На какие языки нужно переводить Privacy Policy, чтобы соблюсти GDPR
TikTok уже оштрафован
TikTok Inc. предоставил свою Политику конфиденциальности голландским пользователям, включая детей, только на английском языке, а не на голландском.
Это было признано нарушением статьи 12(1) GDPR и принципа прозрачности обработки данных. Голландский орган по защите данных оштрафовал TikTok Inc. на 750 000 евро.
На что ссылается регулятор?
Такое толкование ст. 12(1) было использовано впервые. Сам текст статьи не предписывает иметь переводы Политики на все основные языки, а только обязывает предоставить информацию в «прозрачной, понятной и легко доступной форме». Требование прозрачности в том, что когда контроллер обращается к субъектам данных, говорящим на другом языке, он обеспечивает перевод на этот язык этим субъектам данных. Это обязательство применяется, в частности, когда - как в данном случае - оно адресовано детям, чтобы они могли легко понять информацию. Факт, что соцсеть используется детьми до 16 лет стало отягчающим обстоятельством.
Насколько опасен данный прецедент?
Кажется, что очень. В своем решении голландский орган поясняет: если контроллер нацелен на субъектов данных, говорящих на разных языках, им должен быть предоставлен перевод Политики Конфиденциальности на этот язык. Очень многие приложения не таргетят конкретную страну, а распространяются глобально по всему миру. Многие из них даже не локализуются. В Европейском союзе признаются официальными 24 языка, и, следуя логике регулятора, каждая компания, попадающая под действие GDPR, должна иметь переводы своей Политики Приватности на каждый из них. Это очень накладно, особенно для небольших компаний.
Перевод через Google Translate не подойдет, поскольку регулятор предписывает: контролер должен гарантировать, что все переводы точны и что фразеология и синтаксис имеют смысл, а переведенный текст не нужно расшифровывать или повторно интерпретировать.
Штрафы по GDPR, как известно, достаточно высоки. Будем следить за развитием событий: возможно TikTok Inc. решится оспорить такую интерпретацию и наложение штрафа в суде.
По теме обсуждения есть официальное разъяснение общеевропейского уровня в Руководстве по обеспечению прозрачности в соответствии с Регламентом 2016/679 (Guidelines on Transparency under Regulation 2016/679):
"A translation in one or more other languages should be provided where the controller targets data subjects speaking those languages" - "Перевод на один или несколько других языков должен быть осуществлен в случае, если контроллер [данных] обращается к субъектам данных, говорящим на этих языках" (п. 13 Руководства).
В примечании поясняется:
"For example, where the controller operates a website in the language in question and/or offers specific country options and/or facilitates the payment for goods or services in the currency of a particular member state then these may be indicative of a data controller targeting data subjects of a particular member state". - "Например, если контроллер поддерживает веб-сайт на соответствующем языке, и (или) предлагает особые условия для конкретной страны, и (или) делает доступной оплату товаров или услуг в валюте конкретного государства-участника [Европейского союза], то подобные действия могут свидетельствовать о том, что контроллер данных обращается к субъектам данных конкретного государства-участника.".
В 2019 году уже был случай, когда национальный регулятор усмотрел нарушение Регламента в отсутствии переводов. В качестве обоснования в решении по делу было приведено как раз процитированное выше указание из Руководства по обеспечению прозрачности.
Спасибо за информацию! Мы не встречали этой информации ранее, учтем!
Ну и поделом им в этом Тик-Токе. Нидерландский такой же уважаемый язык как и прочие в Европе :)
Ну так если ты не можешь документ в переводчике прогнать, то наверное не так уж и нужен тебе этот рынок
Комментарий недоступен
Ну чё? ВанГогонет?