Как часто вам приходилось заполнять анкеты при оформлении карты лояльности понравившегося магазина? Или же проходить безобидную регистрацию на сайте для получения доступа к интересующей вас информации? Большинство пользователей не задумываются, что платой за свободный интернет, бесплатные сервисы и небольшие скидки являются их данные.

Кто и зачем использует ваши данные?
Крупнейшими покупателями данных являются компании – гиганты рынка. Google и Яндекс синхронизируют информацию из различных источников, чтобы точнее определить предпочтения пользователя.

Facebook собирает обезличенные сведения: какие посты и комментарии написал пользователь, как долго читал ту или иную запись, где находится устройство и даже какова мощность сигнала. Эти данные сервис использует для безопасности – не позволяет иным лицам копировать ваш профиль, для удобства – поднимает профиль человека, с которым вы больше всего общаетесь, а также для передачи сведений рекламодателям – т.е. для размещения рекламы тех товаров, которые нужны именно вам.

Однако не только социальные сети, где пользователь добровольно размещает сведения о себе, но и банковский сектор использует информацию о клиентах, в том числе в коммерческих целях. Так, недавно Сбербанк России раскрыл крупнейшей сети фастфуда McDonald’s обезличенные данные о транзакциях своих клиентов для успешной рекламной кампании и продвижения нового продукта сети ресторанов – Грик Мака. Хотя первоначально данные не содержали указания на конкретное лицо, совершившее покупку по карте Сбербанка, в дальнейшем специалистам IT-сферы удалось дополнить их профилями из социальных сетей и – предложить рекламу. Давали ли клиенты Сбербанка согласие на продажу данных о себе? Хотели ли получать такую рекламу? Вопрос остается открытым.

Цена вопроса
На первый взгляд, все вышеперечисленное нацелено на заботу о пользователе: зайдя утром на свою страницу социальной сети можно обнаружить предложение о покупке товара, который так и не удалось найти накануне вечером в поисковике. Это стало возможным благодаря CPA-маркетингу (Cost Per Action – «плата за действие»). Маркетологи определяют максимально заинтересованных потребителей, предлагают товар определенного продавца и в случае совершения сделки получают свою плату. Доходность такого бизнеса может достигать до миллиона рублей в месяц.

В то же время огромные убытки могут понести предприниматели – владельцы сайтов, использующих «Яндекс.Метрику». Потенциальный покупатель оказался на сайте продавца, нашел необходимый товар, но решил немного обдумать покупку и покинул сайт. Зайдя в следующий раз в поисковик, в первых строчках покупатель обнаружит уже не предложение продавца, чей сайт он недавно посещал, а предложения его конкурентов и, возможно, сделает выбор в пользу их товара.

Что говорит закон?
Законодательство далеко от совершенства. Согласно ч. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», персональные данные – это любая информация, относящаяся к определенному или определяемому (т.е. прямо или косвенно) на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. То есть это те данные, посредством которых можно определить конкретного человека, и в их число не входит самый ценный массив – обезличенные данные, чем непременно пользуются крупные игроки. Помимо того, на практике существует множество вопросов: могут ли другие сведения быть отнесены к предмету вышеуказанного Закона и в каком сочетании? Государство в лице Роскомнадзора в письме от 20 января 2017 г. № 08АП-6054 «О результатах рассмотрения обращения Казначейства России» указывает на то, что информация в объеме «фамилия, имя, отчество» является персональными данными и должна охраняться нормами Закона о персональных данных. Таким образом, законодатель не только не урегулировал вопрос в должной мере, но и выстроил преграды из сочетаний данных.

Также представители IT-компаний утверждают, что задача по сбору и обработке персональных данных была бы куда сложнее, если бы не существовало социальных сетей – открытых источников, где пользователи добровольно размещают личную информацию, в том числе и персональную. И они совершенно правы: на текущий момент законодатель никак не охраняет пользовательские данные социальных сетей, т.е. лицо добровольно передает неопределенному кругу лиц ценнейший ресурс, который на законных основаниях может использоваться в любых целях.

В настоящее время привлечь к ответственности можно только оператора персональных данных – лицо, занимающееся их сбором, даже если этот сбор ведется в табличке Excel. Но, повторимся, сфера действия Закона о персональных данных никак не охватывает обезличенные данные, используемые в идентификационном маркетинге.

Ответственность за нарушение
В последние годы стала появляться практика в области привлечения к административной ответственности за несоблюдение законодательства о персональных данных. Первой ласточкой можно считать решение Арбитражного суда г. Москвы о привлечении ПАО «МГТС» к административной ответственности (дело от 11 марта 2016 г. № А40-14902/2016-84-126). МГТС собирала персональные данные своих пользователей (IP-адрес, поисковые запросы, адреса посещаемых сайтов и время их посещения и другие сведения, позволяющие идентифицировать гражданина), а затем продавала их коммерческим компаниям. Суд установил, что эти данные – персональные и не подлежат передаче третьей стороне без ведома абонентов. Остается только догадываться, какую прибыль по договорам получил один из крупнейших операторов страны. При этом за такое нарушение закона компании был присужден штраф в размере всего лишь 30 тыс. руб.

Законодатель все же обратил внимание на размер штрафов. С 1 июля 2017 г. ответственность физических, юридических и должностных лиц будет ужесточена: сумма штрафов вырастет до 75 тыс. руб., а по разным составам правонарушений в совокупности – до 295 тыс. руб. Поправки также наделяют Роскомнадзор полномочиями по возбуждению дел об административных правонарушениях, что направлено на ускорение привлечения виновных лиц к ответственности.

Компаниям – продавцам данных также нужно помнить, что они могут быть привлечены к ответственности не только по заявлениям граждан, когда их действия стали очевидными. Роскомнадзор в ходе мониторинга сайтов регулярно выявляет нарушителей закона, и до вступления в силу поправок привлечением к ответственности занимаются органы прокуратуры. Суммарно с 2008 г. все виновные лица оштрафованы лишь на 10,8 млн руб., но скоро размеры пополнения бюджета увеличатся многократно.

Однако данные суммы вряд ли сравнятся с прибылью, получаемой крупными компаниями от использования личных данных пользователей. Уже много лет в открытом доступе на просторах Всемирной паутины размещены «калькуляторы», где каждый может оценить стоимость своих данных, в том числе используемых без его согласия. А сколько стоят ваши данные?