На какие языки нужно переводить Privacy Policy, чтобы соблюсти GDPR: TikTok уже оштрафован

Про • Кейс • 5 мин
Что произошло?
Голландский орган по защите данных наложил штраф в размере 750 000 евро на TikTok Inc., штаб-квартира которой находится в Калифорнии. TikTok Inc. предоставил свою Политику конфиденциальности голландским пользователям, включая детей, только на английском языке, а не на голландском. Это было признано нарушением статьи 12(1) GDPR и принципа прозрачности обработки данных.

Старший юрист Versus.Legal Алина Давлетшина разобрала это решение (ссылка на сам текст).
На что ссылается регулятор?
По мнению голландского органа по защите данных, TikTok Inc. нарушила GDPR, не проинформировав детей доступным языком об обработке персональных данных.

Такое толкование ст. 12(1) было использовано впервые. Сам текст статьи не предписывает иметь переводы Политики на все основные языки, а только обязывает предоставить информацию в «прозрачной, понятной и легко доступной форме».

Регулятор истолковал эту норму так: контролер должен писать Политику конфиденциальности так, чтобы ее понял тот, кто ее читает. И если приложение используют дети, то и Политика должна быть понятна даже ребенку. Требование прозрачности требует, чтобы, когда контроллер обращается к субъектам данных, говорящим на другом языке, он обеспечивает перевод на этот язык этим субъектам данных. Это обязательство применяется, в частности, когда - как в данном случае - оно адресовано детям, чтобы они могли легко понять информацию. Таким образом, тот факт, что соцсеть используется детьми до 16 лет стало отягчающим обстоятельством.
Тот факт, что соцсеть используется детьми до 16 лет стало отягчающим обстоятельством.
Тот факт, что соцсеть используется детьми до 16 лет стало отягчающим обстоятельством.
Насколько опасен данный прецедент?
Кажется, что очень.

В своем решении голландский орган поясняет: если контроллер нацелен на субъектов данных, говорящих на разных языках, им должен быть предоставлен перевод Политики Конфиденциальности на этот язык.

Но очень многие приложения не таргетят конкретную страну, а распространяются глобально по всему миру. Многие из них даже не локализуются.

В то же время в Европейском союзе признаются официальными 24 языка, и, следуя логике регулятора, каждая компания, попадающая под действие GDPR, должна иметь переводы своей Политики Приватности на каждый из них. Конечно, это очень накладно, особенно для небольших компаний.

При чем перевод через Google Translate не подойдёт. Регулятор предписывает: контролер должен гарантировать, что все переводы точны и что фразеология и синтаксис имеют смысл, так что переведенный текст не нужно расшифровывать или повторно интерпретировать.

Штрафы по GDPR, как известно, достаточно высоки. Будем следить за развитием событий: возможно TikTok Inc. Решится оспорить такую интерпретацию и наложение штрафа в суде.