Независимый французский административный орган CNIL (Commission nationale de l’informatique et des libertés, Национальная комиссия по информатике и свободе личности) 26 января решением № 2016-007 официально уведомил американскую Facebook Inc. и её ирландскую «дочку», представляющую интересы компании в Европе, о недопустимости без предупреждения собирать персональные данные граждан. За «многочисленные нарушения», выявленные CNIL, Facebook может быть оштрафована, сообщил сайт CNIL на прошлой неделе.
Установлено, что Facebook способен отслеживать поведение пользователей без их ведома на сторонних сайтах – даже если они не имеют учетной записи в социальной сети Facebook. Если, например, кто-то, не будучи зарегистрированным пользователем Facebook, посещает открытую страницу на facebook.com (например, страницу публичного мероприятия), сайт оставляет файлы cookie на диске его компьютера, и в дальнейшем отслеживает посещение любых страниц, на которых есть кнопка «Like» для публикации материалов в социальной сети.
Facebook, таким образом, имеет собственную систему сбора статистики – потенциально небезопасный сервис, позволяющий установить личность человека, определить его привычки и овладеть глубоко личной информацией – такой, например, как геолокационные данные, социальные связи, сексуальная ориентация (подробнее о системах сбора веб-статистики см. здесь).
Собранные без ведома пользователя персональные данные Facebook продаёт рекламным онлайн-системам. Противостоять этому невозможно – во-первых, Facebook не сообщает пользователю о сборе персональных данных, во-вторых, защитного механизма, позволяющего блокировать «сервис», не существует.
CNIL утверждает, что в результате незаконного сбора данных, который практикует Facebook, пострадали 30 миллионов французов. В решении CNIL сказано, что собранные персональные данные отправлялись в США – вопреки законодательству ЕС.
Решение CNIL содержит юридические обоснования справедливости претензий к Facebook на территории Франции
[box]Факты, установленные CNIL
Компания собирает данные об интернет-активности пользователей, которые не имеют аккаунта на сайте facebook.com, на сторонних сайтах.
Некоторые личные данные пользователей Интернета Facebook и его партнёры, использующие собранные данные, отправляют в США в соответствии с соглашением о Safe Harbor (т.н. соглашение о «безопасной гавани», которое в ЕС признано незаконным – ред.).
Среди таких данных – сведения, относящиеся к сексуальной ориентации, религиозным взглядам и политическим настроениям владельцев аккаунтов. Периодически производился сбор информации, имеющей отношение к медицине, и предоставленной владельцами аккаунтов в качестве подтверждения идентификации (Facebook практикует это, если, например, имя пользователя совпадает с именем знаменитости, сказано в решении CNIL).
Кроме того, Facebook, не имея правовых оснований, осуществляет сбор большого количества данных о владельцах аккаунтов и их обработку с целью борьбы с мошенничеством и блокирования аккаунтов без разрешения CNIL.
Регистрационная форма на сайте Facebook не содержит информации об обработке персональных данных и о передаче их в США.
Facebook сохраняет все IP-адреса, используемые владельцами аккаунтов для авторизации.[/box]
В тексте решения CNIL указываются четыре нарушения законов Франции и ЕС. Каждое из них наказывается штрафом в размере до 150 тысяч евро, даже если это произошло по неосторожности.
[box]Требования CNILКомпании Facebook Inc., Калифорния (США) и компании FACEBOOK Ireland Limited выдаётся официальное уведомление о необходимости в течение трех месяцев выполнить следующие требования:
— прекратить сбор данных владельцев аккаунтов в рекламных целях без законного основания;
— прекратить обработку данных, не соответствующих, чрезмерных или неадекватных по отношению к поставленным целям, в частности, прекратить запрашивать медицинские данные зарегистрированных пользователей для подтверждения личности;
— получать явное согласие владельцев аккаунтов на сбор и обработку данных, касающихся их политических и религиозных взглядов, сексуальной ориентации, например, с помощью флажка на странице сбора информации;
— информировать владельцев аккаунтов в соответствии с законом Франции:
- в отношении обработки персональных данных, непосредственно в форме регистрации по центру страницы, где владельцы аккаунтов могут заполнить свой профиль; с учетом характера передаваемых данных за пределы ЕС, цели передачи, получателя указанных данных, и уровня защиты данных, предлагаемого третьими странами;
- о сборе данных с помощью cookie и кнопки «Like» от клиентов, не имеющих аккаунтов;
- информировать пользователей сети Интернет и получать их предварительное согласие на размещение cookie – предоставить предварительную информацию для пользователей Интернета следует в четкой и тщательной манере в виде баннера на сайте:
- о целях всех файлов cookie, требующих согласия;
- о том, что они имеют возможность изменить настройки cookie, нажав на ссылку в баннере. Этот баннер должен перенаправлять пользователя на страницу, которая предлагает адекватные решения при принятии или блокировании файлов cookie;
— прекратить сохранение личных данных по истечении времени, требуемого в целях, для которых эти данные были собраны и обработаны, в частности, удалить IP-адреса, используемые владельцами аккаунтов для подключения к своим аккаунтам, через шесть месяцев;
— принять все необходимые меры для обеспечения безопасности персональных данных владельцев аккаунтов, в частности, за счет увеличения сложности паролей учетных записей (пароли, состоящие как минимум из восьми символов с тремя различными типами знаков из следующих четырёх: цифры, прописные буквы, строчные буквы, специальные символы);
— завершить предварительные формальности, необходимые для обработки данных, и в особенности сделать запрос на авторизацию для обработки всех данных с целью предотвращения мошенничества и потенциального блокирования пользователей;
— не осуществлять передачу персональных данных в США на базе программы Safe Harbor;
— проинформировать CNIL, что все вышеуказанные требования были соблюдены, в предусмотренный срок (три месяца – ред.).
Если Facebook Inc. и FACEBOOK Ireland Limited выполнят требования данного официального уведомленияе в указанные сроки, разбирательство будет считаться закрытым, о чем они будут уведомлены в письменной форме.
Иначе CNIL инициирует применение санкций, предусмотренных французским законом.
[/box]
