаштування браузера – DNT /do not track/
 Програмне забезпечення, встановлене на ТО до травня 2018 року,
повинне забезпечити можливість блокувати cookies, розміщені
сторонніми сайтами, після свого наступного оновлення, але до серпня
2018 року
 Будь-яка маркетингова діяльність та/або діяльність зі збору даних про
користувачів/ їх пристрої в ЄС буде відслідковуватися
 Паралельно із визнанням «згоди-через-браузер», веб-сайти можуть
отримати окрему pop-up згоду
2.2. ОЧІКУВАНІ ЗМІНИ
ПОПЕРЕДНЯ АКТИВНА ЗГОДА КОРИСТУВАЧА –
МОДЕЛЬ ЗА ЗАМОВЧУВАННЯМ

18. 2.3. НАСКІЛЬКИ ЗАКОННИЙ ВАШ ІНТЕРЕС?
За матеріалами Copyright of Data Protection Network. 2017 ©

19. 2.4. ДОМАШНЯ РОБОТА
 Моніторимо зміни у законодавстві / очікуємо фінальний
варіант Регламенту
 Залякуємо Розповідаємо про очікувані зміни нашим
клієнтам, обговорюємо гарантії покриття потенційних
штрафів
 Погоджуємо нові жорсткі умови роботи з підрядниками
 Готуємося до нового суворішого режиму охорони і захисту
персональних даних
 …

20. ‘The future is literally in our hands
to mold as we like.
But we cannot wait until tomorrow.
Tomorrow is now’
(Eleanor Roosevelt)

21. Sincerely Yours,