Что делать если ваши персональные данные размещены на сайтах в сети интернет без вашего согласия

Обновлено: 25.04.2024

Наши персональные данные, которые мы размещаем в социальных сетях и на различных платформах - это не просто ФИО, фото и сведения об образовании. Искусственный интеллект при анализе размещенной нами информации может делать удивительно точные выводы о нас, это может быть безобидное - какой вы психотип, или более существенные - где человек живет, работает, его благосостояние и пр.

Можно ли свободно брать наши персональные данные из открытых источников, анализировать и делать выводы, формировать базы данных или пополнять уже сформированные недостающими данными?

Обратимся к двум законам и двум решениям суда (если у вас есть еще - напишите пожалуйста в комментариях).

Статья 8

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Статья 22
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
4) сделанных субъектом персональных данных общедоступными;

Статья 7. Общедоступная информация
1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.
2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.
4. Информация, размещаемая ее обладателями в сети "Интернет" в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных.

Лица, обрабатывающие данные в открытых источниках апеллируют к вышеуказанным нормам подтверждая и гарантируя законность своих действий. Однако, Суд и РКН не согласился с их позицией.

Постановление Арбитражного Суда Московского округа от 9 ноября 2017 г. по делу N А40-5250/2017

Суды указали, что не являются общедоступными обрабатываемые персональные данные, содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру).

Размещение персональных данных в указанных открытых источниках, исходя из положений Закона о персональных данных не делает их автоматически общедоступными.

Доводы заявителя о том, что согласие пользователей на обработку персональных данных не требуется, обоснованно отклонены судами.

Судами сделан обоснованный вывод о том, что персональные данные, обрабатываемые в социальных сетях не были сделаны общедоступными субъектом персональных данных в связи с чем, в действиях заявителя усматриваются нарушения части 3 статьи 22 и пункта 1 части 1 статьи 6 Закона о персональных данных.

Такой же вывод, мы можем проследить в Апелляционном определение Нижегородского областного суда от 11.10.2016 по делу N 33-12355/2016.

Если кратко резюмировать, то :

социальные сети - не общедоступные источники персональных данных;
наши персональные данные в социальных сетях - не сделаны нами общедоступными путем размещения в социальной сети;
для того, чтобы обрабатывать наши ПД из социальных сетей, в том числе использовать для пополнения готовых баз данных, необходимо получать прямое согласие на такую обработку.

Что интересно, сами сервисы РКН к ответственности не привлекает. Возможно, их законность можно оправдать п. 3 - 5 ст. 6 ФЗ 152: если Оператор, получивший согласие на обработку ПД субъекта в социальных сетях, поручит эту обработку сервису - то такая обработка будет вполне законной. Ведь, пока нет поручения и вводных данных от Оператора (пр. ФИО или телефон), сервис обработкой данных пользователей не занимается.

О незаконности функционала сервиса (который был использован заявителем в приведенном выше Постановлении) поднимало вопрос МВД и одна из социальных сетей, данные из которой агрегирует сервис. Причем в последнем случае заявлялись нарушения в сфере интеллектуальной собственности (смежные права на базу данных) и судебная тяжба продолжается до сих пор.

Что делать если ваши персональные данные размещены на сайтах в сети интернет без вашего согласия

Защита прав субъектов персональных данных

Вопросы, касающиеся использования персональных данных на сайтах в сети «Интернет»:

1.Вопрос: Что делать, если мои персональные данные размещены на сайтах в сети «Интернет» без моего согласия?

Ответ: В данном случае следует предоставить в адрес Управления Роскомнадзора соответствующее обращение. В целях объективного и полного рассмотрения необходимо указать следующую информацию:

1) перечень персональных данных, неправомерно обрабатываемых на сайтах в сети «Интернет»;

2) сведения о документе, удостоверяющем Вашу личность (копии страниц паспорта), для подтверждения принадлежности персональных данных, неправомерно размещенных на сайтах в сети «Интернет», к Вам, как к субъекту персональных данных;

4) сведения, уполномочивающие Вас представлять интересы физических лиц (копии доверенностей), персональные данные которых размещены на сайтах (в случае нарушения их прав как субъектов персональных данных).

Дополнительно следует представить (при наличии):

- сведения, подтверждающие факт направления Вами в адрес администрации сайта (далее - оператор) требования об уничтожении Ваших персональных данных с указанием на их незаконное получение (без согласия) оператором или с указанием того, что они не являются необходимыми для заявленной цели обработки (представляется при возможности направления указанного требования);

- ответ оператора на Ваше требование об уничтожении Ваших персональных данных (при наличии).

Обращаем внимание на то, что все имеющиеся сведения должны быть представлены в адрес Управления единовременно.

2. Вопрос: Является ли обработкой персональных данных размещение на сайтах в сети "Интернет" фотографии без иной дополнительной информации?

Ответ: Размещение на страницах сайтов в сети «Интернет» фотографии без дополнительной информации, позволяющей идентифицировать физическое лицо, как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица.

3. Вопрос: Является ли обработкой персональных данных размещение фамилии, имени и отчества без иной дополнительной информации?

Ответ: Размещение на страницах сайтов в сети «Интернет» фамилии, имени и отчества без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица.

Обращаем Ваше внимание на то, что при размещении персональных данных в публичных сообществах социальных сетей следует разграничить вопросы защиты персональных данных и защиты чести, достоинства и деловой репутации.

Вопросы защиты чести, достоинства и деловой репутации решаются в порядке, установленным гражданским судопроизводством. Для чего гражданину необходимо обратиться в суд за защитой своих прав, свобод и интересов.

4. Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?

Ответ: При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.

Кроме того, предложения оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.

Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

5. Вопрос: Вопрос: В информационно-телекоммуникационной сети «Интернет» имеет место факт размещения на сайтах информации, содержащей персональные данные о лицах, привлеченных к уголовной ответственности (решения судов). Является ли данный факт нарушением законодательства о персональных данных?

Ответ: В соответствии со ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Вместе с тем, раскрытие предполагаемой информации может осуществляться либо в силу федерального закона, либо с согласия этих лиц.

В соответствии со ст. 7 Федерального закона «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Судебные решения, в том числе по делам об административных правонарушениях, размещаются в открытом доступе в сети Интернет в соответствии со ст. 14 Федерального закона от 22.12.2008 № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» (далее - Закона от 22.12.2008 № 262-ФЗ).

Таким образом, объем размещенной в открытых источниках информации о лицах, привлеченных к административной ответственности не должен превышать объем, установленный ст. 15 Закона от 22.12.2008 № 262-ФЗ.

Вопросы, касающиеся выявленных фактов мошенничества:

1. Вопрос: Рассматривает ли Роскомнадзор обращения граждан, в которых сообщается о действиях мошенников/аферистов/субъектах, распространяющих поддельные документы, программное обеспечение и т.д.?

Ответ: Рассмотрение дел, содержащих в себе признаки мошенничества (незаконное списание денежных средств и т.п.), в том числе рассмотрение обращений, относительно деятельности мошеннических интернет-ресурсов, а также дел о продаже поддельных документов и программного обеспечения, не входит в полномочия Управления, так как делами такого рода занимаются правоохранительные органы.

При поступлении в Управление обращений, содержащих в себе вышеуказанные вопросы, данные обращения перенаправляются в Министерство Внутренних Дел Российской Федерации для рассмотрения поставленных вопросов в пределах установленной законом компетенции.

Вопросы, касающиеся использования персональных данных ребенка:

1. Вопрос: Достаточно ли подписи одного родителя в согласии на обработку персональных данных ребенка? Как быть в ситуации, когда родитель категорически отказывается подписывать согласие на обработку персональных данных?

Ответ: В соответствии с ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» допускается обработка персональных данных, в том числе:

- если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций полномочий обязанностей;

- если обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг (п. 4 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Таким образом, согласие на обработку персональных данных ребенка требуется только в том случае, если осуществляется обработка персональных данных, не совместимая с образовательными целями, либо не подпадает под действие п. 4 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

В случае необходимости получения согласия на обработку персональных данных ребенка в письменной форме, достаточно подписи одного из родителей, ввиду того, что в соответствии с п. 1 ст. 61 Семейного кодекса Российской Федерации, родители имеют равные права и несут равные обязанности в отношении своих детей.

2. Вопрос: Возможно ли размещать на сайте образовательного учреждения персональные данные детей, а также фото с мероприятий?

Ответ: Основополагающим принципом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») является осуществление обработки персональных данных на законной и справедливой основе, ограничиваясь достижением заранее определенных и законных целей. При этом не допускается обработка персональных данных, несовместимая с заранее определенными и заявленными целями сбора.

Таким образом, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей, а содержание и объем обрабатываемых персональных данных не должны быть избыточными, а строго соответствовать заявленным целям обработки.

Обращаем Ваше внимание на то, что законодательство в области персональных данных определяет два понятия «предоставления» персональных данных и их «распространения».

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Для выполнения образовательных целей достаточно предоставления информации.

В связи с вышеизложенным, в целях недопущения нарушения прав несовершеннолетних и их законных представителей, рекомендуется исключить публикацию их персональных данных (в том числе фотографий) на сайтах образовательных учреждений в открытом доступе.

3. Вопрос: Возможна ли публикация персональных данных педагогов на официальных сайтах образовательных учреждений без их согласия?

- если персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Статьей 29 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» предусмотрено, что образовательные организации формируют открытые и общедоступные информационные ресурсы, содержащие информацию об их деятельности, и обеспечивают доступ к таким ресурсам посредством размещения их в информационно-телекоммуникационных сетях, в том числе на официальном сайте образовательной организации в сети «Интернет». Образовательные организации обеспечивают открытость и доступность, в том числе, о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы.

Кроме того, Правилами размещения на официальном сайте образовательной организации в информационно – телекоммуникационной сети «Интернет» и обновления информации об образовательной организации», утвержденными Постановлением Правительства Российской Федерации от 10.07.2013 № 582, конкретизирован характер информации, подлежащей размещению на официальном сайте.

Так, образовательное учреждение вправе без согласия на обработку персональных данных размещать на своем официальном сайте следующее: информацию о руководителе образовательной организации, его заместителях, руководителях филиалов образовательной организации (при их наличии), в том числе: фамилия, имя, отчество (при наличии) руководителя, его заместителей; должность руководителя, его заместителей; контактные телефоны; адрес электронной почты; о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы, в том числе: фамилия, имя, отчество (при наличии) работника; занимаемая должность (должности); преподаваемые дисциплины; ученая степень (при наличии); ученое звание (при наличии); наименование направления подготовки и (или) специальности; данные о повышении квалификации и (или) профессиональной переподготовке (при наличии); общий стаж работы; стаж работы по специальности.

4. Вопрос: Допускается ли размещение на сайте образовательного учреждения размещение благодарностей и поздравлений родителям за активное участие в конкурсах и мероприятиях?

Ответ: Размещение такой информации допускается, на усмотрение родителей, при условии отсутствия в таких благодарностях и поздравлениях персональных данных несовершеннолетних.

Вопросы, касающиеся работы банковких и коллекторских организаций

1. Вопрос: Разъяснения о правомерности телефонных звонков третьим лицам с целью возврата просроченной кредитоской задолженности.

Ответ: В последнее время участились случаи поступления в Роскомнадзор обращений граждан по вопросу осуществления кредиторами (или лицами, действующими по поручению кредитора) телефонных звонков с целью принудить третьи лица выплатить кредиторскую задолженность.

В связи с этим Роскомнадзор как уполномоченный орган по защите прав субъектов персональных данных считает необходимым разъяснить следующее.

При осуществлении мер, направленных на взыскание просроченной кредиторской задолженности, кредиторы (а также лица, действующие от их имени)прибегают к различным способам установления информации о должнике, в том числе совершают звонки в адрес третьих лиц. Это могут быть члены семьи должника, родственники, иные проживающие с должником лица, соседи и любые другие физические лица. При этом звонившие не обращают внимание на необходимость одновременного соблюдения условий, которые позволяют считать такие звонки законными. Взаимодействие кредиторов с любыми третьими лицами возможно только в случае:

1. наличия согласия должника на осуществление взаимодействия с третьим лицом, направленного на возврат просроченной задолженности;

2. третьим лицом не выражено несогласие на осуществление с ним взаимодействия.

Таким образом, все действия кредиторов (или лиц, действующих по поручению кредитора) в отношении третьих лиц, предпринимаемые в отсутствии их волеизъявления, являются незаконными.

В случае выявления подобных фактов граждане вправе обратиться в Роскомнадзор, приложив соответствующие материалы, для принятия, при наличии оснований, мер реагирования.

Что делать если ваши персональные данные размещены на сайтах в сети интернет без вашего согласия

Ответы на часто задаваемые вопросы

Часто задаваемые вопросы, в сфере защиты прав субъектов персональных данных,

при направлении обращений граждан и ответы на них

Вопросы, касающиеся телефонных звонков от банков/коллекторов:

1.2) Порядок действий при поступлении звонков банков/коллекторов с информированием о счете, кредите или вкладе, который не принадлежит владельцу телефонного номера, со ссылкой, что именно этот телефонный номер был предоставлен неизвестным должником в качестве контактного?

