×

Сколько стоят ваши данные?

Законодатель никак не охраняет пользовательские данные социальных сетей, поэтому они могут использоваться в любых целях на совершенно законных основаниях
Макейчук Антон
Макейчук Антон
Партнер юридической компании Tenzor Consulting Group
Как часто вам приходилось заполнять анкеты при оформлении карты лояльности понравившегося магазина? Или же проходить безобидную регистрацию на сайте для получения доступа к интересующей вас информации? Большинство пользователей не задумываются, что платой за свободный интернет, бесплатные сервисы и небольшие скидки являются их данные.

Кто и зачем использует ваши данные?
Крупнейшими покупателями данных являются компании – гиганты рынка. Google и Яндекс синхронизируют информацию из различных источников, чтобы точнее определить предпочтения пользователя.

Facebook собирает обезличенные сведения: какие посты и комментарии написал пользователь, как долго читал ту или иную запись, где находится устройство и даже какова мощность сигнала. Эти данные сервис использует для безопасности – не позволяет иным лицам копировать ваш профиль, для удобства – поднимает профиль человека, с которым вы больше всего общаетесь, а также для передачи сведений рекламодателям – т.е. для размещения рекламы тех товаров, которые нужны именно вам.

Однако не только социальные сети, где пользователь добровольно размещает сведения о себе, но и банковский сектор использует информацию о клиентах, в том числе в коммерческих целях. Так, недавно Сбербанк России раскрыл крупнейшей сети фастфуда McDonald’s обезличенные данные о транзакциях своих клиентов для успешной рекламной кампании и продвижения нового продукта сети ресторанов – Грик Мака. Хотя первоначально данные не содержали указания на конкретное лицо, совершившее покупку по карте Сбербанка, в дальнейшем специалистам IT-сферы удалось дополнить их профилями из социальных сетей и – предложить рекламу. Давали ли клиенты Сбербанка согласие на продажу данных о себе? Хотели ли получать такую рекламу? Вопрос остается открытым.

Цена вопроса
На первый взгляд, все вышеперечисленное нацелено на заботу о пользователе: зайдя утром на свою страницу социальной сети можно обнаружить предложение о покупке товара, который так и не удалось найти накануне вечером в поисковике. Это стало возможным благодаря CPA-маркетингу (Cost Per Action – «плата за действие»). Маркетологи определяют максимально заинтересованных потребителей, предлагают товар определенного продавца и в случае совершения сделки получают свою плату. Доходность такого бизнеса может достигать до миллиона рублей в месяц.

В то же время огромные убытки могут понести предприниматели – владельцы сайтов, использующих «Яндекс.Метрику». Потенциальный покупатель оказался на сайте продавца, нашел необходимый товар, но решил немного обдумать покупку и покинул сайт. Зайдя в следующий раз в поисковик, в первых строчках покупатель обнаружит уже не предложение продавца, чей сайт он недавно посещал, а предложения его конкурентов и, возможно, сделает выбор в пользу их товара.

Что говорит закон?
Законодательство далеко от совершенства. Согласно ч. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», персональные данные – это любая информация, относящаяся к определенному или определяемому (т.е. прямо или косвенно) на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. То есть это те данные, посредством которых можно определить конкретного человека, и в их число не входит самый ценный массив – обезличенные данные, чем непременно пользуются крупные игроки. Помимо того, на практике существует множество вопросов: могут ли другие сведения быть отнесены к предмету вышеуказанного Закона и в каком сочетании? Государство в лице Роскомнадзора в письме от 20 января 2017 г. № 08АП-6054 «О результатах рассмотрения обращения Казначейства России» указывает на то, что информация в объеме «фамилия, имя, отчество» является персональными данными и должна охраняться нормами Закона о персональных данных. Таким образом, законодатель не только не урегулировал вопрос в должной мере, но и выстроил преграды из сочетаний данных.

Также представители IT-компаний утверждают, что задача по сбору и обработке персональных данных была бы куда сложнее, если бы не существовало социальных сетей – открытых источников, где пользователи добровольно размещают личную информацию, в том числе и персональную. И они совершенно правы: на текущий момент законодатель никак не охраняет пользовательские данные социальных сетей, т.е. лицо добровольно передает неопределенному кругу лиц ценнейший ресурс, который на законных основаниях может использоваться в любых целях.

В настоящее время привлечь к ответственности можно только оператора персональных данных – лицо, занимающееся их сбором, даже если этот сбор ведется в табличке Excel. Но, повторимся, сфера действия Закона о персональных данных никак не охватывает обезличенные данные, используемые в идентификационном маркетинге.

Ответственность за нарушение
В последние годы стала появляться практика в области привлечения к административной ответственности за несоблюдение законодательства о персональных данных. Первой ласточкой можно считать решение Арбитражного суда г. Москвы о привлечении ПАО «МГТС» к административной ответственности (дело от 11 марта 2016 г. № А40-14902/2016-84-126). МГТС собирала персональные данные своих пользователей (IP-адрес, поисковые запросы, адреса посещаемых сайтов и время их посещения и другие сведения, позволяющие идентифицировать гражданина), а затем продавала их коммерческим компаниям. Суд установил, что эти данные – персональные и не подлежат передаче третьей стороне без ведома абонентов. Остается только догадываться, какую прибыль по договорам получил один из крупнейших операторов страны. При этом за такое нарушение закона компании был присужден штраф в размере всего лишь 30 тыс. руб.

Законодатель все же обратил внимание на размер штрафов. С 1 июля 2017 г. ответственность физических, юридических и должностных лиц будет ужесточена: сумма штрафов вырастет до 75 тыс. руб., а по разным составам правонарушений в совокупности – до 295 тыс. руб. Поправки также наделяют Роскомнадзор полномочиями по возбуждению дел об административных правонарушениях, что направлено на ускорение привлечения виновных лиц к ответственности.

Компаниям – продавцам данных также нужно помнить, что они могут быть привлечены к ответственности не только по заявлениям граждан, когда их действия стали очевидными. Роскомнадзор в ходе мониторинга сайтов регулярно выявляет нарушителей закона, и до вступления в силу поправок привлечением к ответственности занимаются органы прокуратуры. Суммарно с 2008 г. все виновные лица оштрафованы лишь на 10,8 млн руб., но скоро размеры пополнения бюджета увеличатся многократно.

Однако данные суммы вряд ли сравнятся с прибылью, получаемой крупными компаниями от использования личных данных пользователей. Уже много лет в открытом доступе на просторах Всемирной паутины размещены «калькуляторы», где каждый может оценить стоимость своих данных, в том числе используемых без его согласия. А сколько стоят ваши данные?


Рассказать: