Роскомнадзор запретил третьим лицам использовать данные пользователей «ВКонтакте. Как не угробить свой бизнес из-за закона о персональных данных. Что же делать

Источник: РИА Новости

На днях стало известно о том, что Роскомнадзор запретил сторонним компаниям собирать и использовать информацию пользователей социальной сети «Вконтакте». Имеется в виду информация, которая находится в открытом доступе. Обычно считается, что если информация открыта, то ее могут собирать и использовать все желающие. И действительно, согласно закона «О персональных данных» допускается обработка персональных данных (ПД), доступ к которым предоставил сам их владелец, о чем сообщили «Известия».

В то же время, ст. 9 того же закона указывает на то, что обработка данных пользователей социальных сетей возможна только с их согласия. «В соответствии с пунктом 5.12 пользовательского соглашения сети «Вконтакте» пользователь дает согласие только на доступ к информации, которую он размещает на персональной странице, в том числе к своим персональным данным. Согласия на сбор, обработку и передачу третьим лицам пользователь не дает», - заявили в пресс-службе Роскомнадзора.

Более того, если пользователь не дал своего явного согласия на обработку своих данных, то они не могут храниться, обрабатываться и передаваться. В Роскомнадзоре также заметили, что если подобная практика существовала ранее, то ее нужно прекратить.

В принципе, социальные сети относительно давно стали более внимательно следить за тем, кто и каким образом использует данные пользователей таких ресурсов. Например, в марте этого компания Facebook решила запретить использовать информацию, выкладываемую своими пользователями, третьей стороной для отслеживания поведения людей. В компании считают, что люди, которые зарегистрировались в соцсети, должны чувствовать себя защищенными, быть уверенными в том, что их информацию не использует в каких-либо целях кто-то еще.

Во «Вконтакте» пошли даже дальше. В самом начале этого года социальная сеть подала в суд на несколько компаний, которые решили искать профили своих клиентов в социальной сети и по содержимому страничек определять платежеспособность. Интересно, что при этом не ставилась цель получить компенсацию - сумма исковых требований социальной сети составила всего 1 рубль. То есть речь шла именно о том, чтобы положить конец подобной практике.

Тем не менее, у такой точки зрения есть и противники. «Либо надо сразу ограничивать доступ к этим данным, либо дать всем возможность их использовать. Сейчас же ситуация напоминает случай, когда человек повесил на забор фотографию, но запретил на нее смотреть. Любая компания может использовать общедоступные данные. И неважно, что именно сказано в пользовательском соглашении соцсети, сторонние компании этим соглашением не связаны. Кроме того, сама соцсеть не сможет проконтролировать, кто собирает данные ее пользователей», - заявил замдиректора Координационного центра национального домена сети интернет по правовым вопросам Сергей Копылов.

Как бы там ни было, а Роскомнадзор по этому поводу уже высказался, так что, скорее всего, всем остальным придется подчиниться.

Казалось, он так и останется на бумаге. Принятый «27» июля 2006 г. Федеральный закон № 152-ФЗ «О персональных данных» долгое время не вызывал у игроков рынка ничего, кроме иронии и скепсиса. Тем неожиданнее стало требование Роскомнадзора, которое он выдвинул этим летом в отношении знаменитых купонных сервисов: Группон, КупиКупон, Биглион и некоторых других. Их попросили отчитаться о мерах по защите личной информации подписчиков. Формальным поводом к проверке послужили объявления в Сети о продаже баз данных, которые, в общем-то, уже не редкость.

О результатах проверки пока ничего не известно, но уже есть все основания предполагать, что это – только начало. Купонаторы оказались первыми в силу своей популярности, но они далеко не рекордсмены по сбору информации о клиентах. Операторами персональных данных, подпадающими под действие закона, являются все компании, чей бизнес так или иначе связан с идентификацией потребителя, и среди них есть и более «осведомленные» сферы деятельности:

Медицина (государственные и частные лечебные учреждения);

Кредитно-финансовые учреждения;

Сфера страхования;

Операторы сотовой связи;

Компании туриндустрии;

Агентства по подбору персонала;

Риэлторские компании;

Авиационные пассажирские перевозки.

Сегодня в России таких компаний более 5 миллионов. Кто следующий?

Чем грозит игнорирование закона?

Нарушение 152-ФЗ «О персональных данных» чревато дисциплинарной, гражданской, административной, уголовной ответственностью:

штрафы до 300 000 рублей;

конфискация средств защиты информации;

приостановление деятельности предприятия;

исправительные работы;

лишение свободы и т.д.

Штраф накладывается за зафиксированное нарушение, что вовсе не исключает возможность повторного взыскания штрафа. Это как если бы вы ехали на автобусе без билета, и на каждой остановке заходил контролер и штрафовал вас за безбилетный проезд. Так и здесь, выдается предписание о немедленном устранении нарушений, например, в течение 3 дней. После проверка приходит снова, и вас снова штрафуют - и так до бесконечности, пока вы не выполните все требования 152-ФЗ, что недешево и небыстро.

Более того, соответствие закону контролируют не только госорганы, но и грамотные пользователи. При утечке информации любой пользователь сможет подать гражданский иск, где сумма морального ущерба будет исчисляться фантастическими суммами. Так, год назад был подан иск по жалобе одной из посетительниц сайта, которая нашла на нем личные данные шести человек. Роскомнадзор в процессе выступал в интересах неопределенного круга лиц, и требовал уничтожить персональные данные, которые к тому моменту были размещены на сайте. Сведения эти публиковались для поиска родственников, а сам сайт представляет собой крупнейший российский генеалогический ресурс. Дело закончилось мировой. Но это, вероятно, первое и последнее дело с подобным исходом.

Что же делать?

Существует, как минимум, четыре способа, отличающиеся степенью риска в отношении базы данных в частности и бизнеса в целом.

Уничтожить базу данных. За что маркетологи не скажут вам спасибо. Клиентская база - источник повторных продаж: маркетинговые инвестиции в 5 раз меньше, чем в новых клиентов, а доходы от старых клиентов в 2 раза выше, чем от новых.

Сделать так, чтобы информация в базе данных была обезличена в понимании 152-ФЗ. Это значит, что собранная информация должна содержать минимум данных, чтобы субъекта невозможно было идентифицировать. Но, например, такая мелочь, как личное обращение к клиенту, является одним из условий успешной email - рассылки – надежного маркетингового инструмента, и что вы будете делать с обезличенной базой?

Имея возможность самостоятельно определять категорию обрабатываемых данных, компании впадают в соблазн намеренно занижать его, чтобы освободить себя от дополнительных хлопот с аттестацией и сертификацией оборудования и защитой информации. Но при первой же проверке Роскомнадзора, ФСТЭК или ФСБ подлог без труда будет раскрыт.

4. Соответствовать требованиям 152-ФЗ. На взгляд законодателей, безопасность персональных данных может гарантировать:

добровольное письменное согласие клиента на использование его данных;

внутренний документ в компании, который регламентирует работу с персональными данными;

сотрудник, работающий с персональными данными, имеющий специальное образование в области технической защиты информации;

наличие (класс 1 - 3) лицензии ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации

Сегодня из 5 миллионов российских компаний-операторов персональных данных требованиям закона соответствуют лишь 230 000. Остальные являются формальными нарушителями, что и понятно: работа над соответствием - это трудоемкий и дорогой процесс. По оценкам одного известного банка, приведение деятельности к стандартам может стоить от 1,5 млн рублей и занять 3 года.

Тем не менее, эту процедуру уже начали проводить те, кто всегда находится под пристальным внимание м регулирующих органов – банки, страховые, авиа-компании.

Но маркетинговая активность поставила эти компании перед очередной проблемой. Организация масштабных программ лояльности порой требует передачи клиентской базы сторонним подрядчикам – дело в том, что технические возможности собственного аппаратно-программного комплекса часто ограничены и не позволяют работать с большими объемами писем к клиентам. Так вот если компания, которой база передана для работы, в свою очередь, не соответствует требованиям 152-ФЗ, все усилия по защите данных внутри компании можно считать напрасными: вы - нарушитель.

Кому доверять?

В настоящий момент на рынке решений, которые обеспечивают рассылку емейлов по клиентской базе данных, не так много компаний, заявляющих о наличии аттестованных продуктов, а среди полнофункциональных и способных рассылать в краткие сроки большие объемы писем (а в отношении крупных компаний счет идет на миллионы), пожалуй, всего один. Это сервис, разработанный петербургской компанией сайт (ЗАО «Интернет-Проекты» ).

Инструмент, получивший название , имеет аттестат соответствия требованиям по информационной безопасности № СПАЯ.141011АК1 в системе сертификации ФСТЭК России РОСС RU.0001.01БИОО.

Обмен информацией между клиентом и SubscribePRO проходит по защищенным VPN - тоннелям. Необходимые для полноценной работы данные хранятся в информационной системе, прошедшей проверку и аттестацию, на серверах, расположенных в России и принадлежащих российской компании. Это значит, они подчиняются российскому законодательству, чем не могут похвастаться другие крупные сервисы емейл-маркетинга.

Компании с повышенными требованиями к безопасности могут шифровать свои базы с невозможностью доступа к ним даже при получении доступа в аккаунт. Для усиления безопасности возможно также использование биометрической AGSES-карты, которая обеспечивает безусловную взаимную аутентификацию доступа и подтверждение операций.

Как закон помог маркетологам?

Таким образом, федеральный закон «О персональных данных» с одной стороны, поставил под угрозу работу маркетологов, связанную с рассылкой по клиентской базе, а с другой, напротив, подтолкнул компании к использованию мощных профессиональных инструментов рассылок, способных решать ранее недоступные задачи:

рассылать письма автоматически в заданное время;

делать это со скоростью более 4 млн писем/час;

сегментировать базу данных на группы получателей;

по имени обращаться к каждому клиенту;

поддерживать фирменный стиль в оформлении писем;

получать статистику доставки писем и откликов на них;

не попадать в SPAM -листы.

В случае с 152-ФЗ выходит, что обойти законодательство будет гораздо дороже, чем ему соответствовать - и речь здесь идет не только о времени и деньгах, но и о репутации компании, которая сама по себе является весьма серьезным маркетинговым инструментом. При работе с профессиональным подрядчиком опасность утечки информации при рассылке можно с уверенностью исключить.

Еще один закон, принятый в пользу маркетологам, - 161-ФЗ «О национальной платежной системе», в той его части, которая обязывает банки «информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления ». Если раньше этим инструментом повышения лояльности пользовались лишь некоторые банки, то с 1 января 2013 года, когда п. 4 ст. 9 161-ФЗ должен вступить в силу, - обязаны будут все.

Ведущие финансовые организации страны уже начали проведение тендеров среди рассылочных компаний. Они понимают, с какими объемами работы придется столкнуться, и использование аттестованного подрядчика в этом случае - наименее затратный и наиболее эффективный способ решения проблемы.

"Думаю неплохо бы добавить следующее: (Проверено на себе)
3. На основании п.1 ст. 14 Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014)
"О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015) ТРЕБУЮ уничтожить мои персональные данные, как незаконно полученные и не являющимися необходимыми для заявленной цели обработки."

"ЗАЯВЛЕНИЕ о запрете использования и передаче персональных данных без моего согласия, в нарушение требований Федерального Законодательства и с целью причинения имущественного вреда."

"А если у Вас есть медсправки о причинении Вам моральных страданий и возникших болезней в результате Ваших переживаний от Ваших ПД в ЕПД,то это ОГРОМНОЕ подспорье.Вот только как их поиметь -другой вопрос.Поэтому Вы уже ведь просто написали и о имущественных и о моральных о физических вредоносных факторах от ПД."

"ст.155 ЖК РФ
16. При привлечении лицами, указанными в части 15 настоящей статьи, представителей для осуществления расчетов с нанимателями жилых помещений государственного и муниципального жилищных фондов, собственниками жилых помещений и взимания платы за жилое помещение и коммунальные услуги согласие субъектов персональных данных на передачу персональных данных таким представителям не требуется. Один пункт в статье перечеркивает целый закон 152 ФЗ."

"...КОГДА НИ ОДИН федеральный закон не исполнен, то ответ прокуратуры - ОТПИСКА, укрывающая сведения о нарушениях, а это - признак мошенничества в органах прокуратуры."

"Подписывая СОГЛАШЕНИЕ, Вы тем самым заключаете договор о правоотношениях. Любая бумажка двух лиц- это и есть договор. Новые термины только вводят в заблуждение. В этом - цель мошенников. Подбросив в почтовый ящик лист макулатуры с некими цифрами - Вам предлагают оферту (ДОГОВОР на оплату). Проплатили- значит согласились и СЧИТАЕТСЯ, что заключили договор с УК."

"Вам ответило то должностое лицо, к которому Вы обращались?
Если нет. Пишите не опровержение на отписку, а заявление в полицию под талон О ДИСКРИМИНАЦИИ ВАШИХ ПРАВ ЛИЦОМ, которое ВАМ НЕ ОТВЕТИЛО. Читайте закон №59. То лицо, к которому обратились обязано ДАТЬ ответ по существу и в установленный срок. никто ФЕД.закон НЕ ОТМЕНИЛ."

"Также прошу предоставить объяснения по следующим фактам:
1. наличие в распоряжении Вашей организации моих персональных данных (ФИО, паспортные данные, адрес, номер домашнего телефона) в отсутствие каких-либо ранее имевшихся установленных правоотношениях и моего самоличного их предоставления;
2. осуществления действий, связанных с хранением, обработкой, в том числе и автоматизированным способом, моих ПД, которые доступны сотрудникам организации посредством их наличия в компьютерной базе данных, в отсутствие на то моего согласия;
3. передачи моих персональных данных третьим лицам, МФЦ, в отсутствие на то моего согласия.
Также настоящим заявляю свое требование о прекращении любых действий, связанных с хранением, обработкой, распространением, передачей и пр. моих персональных данных.
Требую уничтожения моих ПД с предоставлением в мой адрес подлинного экземпляра"

"Акта об уничтожении персональных данных как на бумажных, так и электронных носителяхй с указанием наименований, номеров или ID баз данных, наименований, номеров или ID записей в базе данных, наименований, номеров или ID носителей данных. К Акту необходимо приложить должным образом свидетельствованную копию приказа руководителя организации о назначении комиссии для уничтожения ПД. В нашем заявлении мы написали так. Может пригодиться."

"Полагаю необходимым добавить к изложенному Ю.Лебедем.
В силу отсутствия договора между мной, как собственником, ПУКой, как коммерческой структурой согласия как собственник квартиры, и как Гажданин по Конституции в отсутствие договора своего согласия на обработку персональных данных не давал.
Поскольку правоотношений в виде договора у вас со мной нет, и никогда не было, то вы, как коммерческая структура нарушаете мои права, как собственника, как Гражданина.
У нас всегда права Гражданина охраняются государством.
Статья 23
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
Статья 24
1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
В данном случае мы, как частные лица согласия на обработку данных не давали ч.1 ст. 24 Конституции. Примерно так..."

"В соответствии с Положением "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций", утвержденного Постановлением Правительства Российской Федерации от 16.03.2009 N 228 и Административным регламентом проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденным Приказом Роскомнадзора № 312 от14.11.2011 г., просим Вас, на основании изложенного
1. Провести проверку, возбудить административное производство и привлечь должностных и юридических лиц ООО «»
к административной ответственности, предусмотренной статьёй 13.11 КоАП за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
2. Провести дополнительную проверку законности получения компанией ООО «» разрешения на работу с персональными данными нанимателей жилых помещ
3. В случае обнаружения нарушений приостановить действие разрешения на работу с персональными данными.
4. Проверить порядок направления платежных документов жителям домов, находящимся на обслуживании ООО
5. При выявлении признаков уголовно-наказуемых деяний передать материалы в следственные органы......области.
Это я писала в РОСКОМНАДЗОР. Ответ опубликовала ранее. Сами то ли провели проверку, то ли не провели. Так и непонятно.(Хотела потребовать разъяснений...так как много противоречий)
Правда РКН отправили в Управление МВД, те в УБЭП, те в какой-то 6отдел."

Запрет на использование персональных данных (версия 2)

2. Заявление в РосКомНадзор чтобы погладили ПУКу против шерстки.

"не поздно я собралась писать заявление по вымогательству и можно ли его писать сразу в суд???"

"В органы полиции.по своему опыту я вижу что мой отдел полиции меня игнорит страшно. Я подавал на него в суд по ст.125 УПК. Суд включил "дурку" - типа в календаре он ничего не понимает и сроки считать не умеет. Хотя все даты и обстоятельства суд определил верно. А вот вывод сделал совершенно "левый". Сейчас обжалую это решение в Верховном Суде РБ.
Я думаю, что сейчас я буду подавать заявления через сайт МВД, чтобы в полицию сверху спускалось мое заявление и мне письменно об этом сообшалось.И с момента сообщения я уже буду считать сроки и... и снова полицию тащить в суд и снова и снова выливать ведро помоев."

"Роскомнадзор проверил все мои доводы по передаче персональных данных и вынес определение о передаче всех материалов в отношении ТСЖ (в моем случае) в прокуратуру для принятия мер прокурорского реагирования и рассмотрения вопроса о возбуждении дела об административном правонарушении, ст.13.11 КоАп РФ - нарушение установленного законом порядка сбора, хранения, использования, распространения информации о гражданах (персональных данных). Посмотрим что отпишет прокуратура."

"Спросите ГЖИ как и на каком основании выдавалась лицензия, какие док-ы были предоставлены. попросите ознакомиться с реестром домов, которыми управляет."

Наши персональные данные давно стали валютой, в обмен на которую мы получаем определённые продукты и услуги, например возможность пользоваться Facebook или Google. Компании получают информацию, перепродают её другим и чаще всего делают это без нашего ведома. Большинство из нас имеют весьма призрачное понимание того, какими объёмами информации они владеют. В 2011 году австрийский студент юрфака Макс Шремс попросил Facebook предоставить ему все сохранённые ими данные о нём. В результате длительных переговоров он таки получил по почте CD, содержащий PDF-файл на 1 222 страницы, на которых содержалась информация о его трудоустройстве, отношениях с окружающими, деталях личной жизни, старая переписка и фотографии с координатами мест, где они были сняты. Шремса особенно поразило то, что большинство этих фотографий он когда-то собственноручно удалил из профайла, - оказалось, они всё равно сохраняются в базе данных.

Вместо того чтобы впадать в истерику по поводу
неизбежной утечки информации, можно научиться контролировать её потоки

Другой пример впечатляет не меньше. Немецкий депутат «Партии зелёных» Мальте Шпитц запросил у Deutsche Telecom информацию о данных, собранных о нём с помощью его смартфона за последние полгода. Он также получил CD, в котором был файл длиной в 36 000 строк, а затем обнародовал их на этом сайте. Информация, собранная провайдером, поражает своей глубиной и уровнем детализации. Можно узнать, в какой день Шпитц ездил за город, где и во сколько обедал, с кем разговаривал.

Вместо того чтобы впадать в истерику по поводу неизбежной утечки информации, можно научиться контролировать её потоки и, понимая её истинную ценность, попробовать извлечь из этого пользу. Правда, пока нельзя сказать, что это очень прибыльное дело. По оценке JPMorgan Chase, данные одного человека стоят $4 для Facebook и $24 для Google. Оценить условную стоимость своих данных можно, например, использовав калькулятор на Financial Times. Из него становится ясно, что, если вы не миллионер, не владеете недвижимостью и не состоите в браке, «ваша» стоимость для маркетологов условно составляет 22 цента. Так что покупка 1 000 профайлов с данными, аналогичных вашему, обойдётся им всего в $220. В последние годы появляются компании, которые стараются максимизировать выгоду от использования персональных данных их непосредственными владельцами. H&F нашёл несколько примеров подобных проектов.

Handshake

Устроено это так: пользователи регистрируются на сайте и вводят максимальное количество персональных данных, среди которых должен быть пол, возраст, род занятий и уровень дохода. Затем им предлагают участвовать в различных опросах, проводимых компаниями, в рамках которых они сообщают о себе дополнительную информацию за заявленную цену (можно торговаться). Тематика опросов варьируется от личных пристрастий в еде до привычек сна. Дункан считает, что люди, готовые потратить некоторое время на участие в подобных опросах, могут в среднем заработать за год от $1 000 до $5 000.

Datacoup

Основатель Datacoup Мэтт Хоган говорит, что важным преимуществом его сервиса является алгоритм, позволяющий выстраивать связи между разнородными данными. Например, выстроить последовательную цепочку событий, начиная с того, каким способом пользователь искал продукт в интернете, и заканчивая тем, где и когда он в итоге совершил покупку. Хоган уверен, что сможет заинтересовать своим «синтезирующим» подходом компании, покупающие персональные данные пользователей.

Personal

Personal, вероятно, наиболее зрелая и перспективная из компаний, позволяющих управлять персональными данными. Она предлагает пользователям создать защищённое хранилище всей личной информации, начиная с паролей и заканчивая данными из медицинской карты. Сервис не просто аккумулирует данные из всех источников, к которым вы откроете доступ, но и автоматически оформляет их в удобной для использования форме. Основная идея Personal в том, что пользователь может выбирать, кто имеет право доступа к определённым частям его информации: друзья, коллеги, бренды и т.д. Вместо того чтобы устанавливать настройки приватности на различных сайтах, можно будет делать это на одной платформе.

Фотография на обложке: ShutterStock