Ответ: В данных случаях рекомендуется предоставить в организацию, совершающую звонки копию абонентского договора, на номер телефона на который поступают звонки, заключенного на Ваше имя, для подтверждения того, что данный номер телефона принадлежит лицу отличному от того лица, с которым Организации имеет договорные отношения.
В случае, если после предоставления вышеуказанных сведений, Организация не прекращает осуществлять звонки, следует предоставить в адрес Управления Роскомнадзора (далее - Управление) соответствующее обращение, в котором, в целях объективного и полного его рассмотрения, руководствуясь Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», необходимо представить в адрес Управления следующие материалы (информацию):

- сведения, подтверждающие факт поступления, звонков со стороны банка/коллекторского агентства (далее - Операторы), в том числе выписку («Детализация звонков/разговоров»), отражающую поступление телефонных звонков с номеров, принадлежащих Операторам;

- сведения документального характера, удостоверяющие личность лица, права которого нарушаются (копии страниц паспорта, в том числе страницу с адресом регистрации), а также копию Абонентского договора на номер телефона, на который поступают звонки, заключенного на Ваше имя;

- сведения, подтверждающие факт направления Вами в адрес Оператора документов, указывающих на принадлежность номера телефона, на который осуществляются звонки лицу, отличному от того с которым Организации имеет договорные отношения;

- ответ оператора на направление Вами вышеуказанных документов (при наличии);

- сведения об организациях (ИНН, фирменное наименование, адрес), которые осуществляют звонки (в соответствии с Положением об Управлении, утвержденным Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29.12.2012 № 1482, проведение оперативно - розыскных мероприятий не входит в компетенцию Управления).

Обращаем внимание на то, что все вышеуказанные сведения должны быть представлены в адрес Управления единовременно.

2) Что делать в случае, если банк/коллекторские агентства осуществляют звонки на рабочий телефон, либо звонят посторонним людям, сообщая сведения о Вас как клиенте, размере долга, таким образом разглашая ваши персональные данные с нарушением прав как субъекта персональных данных?

Ответ: В данном случае следует предоставить в адрес Управления Роскомнадзора соответствующее обращение, в котором, в целях объективного и полного рассмотрения обращения, руководствуясь Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», необходимо представить в адрес Управления следующие материалы (информацию):

- сведения, подтверждающие факт поступления и содержания звонков со стороны банка/коллекторского агентства (далее - Операторы), в том числе выписку («Детализация звонков/разговоров»), отражающую поступление телефонных звонков с номеров, принадлежащих Операторам;

Вопросы, касающиеся использования персональных данных на сайтах в сети Интернет без согласия владельца:

3) Что делать, если мои персональные данные размещают на сайтах в сети «Интернет» без моего согласия?

- перечень персональных данных, неправомерно обрабатываемых на сайтах в сети «Интернет»;

- сведения документального характера, удостоверяющие Вашу личность (копии страниц паспорта), для подтверждения принадлежности персональных данных, неправомерно размещенных на сайтах в сети «Интернет», к Вам, как к субъекту персональных данных;

- сведения, уполномочивающие Вас представлять интересы физических лиц (копии доверенностей), указанных в обращении (в случае нарушения их прав, как субъектов персональных данных).

Дополнительно следует представить:

- сведения, подтверждающие факт направления Вами в адрес оператора требования об уничтожении Ваших персональных данных, с указанием на их незаконное получение (без согласия) оператором, или с указанием того, что они не являются необходимыми для заявленной цели обработки (при возможности направления указанного требования);

- ответ оператора на Ваше требование об уничтожении Ваших персональных данных (при наличии).

Вопросы, касающиеся использования персональных данных при рассылке рекламной информации:

Абонентский номер (номер телефона) - это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств. Из этого следует, что номер телефона без указания на его владельца не является информацией, на основании которой его владельца (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.

Персональные данные в открытых источниках: ВКонтакте, Instragram, Twitter и др. Их правовой статус и можно ли обрабатывать их без согласия пользователей

Обратимся к двум законам и двум решениям суда (если у вас есть еще - напишите пожалуйста в комментариях).

Статья 8

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Статья 22
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
4) сделанных субъектом персональных данных общедоступными;

Статья 7. Общедоступная информация
1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.
2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.
4. Информация, размещаемая ее обладателями в сети "Интернет" в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных.

Постановление Арбитражного Суда Московского округа от 9 ноября 2017 г. по делу N А40-5250/2017

Если кратко резюмировать, то :

социальные сети - не общедоступные источники персональных данных;
наши персональные данные в социальных сетях - не сделаны нами общедоступными путем размещения в социальной сети;
для того, чтобы обрабатывать наши ПД из социальных сетей, в том числе использовать для пополнения готовых баз данных, необходимо получать прямое согласие на такую обработку.

Читайте также: