Bize habercilerden veya telefonla ulaşın.

whatsapp telegram viber phone email
+79214188555

Arbitration Practice: Processing Personal Data from Social Networks

НСК-СБ

Yönetici
Private access level
Full members of NP "MOD"
Katılım
14 Tem 2011
Mesajlar
3,170
Tepkime puanı
2,159
Puanları
613
Konum
Новосибирск
Arbitration practice: Processing personal data from social networks.
By posting information about themselves on social networks, not all of our citizens understand that it can be used to compile their profile. The collection and processing of such information was actively carried out by the National Bureau of Credit Histories JSC (“NBCH”).

In May 2017, the Moscow City Arbitration Court examined case No. A40-5250 / 17, in which the court had to assess the competence of processing such personal data.

The essence of the dispute

In August 2016, the Department of Roskomnadzor for the Central Federal District conducted a scheduled field audit of the National Bureau of Credit Histories JSC (“NBCH”) with regard to the compliance of personal data processing activities with legal requirements.

Based on the results of the audit, an audit report was drawn up and an order was issued to eliminate the identified violation.

Regarding the requirement regarding the need to include in the notification of the authorized body the data of individuals (clients or potential clients of a financial institution) from open sources of information transmitted to a financial institution obtained using the Double Data Social Link service - web link, search result about a client or potential client , and the Double Data Social Attributes service - processing the profile of the sought-after individual in open sources of information (clause 1), as well as in terms of indicating a violation of the law in the form of a lack of consent to processing contained in open sources (social networks: VKontakte, Odnoklassnyi, MyMir , Instragram, Twitter; Internet portals Avito and Avto.ru) personal data of a client or potential client of a financial organization, as part of the provision of the service based on the “big data” service ( those. Big data ) - illegal and violating the rights and legitimate interests of society in the field of entrepreneurial and other economic activities, the latter filed a lawsuit in the arbitration court.

Position of the Moscow Arbitration Court

As regards the present case, the court noted that the processing of personal data is allowed in particular in the following cases:
  • PD processing is carried out with the consent of the PD subject to the processing of his personal data (Clause 1, Part 1);
  • The processing of personal data is carried out, access to an unlimited number of persons to which is provided by the PD subject or at his request (personal data made publicly available by the PD subject) (Clause 10, Part 1);
Thus, speaking about personal data made public by the subject of personal data, two conditions are necessary:
  • Personal data is available to an indefinite number of persons;
  • Personal data provided directly by the subject .
Without the written consent of the PD subject, it is not possible to assert that they are provided to them.

According to the court, personal data made publicly accessible by the subject of personal data may be contained only in public sources of personal data.
For reference. Section 8 of the Law on Personal Data introduced the definition of “publicly available sources of personal data”, according to which publicly accessible sources of personal data (including directories, address books) can be created for information support. With the written consent of the subject of personal data, public sources of personal data may include his last name, first name, middle name, year and place of birth, address, subscriber number, information about the profession and other personal data communicated by the subject of personal data.
The court concluded that information about the subject (including personal data) contained in social networks (on the Internet) cannot be attributed to personal data made by the subject publicly available, since social networks are not a source of publicly accessible PD in relation to the provisions of Article 8 of the Law.

The court also noted that the information posted by its owners on the Internet in a format that allows automated processing without prior changes by a person for the purpose of reusing it is publicly available information posted in the form of open data (Article 7 of the Federal Law of 07.27.2006 No. 149-ФЗ “On Information, Information Technologies and Information Protection”).

My comment: Well, here the court slightly “bent”; open data is from a completely different opera!

The court concluded that the personal data processed by NBKI JSC on social networks were not made publicly available by the PD subject, and therefore the applicant’s actions contained violations of Article 22, paragraph 3, and Article 6, paragraph 1, of the Federal Law of July 27, 2006 No. 152-FZ “On Personal Data”.

The arbitration court rejected in full the application of NBKI JSC on invalidation of paragraphs 1 and 4 of the order of the Federal Service for Supervision of Roskomnadzor.

Position of the Ninth Arbitration Court of Appeal

The Ninth Arbitration Court of Appeal in July 2017 noted that the company was included in the register of operators that process personal data under the number 08-0031682.

As part of the implementation of this type of activity, the company processes the personal data of clients, potential clients of financial organizations contained in open sources (social networks: VKontakte, Odnoklassniki, MoyMir, Instragram, Twitter; Internet portals Avito and Avto.ru). The consent of customers to the processing of such data is absent from the company.

The company believes that it has the right to process personal data about individuals without their consent. According to the court, the company did not take into account the following.

According to the court of appeal, the personal data processed by the company contained in open sources (social networks: VKontakte, Odnoklassniki, MoyMir, Instragram, Twitter; Internet portals Avito and Avto.ru) are not publicly available. Within the meaning of the Law on Personal Data, the placement of personal data in these open sources does not automatically make them publicly available. Therefore, the processing of such data without the consent of the subject is not allowed.

The Ninth Arbitration Court of Appeal upheld the decision of the Moscow Arbitration Court, and the appeal was dismissed.

Arbitration Court of the Moscow District in November 2017 upheld the decision of the Moscow Arbitration Court and the ruling of the Ninth Arbitration Court of Appeal, and the appeal was dismissed.

The position of the Supreme Court of the Russian Federation

In January 2018, a judge of the Supreme Court of the Russian Federation (ruling No. 305-KG17-21291) refused to submit a cassation appeal to JSC National Bureau of Credit Histories for consideration at a court session of the Judicial Collegium for Economic Disputes of the Supreme Court of the Russian Federation.

My comment: Processing information from social networks is a widespread method of collecting and analyzing information about people and organizations, and now only the lazy one is not engaged in collecting such information about their clients and contractors. The harsh truth of life is that someone who does not verify their potential employees, customers, and counterparties in this way does not in fact show due diligence. Those who are more cunning, try to talk less about this to the public, and if possible not to pronounce the words “personal data”.

The collection of information about citizens inevitably entails the problem of the legality of such actions, since any information about citizens is their personal data.

I note that no matter what instructions Roskomnadzor issues, if the receipt of such information allows commercial organizations to seriously reduce the risks of financial losses, its processing will continue anyway. Well, perhaps, the lawyers who come up with a legal “cover” for this activity will earn a little more :)

Source: Official site of the Supreme Court of the Russian Federation / E-justice in economic disputes
:: Federal Arbitration Courts of the Russian Federation :: System of Arbitration Courts of the Russian Federation
Arbitration Practice: Processing Personal Data from Social Networks
 
Original message
Арбитражная практика: Обработка персональных данных из социальных сетей.
Размещая информацию о себе в социальных сетях, не все наши граждане понимают, что она может быть использована для составления их профиля. Сбором и обработкой такой информации активно занималось АО «Национальное бюро кредитных историй» («НБКИ»).

Арбитражный суд города Москвы в мае 2017 года рассмотрел дело № А40-5250/17, в котором суду пришлось оценивать правомочность обработки таких персональных данных.

Суть спора

В августе 2016 года Управлением Роскомнадзора по Центральному федеральному округу была проведена плановая выездная проверка АО «Национальное бюро кредитных историй» («НБКИ») в части соответствия деятельности по обработке персональных данных требованиям законодательства.

По результатам проверки был составлен акт проверки и выдано предписание об устранении выявленного нарушения.

Расценив предписание в части необходимости включения в уведомление уполномоченного органа данных физических лиц (клиентов либо потенциальных клиентов финансовой организации) из открытых источников информации, передаваемых финансовой организации, полученных с использованием сервиса Double Data Social Link - web-ссылка, результат поиска о клиенте либо потенциальном клиенте, и сервиса Double Data Social Attributes - обработка профиля искомого физического лица в открытых источниках информации (пункт 1), а также в части указания на нарушение требований закона в виде отсутствия согласия на обработку содержащихся в открытых источниках (социальных сетях: ВКонтакте, Одноклассними, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру) персональных данных клиента либо потенциального клиента финансовой организации, в рамках оказания услуги на основании сервиса «big data» (т.е. «большие данные») - незаконным и нарушающим права и законные интересы общества в сфере предпринимательской и иной экономической деятельности, последнее обратилось с иском в арбитражный суд.

Позиция Арбитражного суда города Москвы

Применительно к настоящему делу, суд отметил, что обработка персональных данных допускается в частности в следующих случаях:
  • Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его персональных данных (п. 1 ч. 1);
  • Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (персональные данные, сделанные общедоступными субъектом ПДн) (п. 10 ч. 1);
Таким образом, говоря о персональных данных, сделанных субъектом ПДн общедоступными, необходимы два условия:
  • Персональные данные доступны неопределенному кругу лиц;
  • Персональные данные предоставлены непосредственно самим субъектом.
Без письменного согласия субъекта ПДн не представляется возможным утверждать, что они предоставлены именно им.

По мнению суда, персональные данные, сделанные общедоступными субъектом ПДн, могут содержаться только в общедоступных источниках ПДн.
Для справки. Статьей 8 Закона о персональных данных введено определение «общедоступных источников персональных данных», согласно которому в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Суд пришел к выводу о том, что информация о субъекте (в том числе персональные данные), содержащиеся в социальных сетях (в сети Интернет), не может быть отнесена к ПДн, сделанным субъектом общедоступными, поскольку социальные сети не являются источником общедоступных ПДн применительно к положению ст.8 Закона.

Суд также отметил, что информация, размещаемая ее обладателями в сети «Интернет» в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных (ст. 7 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Мой комментарий: Ну здесь суд слегка «загнул»; открытые данные - это совсем из другой оперы!

Суд сделал вывод о том, что персональные данные, обрабатываемые АО «НБКИ» в социальных сетях не были сделаны общедоступными субъектом ПДн в связи с чем в действиях заявителя усматриваются нарушения ч.3 ст.22 и п.1 ч.1 ст.6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

Арбитражный суд отказал в полном объеме в удовлетворении заявления АО «НБКИ» о признании недействительными пунктов 1 и 4 предписания Управления Роскомнадзора по ЦФО.

Позиция Девятого арбитражного апелляционного суда

Девятый арбитражный апелляционный суд июле 2017 года отметил, что общество внесено в реестр операторов, осуществляющих обработку персональных данных, под номером 08-0031682.

В рамках осуществления данного вида деятельности общество обрабатывает содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру) персональные данные клиентов, потенциальных клиентов финансовых организаций. Согласие клиентов на обработку таких данных у общества отсутствует.

Общество считает, что обладает правом обработки персональных данных о лицах без их согласия. По мнению суда, обществом не учтено следующее.

По мнению апелляционного суда, не являются общедоступными обрабатываемые обществом персональные данные, содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру). По смыслу Закона о персональных данных, размещение персональных данных в указанных открытых источниках не делает их автоматически общедоступными. Следовательно, не допускается обработка таких данных без согласия субъекта.

Девятый арбитражный апелляционный суд оставил без изменения решение Арбитражного суда г. Москвы, а апелляционную жалобу – без удовлетворения.

Арбитражный суд Московского округа в ноябре 2017 года оставил без изменения, решение Арбитражного суда города Москвы и постановление Девятого арбитражного апелляционного суда, а кассационную жалобу без удовлетворения.

Позиция Верховного Суда Российской Федерации

Судья Верховного Суда Российской Федерации в январе 2018 года (определение № 305-КГ17-21291) отказала АО «Национальное бюро кредитных историй» в передаче кассационной жалобы для рассмотрения в судебном заседании Судебной коллегии по экономическим спорам Верховного Суда РФ.

Мой комментарий: Обработка информации из социальных сетей – широко распространенный метод сбора и анализа информации о людях и организациях, и сбором такой информации о своих клиентах и контрагентах сейчас не занимается только ленивый. Суровая правда жизни в том, что тот, кто не проверяет таким образом своих потенциальных сотрудников, клиентов и контрагентов, на деле не проявляет должной деловой осмотрительности. Те, кто похитрее, стараются поменьше говорить на публику об этом, и по возможности не произносить слова «персональные данные».

Сбор информации о гражданах неизбежно влечёт за собой проблему законности таких действий, поскольку любая информации о гражданах является их персональными данными.

Отмечу, что какие бы предписания Роскомнадзор ни выдавал, если получение такой информации позволяет коммерческим организациям серьезно снизить риски финансовых потерь, обработка её все равно будет продолжаться. Ну разве что ещё немного подзаработают юристы, придумывающие правовое «прикрытие» для этой деятельности :)

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
:: Федеральные арбитражные суды Российской Федерации :: Система арбитражных судов Российской Федерации
Арбитражная практика: Обработка персональных данных из социальных сетей