Многие компании в России, предоставляющие услуги СМС-авторизации, дополнительно предлагают своим клиентам т.н. SMM Аналитику.
Другими словами автоматически собирают данные о пользователях из социальных сетей и передают клиенту. В каждой компании по разному объясняют законность таких действий, но абсолютно каждая компания уверят, что все происходит в рамках закона и никто не нарушает Федеральный Закон №152 «О персональных данных». К сожалению клиенты верят и используют такие инструменты аналитики. В этой статье хочу рассказать, почему мы не собираем такие данные и никогда не передаем клиенту никакой информации о подключавшихся абонентах.
Получить базу потенциальных клиентов практически бесплатно очень заманчивое предложение. На вопрос клиента насколько это законно, как правило ответ один:
- Отдельно взятые данные, например, только номер телефона, не являются сами по себе персональными данными, а, значит, собирать их можно;
- Пользователи самостоятельно выкладывают свои данные в открытый доступ, тем самым давая согласие на то, что их данные будут обрабатываться, а также на то, что им будут звонить или отправлять сообщения.
Но так ли это на самом деле?
Персональными данными, согласно статье 3 федерального закона «О персональных данных», называется «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Большенство компаний показывают клиенту именно такую выдержку из закона, где не определен список того, что является персональными данными. При этом, что важно, нет никакого указания на то, что обязательно наличие ФИО, чтобы данные стали персональными. Тем самым личный номер телефона физического лица тоже является персональными данными.
Перейдем к пользовательским данным в социальных сетях. Даже не смотря на то, что каждый пользователь самолично выкладывает данные в свободный доступ статья 6 федерального закона «О персональных данных» все равно обязывает получать согласие на обработку персональных данных: «обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных». А статья 9 того же закона уточняет, что:
- Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
- Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
- Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
- Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.
Тем самым сбор информации о пользователях в социальных сетях является не законным. За это в Кодексе о административных правонарушениях предусмотрена ответственность.
ст.13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.»
Важно отметить также, что санкции этим могут не ограничиться, поскольку нарушение федерального закона «О персональных данных» может сопровождаться нарушением федерального закона «О рекламе», если по собранной базе, например, рассылались рекламные СМС-сообщения.