31 июля 2017 г.

Кто может обрабатывать персональные данные пользователей социальных сетей

Роскомнадзор определил свою позицию по использованию общедоступных персональных данных пользователей социальных сетей, фактически запретив это другим компаниям, не дожидаясь судебного решения по этой проблеме. 
Эта история началась 31 января 2017 года, когда ООО «В КОНТАКТЕ» подало в Арбитражный суд города Москвы исковое заявление к ООО «ДАБЛ» (российское подразделение, использующее технологию скорринга Double Data) и АО «Национальное бюро кредитных историй» (НБКИ). Само заявление, к сожалению, не опубликовано, но из информации в открытых источниках можно сделать вывод, что социальная сеть оспаривала право использовать размещенную в ней информацию для оценки кредитоспособности пользователей сети с целью последующей продажи полученных результатов банкам и бюро кредитных историй. «ВКонтакте» обосновывало исковые требования нарушением его исключительных смежных прав на базу данных. Обоснование, на мой взгляд, более чем странное, поскольку ответчики пользовались не базой данных, а общедоступными публикациями в сети, на основании которых формировали свою базу данных, возможно, очень отличающуюся от базы, используемой социальной сетью. 
ООО «ДАБЛ» иск не признало, а вот НБКИ и социальная сеть заключили мировое соглашение (пока не опубликовано), заявив ходатайство о его утверждении судом. Суд дал время второму ответчику ознакомиться с ним, перенеся судебное заседание по рассмотрению иска на 15 августа. 
Цель иска, как мне кажется, вполне очевидна – сеть хочет монополизировать профилирование пользователей с целью извлечения прибыли (что и понятно, на создание, поддержку и развитие ее инфраструктуры затрачены и продолжают тратиться большие деньги), а многие другие, обладающие соответствующим инструментарием, также хотели бы заработать на этих больших данных, находящихся в открытом доступе. И судебный прецедент будет иметь большое значение для всего российского сегмента Интернета. 
И вот сегодня в «Известиях» появилась неожиданная публикация под заголовком «Роскомнадзор запретил сбор данных пользователей «ВКонтакте»». Авторы, ссылаясь на имеющееся в распоряжении редакции разъяснения Роскомнадзора, утверждают, что никто не вправе без согласия пользователя сети использовать выложенные им в открытый доступ персональные данные. Далее вынужден просто процитировать газету «В надзорном ведомстве рассказали, что по Федеральному закону «О персональных данных» допускается обработка персональных данных (ПД), доступ к которым предоставил сам их владелец. Но по ст. 6 того же закона обработка таких данных возможна только с согласия субъекта ПД. В соответствии с пунктом 5.12 пользовательского соглашения сети «ВКонтакте» пользователь дает согласие только на доступ к информации, которую он размещает на персональной странице, в том числе к своим персональным данным, пояснили в пресс-службе Роскомнадзора. Согласия на сбор, обработку и передачу третьим лицам пользователь не дает. В Роскомнадзоре пояснили, что при отсутствии волеизъявления гражданина его персональные данные не могут храниться, обрабатываться и передаваться». Конец цитаты. Сначала я просто не поверил своим глазам. Нет, все правильно, именно так и написано. 
Открываем закон. Упомянутая пресс-службой Роскомнадзора статья 6 закона «О персональных данных» содержит 11 оснований обработки персональных данных, первым из которых является наличие согласия субъекта. Остальные 10 случаев согласия не требуют. В контексте обсуждаемой проблемы нас интересует пункт 10 части 1 статьи 6 закона, где однозначно и недвусмысленно указано, что без согласия субъекта допускается обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. То есть, если уж пользователь социальной сети разместил в общем доступе сведения о себе, ему придется смириться с тем, что все желающие будут ими пользоваться. Я, например, дал свои контакты в Фейсбуке и блоге и осознаю последствия этого – возможный спам и не запрошенные звонки по телефону. 
Хотелось бы также обратить внимание, что рассматриваемая статья закона не содержит ограничений по отдельным способам обработки персональных данных, и в это понятие входят и сбор, и хранение, и передача данных третьим лицам, и даже распространение, то есть раскрытие данных неопределенному кругу лиц, что пользователь соцсети уже и так сделал собственными руками. 
Публикацию в «Известиях» я назвал неожиданной по трем причинам. 
1. Надзорный орган заявляет свою позицию по вопросу, являющемуся предметом продолжающегося судебного спора, когда еще нет решения суда первой инстанции, не говоря уже о вступлении решения суда в законную силу, что может повлиять на позицию суда, внимательно относящегося к мнению уполномоченных органов исполнительной власти. 
2. Роскомнадзор много раз публично и письменно заявлял об отсутствии у него полномочий по трактовке закона, и он проверяет выполнение его требований на основании буквального понимая норм. Недаром ведомство довело до девственной чистоты страничку «Вопросы и ответы» на своем официальном портале «Персональные данные», удалив все ранее дававшиеся разъяснения. В публикации же идет речь именно о толковании, имеющем юридические последствия для участников правоотношений. Учитывая грядущее предоставление Роскомнадзору права требовать во внесудебном порядке прекращения обработки и уничтожения персональных данных, обработка которых, по мнению надзорного органа, незаконна, о чем я уже писал, ситуация становится весьма сложной. 
3. Надзорное ведомство ссылается в своем разъяснении на пользовательское соглашение социальной сети, не устанавливающее правоотношений между какими-то лицами, кроме соцсети и ее пользователями, и не имеющее значения для ООО «ДАБЛ» и НБКИ. 
Позиция Роскомнадзора фактически сводится к тому, что пользователь может разместить любые данные на общедоступных интернет-ресурсах, одновременно определив перечень допустимых действий с ними, а владелец этого ресурса автоматически получает право следить за соблюдением этого перечня в отношении любого своего пользователя, что фактически полностью перечеркивает нормы части 1 статьи 6 закона «О персональных данных» в части случаев обработки персональных данных без согласия субъекта. 
Кстати, вопросом выполнения норм статьи 8 закона о наличии письменного согласия субъекта на размещение его персональных данных в общедоступных источниках, которыми являются соцсети, почему-то никто не озадачился за 10 лет действия закона. А вопрос очень непростой. Может быть, поэтому и в тени до сих пор.