Как владельцам сайтов избежать штрафов по 152-ФЗ — Федеральному закону «О персональных данных»
15.04.2020
Проверка Роскомнадзора: тонкости прохождения проверки, о которых Вам не расскажет ни один контролирующий орган
08.09.2020
Показать все

Персональные данные из соцсетей, можно ли использовать в работе?


Социальные сети уже давно и прочно вошли в нашу повседневную жизнь. Тяжело представить себе человека, который не имеет профиля в Facebook, Instagram или Вконтакте, который ни разу не пользовался Авито или Авто.ру. Пользователи оставляют в социальных сетях свои персональные данные, часто даже не задумываясь об этом. ФИО, контактный номер телефона или почта почти всегда может быть найдена в личном профиле. Такие данные часто используются для спама, фишинга или для оценки платежеспособности при оформлении кредита. Более того есть достаточно много сервисов, которые позволяют работать с большим массивом информации и анализировать личные профили потенциальных клиентов в открытых источниках информации.

Персональные данные и общедоступные источники информации

Согласно определению, приводимому в ст.3 ФЗ-152 «О персональных данных» любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу считается персональными данными. Другими словами это ФИО, номер телефона, электронная почта, паспортные данные, фотография и т.д. Подробнее об определении «персональных данных» и документах по персональным данным.

Федеральный закон № 152 «О персональных данных» в достаточной мере не раскрывает понятие «общедоступные источники персональных данных», он лишь говорит, что к таковым могут причисляться справочники и адресные книги. В 149-ФЗ «Об информации, информационных технологиях и о защите информации» дается следующее определение:  «К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.» Поэтому мы будем отталкиваться от того, что если информация (в частности персональные данные) доступна всем желающим, то такой источник можно считать общедоступным.

Есть один очень важный нюанс, на который необходимо обратить внимание разбирая эту тему, персональные данные субъекта могут быть включены в общедоступный источник информации только с его письменного согласия. При этом персональные данные должны быть исключены из такого источника при первом же обращении субъекта ПД (Субъект персональных данных — это тот, чьи данные обрабатываются).

Вконтакте — персональные данные и пользовательское соглашение

Для всестороннего разбора ситуации необходимо обратится к пользовательскому соглашению, с которым Вы соглашаетесь регистрируя свой профиль в той или иной социальной сети. Для примера возьмем пользовательское соглашение Вконтакте. Как правило, такие соглашения имеют вид публичной оферты, т.е. предложения заключить договор на указанных в нем условиях с любым, кто отзовется. Не подписав такое соглашение, Вы просто не сможете пройти этап регистрации.

Согласно пункту 5.6. правил Пользователь соглашается на получение посредством сервисов Администрации Сайта и/или сервисов третьих лиц электронных сообщений, sms и иных видов рассылок информационного, в т.ч. рекламно-информационного, содержания, в том числе от партнеров Администрации сайта.

Т.е. потенциально, мы видим, что персональный данные из нашего профиля могут передаваться третьим лицам, а если уж быть реалистом, то передаются наверняка. Но передача происходит самим оператором персональных данных, в данном случае администрацией VK. Другими словами администрация соцсети сама решает кому она передает Ваши персональные данные и зачем. Следуя логике, персональные данные пользователей являются достаточно ценным активом, т.к. используя наши с вами ПД сама соцсеть таргетирует рекламу на своих пользователей, а размещение рекламы, как известно, платное. Также данные аккаунтов, могут передаваться или продаваться партнерам, которые в свою очередь, используя данные о Ваших увлечениях, уровне дохода, месту жительства и т.д. могут использовать их в маркетинге или оценки платежеспособности потенциального клиента.

Кстати, это закреплено в пункте 5.8. пользовательского соглашения. Согласно этому пункту Администрация сайта обрабатывает персональные данные в целях предоставления Пользователю доступа к использованию функционала Сайта, в том числе в целях получения Пользователем таргетированной рекламы; проверки, исследования и анализа таких данных.

Развивая мысль, имеет смысл заметить, что администрация соцсети заинтересована в сохранности персональных данных пользователей. Не потому что, кто-то заботится о Ваших персональных данных, скорее соцсети беспокоятся о своем доходе. Достаточно меркантильно, но тем не менее в данном случае интересы пользователей и представителей соцсетей совпадают. Лично мне, как пользователю Вконтакте, так гораздо спокойнее, больше тревоги у меня бы вызывал альтруистический подход.

При этом администрация VK предоставляет доступ к персональным данным Пользователей только тем работникам, подрядчикам и агентам, которым эта информация необходима для обеспечения функционирования сайта и предоставления пользователю доступа к его использованию. На самом деле соглашение составлено очень грамотно и учитывает все требования 152-ФЗ «О персональных данных».

Отдельным пунктом там прописано, что раскрытие предоставленной пользователем информации, в том числе персональных данных может быть произведено лишь в соответствии с действующим законодательством РФ по требованию суда, правоохранительных органов, а также иных предусмотренных законодательством РФ случаях. Эта фраза, в совокупности с текстом пункта 5.6. подразумевает, что Вашими персональными данными может пользоваться Администрация, ее партнеры ну и правоохранительные или исполнительные органы РФ в определенных случаях.

Что касается самих пользователей, то они сами настраивают условия доступа к своей персональной страничке и определяют какую информацию (в т.ч. персональные данные) и кому они хотят демонстрировать. Такой функционал действительно в данной соцсети имеется. Ну и конечно же пользователь должен осознавать, что размещая информацию на своей персональной странице, в том числе свои персональные данные, он соглашается с тем, что указанная информация может быть доступна другим пользователям сети Интернет.

Помимо всего прочего, п. 6.1. пользовательского соглашения сообщает нам о том, что «пользователь обязуется хранить в тайне и не предоставлять другим пользователям и третьим лицам ставшие ему известными в результате использования сайта персональные данные и информацию о частной жизни других пользователей без получения соответствующего предварительного разрешения последних.

Данный пункт очень Важен, прошу обратить на него особое внимание, т.к. говоря другими словами никто не может передавать или продавать Ваши персональные данные, размещенные в социальной сети, не получив от Вас на это письменного разрешения. Так же запрещается использовать автоматизированные скрипты (программы, боты, куллеры) для сбора информации из соцсети, без специального разрешения Администрации VK.  Ко всему прочему отдельным пунктом фигурирует запрет на незаконный сбор и обработку персональных данных пользователей соцсети (п. 6.3.11).

Уже на текущий момент становится понятно, что персональные данные очень ценный ресурс, но вернемся к самому соглашению, а конкретно п. 7.1.2. -7.1.4. Это один из самых важных моментов, т.к. дальнейшее повествование будет базироваться преимущественно на этих пунктах. Итак, согласно тексту соглашения никакой контент не может быть скопирован, переработан, распостранен, опубликован, скачан, передан, продан без предварительного разрешения правообладателя. Правообладатель в данном случае, это субъект персональных данных, он же пользователь, который данный контент создал. Ну и конечно же администрация соцсети, которой он передает неисключительное право использовать авторский контент согласно соглашению. Под контентом подразумевается любая информация размещенная на Вашей страничке. Использование контента допускается только в рамках предоставленного соцсетью функционала и только с целью личного некоммерческого использования.

Так можно использовать персональные данные из соцсетей или нет?

Для ответа на наш ключевой вопрос мы обратимся к примеру из реальной жизни, а именно случаю использования финансовой организацией данных полученных из социальных сетей (Вконтакте, Facebook, Instagram, Одноклассники)  и интернет порталов (Авито, Авто.ру) для оценки существующих и потенциальных клиентов. При сборе этой информации использовались IT-решения:
1. Программный продукт, который находит и собирает сотни дополнительных скоринговых факторов из социальных сетей и других открытых интернет-источников для 60% заемщиков и их окружения;
2. Решение позволяющее найти: аккаунты заемщика в социальных сетях, телефонные номера, e-mail, места работы и должности, данные об образовании, личные фото, семейный статус, наличие детей и множество другой информации;
Как и в большинстве случаев все началось с проверки Роскомнадзора, в результате которой регулятор выписал предписание об устранении нарушений финансовой организации. Все дело строилось вокруг двух моментов:
1. В уведомлении направляемом регулятору не упоминались персональные данные из открытых источников информации, собираемые финансовой организацией при помощи вышеописанных IT-решений (КОАП 19.7)
2. Отсутствовало согласие на обработку персональных данных от существующих и потенциальных клиентов, чьи профили обрабатывались (нарушение п.1 ч.1 ст.6 ФЗ-152 «О персональных данных»)

Проверяемая организация посчитала требования не законными и нарушающими ее права с сфере предпринимательской деятельности и обратилась в Арбитражный суд города Москвы (Дело № А40-5250/17-144-51). Но суд принял позицию РКН, говоря о персональных данных, сделанных субъектом персональных данных общедоступными, необходимы два условия:

1. персональные данные доступны неопределенному кругу лиц

2. персональные данные предоставлены непосредственно самим субъектом

Дело прошло несколько судебных инстанция и в итоге по этому вопросу появилось определение Верховного суда № 305-КГ17-21291, в котором Верховный суд пришел к выводу:

«Обрабатываемые персональные данные, содержащиеся в открытых источниках (социальных сетях: Вконтакте, Facebook, Instagram, Одноклассники, МойМир и т.д.) не являются общедоступными», т.к. согласно требованию п.1 ч.1 ст.6 ФЗ-152 «О персональных данных» согласия субъектов ПД на обработку их персональных данных получено не было.

Самое важное в одном абзаце

Согласно определению Верховного суда, а также содержанию пунктов договора оферты заключаемого с пользователем соцсети мы с уверенностью можем сказать, что без согласия физического лица, т.е. субъекта ПД обрабатывать его персональные данные НЕЛЬЗЯ. Но при этом в личных целях их использование допускается.

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *