Персональные данные в соцсетях и мессенджерах: правила, риски и чек-лист для бизнеса
Какие действия компаний в соцсетях и мессенджерах будут считаться обработкой ПДн, и когда требуется получать согласие, а когда — нет?
Партнер ООО «СИБИРСКАЯ ЮРИДИЧЕСКАЯ КОМПАНИЯ» Юлия Пискунова
— С развитием цифровых технологий платформы Telegram, МАХ и ВКонтакте из обычных средств общения превратились в важные инструменты для бизнеса, маркетинга и взаимодействия с клиентами. При этом законодательные требования к обработке персональных данных (ПДн) со стороны государства продолжают ужесточаться. Административные штрафы за нарушения по обработке ПДн достигают 700 тыс. руб., за повторное нарушение — 1,5 млн руб. (ст. 13.11 Кодекса). Изменения в Закон о персональных данных и формирующаяся судебная практика заставляют компании пересматривать свои методы работы в интернете.
В нашем материале разберем, какие действия компаний в соцсетях и мессенджерах будут считаться обработкой ПДн, и когда требуется получать согласие, а когда — нет.
Для компаний получение согласия на обработку ПДн клиентов является важным обстоятельством, поскольку позволяет в дальнейшем избежать административной ответственности, проверок контролирующих органов и судебных споров.
Что относится к персональным данным в социальных сетях?
По общим правилам, субъектом ПДн является человек. Из пользовательских соглашений цифровых платформ, как правило, следует, что, регистрируясь, например, в МАХ или Telegram, пользователь принимает политику конфиденциальности, а также при создании учетной записи указывает основные сведения о себе, например, имя, фотографию профиля и краткую информацию о пользователе.
ПДн в соцсетях и мессенджерах также могут быть следующими:
— номер телефона;
— e-mail;
— ник в мессенджере, если он привязан к личности;
— фотография, позволяющая идентифицировать человека.
Если пользователь указал вымышленное имя или никнейм, который никак не связан с его реальной личностью, такие сведения могут не являться ПДн.
Миф об «общедоступности» данных из открытого профиля
Пользователь, указывая сведения в своей учетной записи, делает свои данные общедоступными и допускает их обработку со стороны третьих лиц в определенных пределах. Долгое время существовало заблуждение: если пользователь сам разместил данные в открытом профиле или канале, то любой может собирать и использовать их без ограничений.
В последующем в судебной практике сформировался подход, согласно которому не являются общедоступными сведения из социальных сетей или с открытых интернет-площадок, содержащих, к примеру, объявления (Постановление Арбитражного суда Московского округа от 09.11.2017 N Ф05-16382/2017).
Следовательно, несмотря на то, что пользователь предоставил доступ к своим учетным данным в цифровой платформе, у других пользователей или компаний автоматически не возникает право использовать эти данные в своих собственных целях, например, маркетинговых.
Владельцы канала или группы являются операторами ПДн
Закон о персональных данных устанавливает правила сбора, хранения, обработки и защиты информации, позволяющей идентифицировать человека, что является обработкой ПДн. Все компании, ИП и другие пользователи являются операторами ПДн, которые обязаны получать согласие на обработку ПДн, обеспечивать их безопасность и информировать пользователей о целях использования.
В законодательстве отсутствует понятие «сбора ПДн», несмотря на его упоминание в законе. Сбор данных подразумевает их получение непосредственно от человека, который является первоисточником, для последующего использования в рамках определённой цели.
Самостоятельное присоединение пользователя к группе (каналу) в Telegram, МАХ не свидетельствует о сборе его персональных данных со стороны владельца такой группы (канала), поскольку:
— сведения, указанные в учетной записи, могут не совпадать с реальными данными либо являются недостаточными для идентификации лица, т.е. не являться ПДн;
— владельцу группы (канала) необходимо осуществить собственные действия, направленные именно на получение ПДн в определенных целях.
Таким образом, если владелец канала планирует дополнительно использовать полученные данные своих подписчиков в мессенджерах и социальных сетях, в том числе использовать для проведения акций, розыгрышей и других мероприятий, не связанных с ведением информационного канала, он обязан получать согласие от подписчиков.
Получение согласия на обработку ПДн
Обработка персональных данных для продвижения товаров, работ и услуг, а также для политической агитации возможна только с предварительного согласия субъекта данных (статья 15 Закона о персональных данных).
Существуют различия между согласием на обработку ПДн и согласием на распространение ПДн.
— согласие на обработку позволяет оператору хранить данные пользователей у себя в CRM, переписываться с ним, оформлять заказы, отвечать на обращения.
— согласие на распространение требуется, когда оператор публикует данные пользователя в открытом доступе: размещает его фото в сторис, делает репост его поста, перечисляет его имя и город в открытой рассылке.
Для каждого действия необходимо получать отдельное согласие, связанное с определенной целью использования ПДн пользователей (подписчиков). Нарушением закона будет получение согласия «на все», поскольку будет отсутствовать конкретная цель использования ПДн.
Конкретность и предметность согласия обеспечивается тем, что цели обработки ПДн должны быть четкими, ясно выраженными, обоснованными и понятными. Разрешая владельцу канала, компании обрабатывать ПДн, пользователь или клиент одобряет определенные его действия в том виде и в объеме, которые необходимы для реализации указанной цели обработки. Информированное согласие предполагает, что пользователь ПДн перед их предоставлением получил объективную и достоверную информацию о том, кто занимается сбором этих данных, кому они передаются и для каких целей, о способах обработки, перечне действий, которые будут совершаться с ними.
ИТОГОВЫЙ ЧЕК-ЛИСТ: как работать с ПДн в социальных сетях
Согласие на обработку ПДн получать не нужно, если:
1. Канал создается и ведется исключительно в информационных целях, где люди подписываются на него самостоятельно по ссылке или находят на цифровых платформах.
2. Владелец канала или группы в социальной сети:
— не собирает номера телефонов, ФИО подписчиков для иных целей;
— не осуществляет никаких рассылок, сохранения данных в CRM.
Согласие на обработку, распространение ПДн получать нужно, если:
— владелец канала или группы в социальной сети планирует делать адресную рассылку подписчикам, рекламу, проведение акций. В этом случае, при регистрации на канале, в группе, пользователь должен дать свое информированное согласие на такие действия с помощью бота, который запрашивает галочку «согласен на обработку».
*Также нужно разместить в описании канала, группы ссылку на Политику обработки персональных данных;
— компания получает и сохраняет у себя информацию о клиентах, партнерах с помощью формы на сайте «Написать сообщение», где он вводит свои ПДн (нужно согласие на обработку ПДн).
— при опубликовании списка победителей розыгрыша с именами (нужно согласие на распространение ПДн).
Соблюдение этих простых правил поможет владельцам каналов, которые продвигают свой бизнес в социальных сетях и на других цифровых платформах, снизить свои риски попадания в «спам» у ценных клиентов и быть привлеченными к административной ответственности за нарушение законодательства о персональных данных.
Когда эксперт бессилен: способы подрядчика взыскать деньги