Можно ли любому
желающему использовать данные, в том числе – персональные, размещенные
пользователями на открытых для всех сайтах в сети Интернет в тех целях, которые
определил для себя пользователь такой информации? Ответ, казалось бы, очевиден.
Разместив свои данные для всеобщего доступа каждый, находящийся в здравом уме и
твердой памяти, должен понимать, что ими может воспользоваться любой желающий
так, как ему заблагорассудится, если только он своими действиями не нарушает
установленные законом права такого пользователя. Например, законами
«О персональных данных» и «О рекламе» наложен прямой запрет на звонки и
рекламные рассылки без явного, доказываемого согласия потребителя. Поэтому
наличие телефона в объявлении о намерении купить автомобиль – вовсе не повод
предлагать владельцу телефона страховку.
Примерно такой
логикой, наверное, руководствовалось АО «Национальное бюро кредитных историй»
(«НБКИ»), заказывая ООО «Дата» скоринг пользователей социальной сетей и сайтов
объявлений для определения их потенциальной кредитоспособности.
Однако надзорные
органы и суды решили совсем по-другому. Управление Роскомнадзора по ЦФО
посчитало такую обработку персональных данных незаконной, а Арбитражный суд
Московского округа 9 ноября 2017 года
уже в третьей инстанции отклонил жалобу кредитного бюро на предписание надзора
об устранении нарушения.
Логика судов была
такова.
Исходя из буквального
прочтения статьи 8 Федерального закона «О персональных данных» (далее – Закон 152-ФЗ),
для того, чтобы считать персональные данные сделанными субъектом персональных
данных общедоступными и обрабатывать их, как предусмотрено пунктом 10 части 1
статьи 6 того же закона без согласия субъекта, необходимо одновременное
выполнение двух условий:
1. Персональные данные
доступны неопределенному кругу лиц.
2. Персональные данные
предоставлены непосредственно самим субъектом.
Однако, анализируя
организацию размещения данных в социальных сетях, суды посчитали, что без письменного согласия пользователя не
представляется возможным утверждать, что они предоставлены именно указанным
субъектом. Таким образом, персональные данные, сделанные общедоступными
субъектом персональных данных, могут содержаться только в общедоступных
источниках персональных данных, соответствующих определению, данному в статье 8
Закона 152-ФЗ.
Следовательно,
информация о субъекте (в том числе, персональные данные), содержащиеся в
социальных сетях или на иных сайтах в сети Интернет, не может быть отнесена к
персональным данным, сделанным субъектом общедоступными, поскольку социальные
сети не являются источником общедоступных персональных данных применительно к
положению этой статьи.
Суд также отметил, что
в соответствии со статьей 7 Закона 149-ФЗ общедоступной является информация,
размещаемая ее обладателями в сети Интернет в формате, допускающем
автоматизированную обработку без ее предварительного изменения человеком в
целях повторного ее использования, чего в социальных сетях не наблюдается.
Таким образом,
персональные данные, обрабатываемые АО «НБКИ» и полученные из социальных сетей,
не были сделаны общедоступными субъектом персональных данных, в связи с чем в
действиях заявителя усматриваются нарушения пункта 1 части 1 статьи 6 Закона
152-ФЗ (обработка данных без согласия субъекта).
По-моему, это противоречит
здравому смыслу, но уж если такое решение принято, оно требует полного и
логического завершения.
Суд согласился с тем,
что данные в социальных сетях – персональные, но доказательств того, что они
размещены там пользователями, нет. При этом интернет-ресурсы с персональными данными
прямо названы в решении судов открытыми,
но не общедоступными. То есть доступ к ним предоставлен неограниченному
кругу пользователей Интернета неизвестными лицами, полномочия которых
операторами (владельцами) социальных сетей и сайтов объявлений не проверялись,
поскольку никакого согласия, и уж тем более в письменной форме, у социальных
сетей нет.
Налицо несколько
нарушений закона. Статья 7 Закона 152-ФЗ обязывает оператора, получившего
доступ к персональным данным, не раскрывать третьим лицам и не распространять
персональные данные без согласия субъекта персональных данных, если иное не
предусмотрено федеральным законом. Для соцсетей законом это не предусмотрено,
согласия субъекта на обработку, включая распространение, как установили суды
трех инстанций, нет, кроме того, нарушено и требование части 1 статьи 9 закона,
обязывающее, в случае получения согласия на обработку персональных данных от
представителя субъекта персональных данных, проверить полномочия данного представителя.
Согласие давалось, в данном случае, в форме конклюдентных действий – размещение
персональных данных в социальной сети и на сайтах объявлений неустановленными
оператором лицами в отношении неизвестных владельцам сайта лиц. Следовательно,
все операторы, упомянутые в судебных актах по этому делу, – социальные сети ВКонтакте,
Одноклассники, МойМир, Instragram, Twitter, интернет-порталы Авито и Авто.ру совершили
административное правонарушение, предусмотренное частью 1 статьи 13.11 КоАП РФ:
обработка персональных данных в случаях, не предусмотренных законодательством
Российской Федерации в области персональных данных.
Кроме того, поскольку
источники персональных данных являются, по мнению судов, открытыми, и к
персональным данным имеет доступ неограниченный круг лиц, совершено
административное правонарушение, предусмотренное частью 2 той же статьи: обработка
персональных данных без согласия в письменной форме субъекта персональных
данных на обработку его персональных данных в случаях, когда такое согласие
должно быть получено в соответствии с законодательством Российской Федерации в
области персональных данных.
Из этого следует
только одно – владельцев соцсетей надо привлечь к ответственности, доступ на
территории России к таким сайтам ограничить, подав иск в защиту прав неопределенного
круга пользователей Интернета, как это происходит со всеми сайтами, где
незаконно размещены персональные данные.
Есть, правда, и другой
путь – согласиться с тем, что, поскольку данные выложены неизвестно кем, и
никто не проверял их подлинность, вообще не рассматривать их как персональные,
что было бы весьма логичным. Кстати, на этой точке зрения, как мне кажется, обоснованно
стояли официальные лица уполномоченных органов власти сравнительно недавно.
Вот, например, скриншот
моей странички в Twitter:
Много вы видите в ней
персональных данных?
Если это - не
персональные данные, то история будет совсем другой.
Хочется надеяться, что
АО «НБКИ» подаст надзорную жалобу в Верховный суд, и мы все окончательно узнаем, является ли открытый источник общедоступным или нет. Хорошо бы
еще и с понятиями разобраться: чем все-таки отличаются открытые источники от общедоступных?
То есть суд посчитал, что общедоступные персональные данные содержатся только в общедоступных источниках? Тогда что это вообще значит - "источник персональных данных"?
ОтветитьУдалитьНе совсем так. Он посчитал, что без согласия можно обрабатывать персональные данные только из общедоступных источников, полностью соответствующих определению в статье 8.
ОтветитьУдалитьЛогика суда понятна: если я размещаю свои ПДн в одной соцсети, это не означает, что мне хочется, чтобы ими пользовались за пределами этого веб-ресурса без моего ведома
ОтветитьУдалитьНе размещайте для общего доступа! Если надпись сделана на заборе, вряд ли стоит рассчитывать на ее конфиденциальность. Ну, и п.10 части 1 ст.6 во весь рост. Согласие не нужно.
ОтветитьУдалитьСамое забавное, что ссылка на содержание ст.7 149-ФЗ отсутствует в постановлениях 9-го ААС и АС МО. И это совершенно логично, так как данная статья не содержит определения общедоступной информации и прямо не регулирует правой статус и порядок функционирования общедоступных источников информации (включая персональные данные). Ст.7 149-ФЗ касается размещения в общем доступе информации в форме открытых данных (http://opendata.open.gov.ru/event/5598184/).
ОтветитьУдалитьТам вообще ошибка на ошибке. Во втором посте было продолжение, стало еще веселее. Открытый, но не общедоступный - я думаю, это шедевр для рассмотрения на пленуме Верховного суда
ОтветитьУдалитьВот Вам пример из жизни. Вы дали свой номер телефона мне, но не рассчитываете, что я буду в дальнейшем делиться этим номером с другими. Эта ситуация с Вами не оговаривалась, но подразумевалась. Согласитесь, будет мало приятного, если на Ваш номер телефона начнут звонить, после того, как его напишут на заборе. Понимаю, Вы рассуждаете с точки зрения законодательства, а я - с точки зрения жизненной ситуации.
ОтветитьУдалитьВы описываете совершенно другую ситуацию. В рассматриваемом в посте случае это я написал телефон на заборе, а не дал его Вам, и рассчитываю, что по нему звонить не будут.
ОтветитьУдалить