20 декабря 2017 г.

О персональных данных на сайте интернет-магазина

Отвечал на вопросы газеты «Экономика и жизнь» https://www.eg-online.ru/article/362716/.
Ответы, как я понимаю, вместе с другими материалами на тему «Компания собирает персональные данные на своем сайте. Как все оформить, чтобы не получить штраф Роскомнадзора», доступны только подписчикам, и как обычно, при публикации СМИ, были несколько сокращены под формат издания.
По договоренности с редакцией, выкладываю полный вариант ответов на вопросы в своем блоге. Кому тема интересна – милости прошу ознакомиться.
1. Обязательно ли в документе, определяющем политику обработки персональных данных, а также в согласии на обработку персональных данных перечислять всех лиц, которым передаются персональные данные?
Пояснение: допустим, интернет-магазин передает персональные данные Google.Analytics, Яндекс.Метрика, подрядчику, который отправляет рассылки, подрядчику, который занимается разработкой сайта и т.д. Все эти третьи лица могут периодически меняться. Интернет-магазин запрашивает согласие на обработку персональных данных путем проставления галочки. Будет ли грозить штраф такому интернет-магазину, если в положении об обработке персональных данных, а также в полученных согласиях (путем проставления галочки на сайте) не будут указаны конкретные наименования третьих лиц, которым интернет-магазин передал? Если да, то какой? Как можно выйти из этой ситуации?
Ответ: Следует различать передачу персональных данных иным лицам с целью исполнения поручения оператора на обработку персональных данных (например, агентам, колл-центрам, осуществляющим обзвон клиентов, организации, которая осуществляет аутсорсинг кадрового или бухгалтерского учета и т.п.) и передачу таких данных без поручения их обработки (например, транспортной компании при покупке билета для работника или отелю для бронирования номера, страховой компании при страховании за счет работодателя, банку для начисления доходов работника на платежную карту, контрагентам для заключения и исполнения договора и т.д.). Закон требует указывать лицо, которому передаются персональные данные, и адрес его местонахождения только в случае, когда необходимо получение согласия в письменной форме и только при поручении такому лицу обработки персональных данных. Интернет-магазину не требуется согласие покупателя, поскольку он является стороной договора розничной купли-продажи. Но, если для исполнения договора необходимо привлечение третьих лиц, например, для доставки товара, то согласие на это может быть получено в любой доказываемой форме, и обязательного указания конкретного наименования доставщика не требуется ни в согласии, выражаемом, например, путем простановки отметки в чек-боксе веб-формы, ни в политике оператора в отношении обработки персональных данных.    
2. Если компания работает уже давно и только сейчас решила уведомить Роскомнадзор об обработке персональных данных, то какую дату начала обработки персональных данных нужно указать в уведомлении: дату регистрации компании, дату, когда она фактически начала обрабатывать персональные данные (например, запустила сайт) или дату подачи уведомления? Могут ли оштрафовать за неправильно указанную дату? А за то, что уведомили Роскомнадзор с нарушением срока?
Ответ: Необходимо указать действительную дату начала обработки персональных данных. Как правило, это дата регистрации юридического лица, потому что с нее начинается обработка данных, как минимум, своих работников. За отсутствие уведомления, если компания не подпадает под исключения, позволяющие его не направлять, несвоевременное его представление и за указание в уведомлении сведений в неполном объеме или в искаженном виде статьей 19.7 КоАП РФ предусмотрена административная ответственность.
3. После того, как компания уведомит Роскомнадзор об обработке персональных данных, есть риск, что Роскомнадзор назначит проверку этой компании? А если компания относится к субъекту малого предпринимательства, то ее могут включить в план проверок?
Ответ: Роскомнадзор может провести плановую проверку любого оператора, независимо от того, подал он уведомление или нет, в том числе предприятия и организации малого и микро- бизнеса. Но для них максимальная продолжительность проверки значительно меньше – 50 и 15 часов соответственно, а не 20 рабочих дней, как для остальных.
4. Если компания не запрашивает согласие об обработке персональных данных на своем сайте (например, путем проставления галочки), то какой ей будет грозить штраф? Такой же, как и в случае отсутствия письменного согласия, то есть по ч. 2 ст. 13.11 КоАП РФ?
Ответ: Нет, часть 2 статьи 13.11 КоАП РФ предусматривает ответственность именно за отсутствие согласия в письменной форме, когда такая форма его получения обязательна по закону, а также в случаях, когда состав сведений, включаемых в согласие в письменной форме, не соответствует требованиям, установленным частью 4 статьи 9 закона «О персональных данных». Если же согласие требуется, но не обязательно его получение в письменной форме, и оно не было получено, такие действия оператора могут быть квалифицированы по части 1 статьи 13.11: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных.
5. По какой статье могут оштрафовать интернет-магазин, который не предпринял мер по выполнению требований Закона о персональных данных, если он обрабатывает персональные данные клиентов только в электронном виде, у него нет офлайн-магазина? Например, он не ознакомил сотрудников с локальными документами о персональных данных.
Ответ: Это зависит от того, какие конкретно требования законодательства не были выполнены. Например, обязанность ознакомить работников с документами работодателя, устанавливающими порядок обработки персональных данных работников, установлена статьей 86 Трудового кодекса РФ, поэтому работодатель может быть привлечен инспекторами Роструда к ответственности, предусмотренной статьей 5.27 КоАП РФ «Нарушение трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права». Невыполнение требований к технической защите персональных данных при их автоматизированной обработке может быть квалифицировано по части 6 статьи 13.12 КоАП РФ – нарушение требований к защите информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами.
6. В споре Роскомнадзора с МТС суд решил, что пользовательские данные, собираемые с помощью cookie-файлов, тоже являются персональными данными и нужно получить согласие на их обработку. Для этого сейчас на практике делают всплывающее окно, в котором указывают, к примеру, такой текст: «Мы используем cookie-файлы, чтобы улучшить работу и повысить эффективность сайта. Продолжая пользоваться сайтом, вы даете согласие на обработку (включая передачу третьим лицам) cookie-файлов и пользовательских данных. Если вы не хотите, чтобы мы обрабатывали ваши данные, пожалуйста, покиньте сайт или измените настройки». Такого текста достаточно, чтобы не получить штраф?
Ответ: В целом - да, но, если для анализа cookie файлов используются статистические службы, находящиеся, например, в США (Google Analytics), государстве, не обеспечивающем адекватную защиту персональных данных, то, в соответствии с частью 4 статьи 12 закона «О персональных данных», передача данных в такое государство возможна лишь при наличии согласия субъекта персональных данных в письменной форме или договора, стороной которого является пользователь сайта. Поэтому необходимо тщательно продумать содержание пользовательского соглашения, описав в нем действия с файлами cookie.  
7. Может ли Роскомнадзор заблокировать сайт из-за нарушений Закона о персональных данных? Что это были за ситуации?
Ответ: Сам Роскомнадзор принять решение о блокировке не может, для этого необходимо наличие вступившего в силу судебного акта. А вот подать такой иск Роскомнадзор может, и этим правом пользуется. Именно так был ограничен доступ к сайту социальной сети LinkedIn решением Таганского районного суда г. Москвы по иску Роскомнадзора в защиту прав неопределенного круга пользователей сети Интернет. И это не единичный случай. Обычно оcнованием для блокирования доступа к сайту является размещение на нем персональных данных российских граждан без их согласия, например, телефонных справочников. 

11 декабря 2017 г.

Продолжение истории про персональные данные в социальных сетях

Последний пост про допустимость использования персональных данных из социальных сетей вызвал активную реакцию читателей, которые по этому поводу много чего рассказали. По их материалам мы провели небольшое расследование, и вот что открылось.
Есть в Интернете сайт, предлагающий услуги по извлечению данных о пользователе Интернета из открытых ресурсов сети, в первую очередь – социальных сетей. Ссылку на сайт, против обыкновения, давать не буду, его реклама в мои задачи не входит.
Для такого извлечения данных разработано и запатентовано (!) программное решение, установив которое на свой сайт, владелец сможет получить много интересного о посетителе, даже не зарегистрировавшемся на сайте: : фамилию, имя и отчество; номер телефона; адрес электронной почты; физическое местоположение; дату рождения; пол; информацию, опубликованную на страницах и в группах социальных сетей, членом которых является субъект; информацию о публикации контента - комментариев, аудио- и видеозаписей, фотографий; другую общедоступную информацию.
Все, примерно, как в истории с НБКИ, и даже больше. На сайте сообщается, что с использованием этого продукта они вместе с партнерами собрали уже данные о 28 миллионах пользователей сети.
А еще мы нашли очень интересный судебный документ. Весной этого года Управление Роскомнадзора по ЦФО обратилось в Таганский районный суд г. Москвы с иском о признании деятельности интернет-ресурса и информации, размещенной на сайте, незаконными и нарушающими законодательство РФ в области персональных данных, но в июне внезапно этот иск отозвало, с чем согласился и ответчик, и суд. Среди прочего, отзыв иска повлек последствия, предусмотренные статьей 221 Гражданского процессуального кодекса Российской Федерации: повторное обращение в суд по спору между теми же сторонами, о том же предмете и по тем же основаниям впредь не допускается. 30 июня судебный акт вступил в законную силу.
Что стало причиной отзыва иска, в определении суда не указывается, но предположения у меня есть. На том же сайте размещен ответ Управления Роскомнадзора по ЦФО на запрос о допустимости обработки персональных данных, сделанных пользователями общедоступными в социальной сети ВКонтакте, в котором сообщается буквально следующее: 
«Обработка персональных данных согласно п.10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон) допускается при осуществлении обработки персональных данных, доступ к которым предоставлен субъектом персональных данных либо по его просьбе.
Зарегистрировавшись в социальной сети «Вконтакте», субъект персональных данных предоставляет доступ неограниченному кругу лиц к своим персональным данным и делает их общедоступными, из чего следует, что согласие субъекта персональных данных для обработки его общедоступных персональных не требуется.
Исходя из вышеизложенного, Вы имеете право собирать и систематизировать персональные данных посетителей социальной сети «Вконтакте», профили которых открыты и являются публичными».
Занавес.
Я очень люблю еще с армейских времен фразу: «По этому вопросу у меня есть собственное мнение, с которым я категорически не согласен». Как раз тот случай.

6 декабря 2017 г.

Судебное решение: соцсети и сайты объявлений в России теперь незаконны?

Можно ли любому желающему использовать данные, в том числе – персональные, размещенные пользователями на открытых для всех сайтах в сети Интернет в тех целях, которые определил для себя пользователь такой информации? Ответ, казалось бы, очевиден. Разместив свои данные для всеобщего доступа каждый, находящийся в здравом уме и твердой памяти, должен понимать, что ими может воспользоваться любой желающий так, как ему заблагорассудится, если только он своими действиями не нарушает установленные законом права такого пользователя. Например, законами «О персональных данных» и «О рекламе» наложен прямой запрет на звонки и рекламные рассылки без явного, доказываемого согласия потребителя. Поэтому наличие телефона в объявлении о намерении купить автомобиль – вовсе не повод предлагать владельцу телефона страховку.
Примерно такой логикой, наверное, руководствовалось АО «Национальное бюро кредитных историй» («НБКИ»), заказывая ООО «Дата» скоринг пользователей социальной сетей и сайтов объявлений для определения их потенциальной кредитоспособности.
Однако надзорные органы и суды решили совсем по-другому. Управление Роскомнадзора по ЦФО посчитало такую обработку персональных данных незаконной, а Арбитражный суд Московского округа 9 ноября 2017 года уже в третьей инстанции отклонил жалобу кредитного бюро на предписание надзора об устранении нарушения.
Логика судов была такова.
Исходя из буквального прочтения статьи 8 Федерального закона «О персональных данных» (далее – Закон 152-ФЗ), для того, чтобы считать персональные данные сделанными субъектом персональных данных общедоступными и обрабатывать их, как предусмотрено пунктом 10 части 1 статьи 6 того же закона без согласия субъекта, необходимо одновременное выполнение двух условий:
1. Персональные данные доступны неопределенному кругу лиц.
2. Персональные данные предоставлены непосредственно самим субъектом.
Однако, анализируя организацию размещения данных в социальных сетях, суды посчитали, что без письменного согласия пользователя не представляется возможным утверждать, что они предоставлены именно указанным субъектом. Таким образом, персональные данные, сделанные общедоступными субъектом персональных данных, могут содержаться только в общедоступных источниках персональных данных, соответствующих определению, данному в статье 8 Закона 152-ФЗ.
Следовательно, информация о субъекте (в том числе, персональные данные), содержащиеся в социальных сетях или на иных сайтах в сети Интернет, не может быть отнесена к персональным данным, сделанным субъектом общедоступными, поскольку социальные сети не являются источником общедоступных персональных данных применительно к положению этой статьи.
Суд также отметил, что в соответствии со статьей 7 Закона 149-ФЗ общедоступной является информация, размещаемая ее обладателями в сети Интернет в формате, допускающем автоматизированную обработку без ее предварительного изменения человеком в целях повторного ее использования, чего в социальных сетях не наблюдается.
Таким образом, персональные данные, обрабатываемые АО «НБКИ» и полученные из социальных сетей, не были сделаны общедоступными субъектом персональных данных, в связи с чем в действиях заявителя усматриваются нарушения пункта 1 части 1 статьи 6 Закона 152-ФЗ (обработка данных без согласия субъекта).
По-моему, это противоречит здравому смыслу, но уж если такое решение принято, оно требует полного и логического завершения.
Суд согласился с тем, что данные в социальных сетях – персональные, но доказательств того, что они размещены там пользователями, нет. При этом интернет-ресурсы с персональными данными прямо названы в решении судов открытыми, но не общедоступными. То есть доступ к ним предоставлен неограниченному кругу пользователей Интернета неизвестными лицами, полномочия которых операторами (владельцами) социальных сетей и сайтов объявлений не проверялись, поскольку никакого согласия, и уж тем более в письменной форме, у социальных сетей нет.
Налицо несколько нарушений закона. Статья 7 Закона 152-ФЗ обязывает оператора, получившего доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Для соцсетей законом это не предусмотрено, согласия субъекта на обработку, включая распространение, как установили суды трех инстанций, нет, кроме того, нарушено и требование части 1 статьи 9 закона, обязывающее, в случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, проверить полномочия данного представителя. Согласие давалось, в данном случае, в форме конклюдентных действий – размещение персональных данных в социальной сети и на сайтах объявлений неустановленными оператором лицами в отношении неизвестных владельцам сайта лиц. Следовательно, все операторы, упомянутые в судебных актах по этому делу, – социальные сети ВКонтакте, Одноклассники, МойМир, Instragram, Twitter, интернет-порталы Авито и Авто.ру совершили административное правонарушение, предусмотренное частью 1 статьи 13.11 КоАП РФ: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных.
Кроме того, поскольку источники персональных данных являются, по мнению судов, открытыми, и к персональным данным имеет доступ неограниченный круг лиц, совершено административное правонарушение, предусмотренное частью 2 той же статьи: обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных.
Из этого следует только одно – владельцев соцсетей надо привлечь к ответственности, доступ на территории России к таким сайтам ограничить, подав иск в защиту прав неопределенного круга пользователей Интернета, как это происходит со всеми сайтами, где незаконно размещены персональные данные.
Есть, правда, и другой путь – согласиться с тем, что, поскольку данные выложены неизвестно кем, и никто не проверял их подлинность, вообще не рассматривать их как персональные, что было бы весьма логичным. Кстати, на этой точке зрения, как мне кажется, обоснованно стояли официальные лица уполномоченных органов власти сравнительно недавно.
Вот, например, скриншот моей странички в Twitter:
Много вы видите в ней персональных данных? 
Если это - не персональные данные, то история будет совсем другой.
Хочется надеяться, что АО «НБКИ» подаст надзорную жалобу в Верховный суд, и мы все окончательно узнаем, является ли открытый источник общедоступным или нет. Хорошо бы еще и с понятиями разобраться: чем все-таки отличаются открытые источники от общедоступных?