Пользовательские данные что это
Пользовательские данные
Любой интернет-проект накапливает большие объемы пользовательских данных: источники, откуда пришли пользователи, пути по сайту, корзины, Client ID, User ID и другие данные, необходимые для анализа маркетингового продвижения. Эту информацию необходимо анализировать, но вручную такие объемы информации обрабатывать сложно и долго.
Пользовательские данные – что это
Пользовательские данные – это информация о пользователях, собираемая в сети различными сервисами и устройствами. Кто собирает пользовательские данные? Да практически все!
— Браузеры и поисковики,
— Соцсети и мессенджеры,
— Каждый владелец сайта 🙂
Какую информацию можно собрать о пользователе?
— Данные, которыми пользователь делится сам (email при подписке на рассылку, профили в соцсетях – дата рождения, ФИО и т.д.)
— Данные, которые можно собрать косвенно: поведение, географию, путь пользователя на сайте.
Пользовательские данные – зачем собирать
Если вы знаете о своем пользователе все, то вы сможете предложить ему именно тот продукт, который ему интересен. Вы уже не будете предлагать домохозяйке гаечный ключ или крем для загара владельцу автосервиса (хотя, почему бы и нет?).
Данные о пользователях помогают понять своего клиента и создать индивидуальное сообщение, которое может быть использовано:
— в любом рекламном сообщении.
Кроме того, пользовательские данные необходимы для настройки таргетированной рекламы, которая покажет нужный текст с нужным фото нужному пользователю. А значит, повысит вероятность конверсии пользователя в клиента (в разы!).
Знание пользовательских данных поможет создать нативную рекламу в блоге или каком-нибудь профильном СМИ: мало того, что вы будете понимать, что на этой площадке сидит ваша аудитория, вы еще и будете знать, какой текст их сможет заинтересовать.
Пользовательские данные – как собирать
— Если вы владелец сайта, у вас наверняка установлены различные сервисы статистики, счетчики (например, Google Analytics, Яндекс.Метрика). Эти сервисы помогают собирать пользовательские данные: при правильной настройке вы можете увидеть источник, откуда пришел пользователь, посмотреть его путь по сайту (то есть узнать, что именно его интересует).
— Кроме того, вы можете предложить пользователю бесплатный контент и получить более подробную информацию – email или, что лучше, профиль в соцсетях. Если у вас есть профиль вашего пользователя в соцсетях, вы практически владеете миром. Шутка)
Профиль в соцсетях позволит узнать пол, возраст, семейное положение – если это не будет прямо указано, то косвенно. Точно узнаете об интересах пользователя и его социальном статусе (по пабликам и группам, на которые он подписан).
— Системы таргетинга и ретаргетинга также помогут вам собрать информацию о ваших пользователях. Правда она вам будет доступна в закрытом виде – то есть внутри системы вы сможете ею пользоваться (для настройки объявлений), но скачать не сможете.
В общем, пользовательские данные собрать не проблема. Вопрос – что с ними делать дальше.
Пользовательские данные – анализ
Если вы обладатель большого массива пользовательских данных, это еще не значит, что вы молодец. Данными и информацией нужно пользоваться, иначе они так и останутся лежать мертвым грузом.
Большие объемы пользовательских данных можно и нужно сегментировать в зависимости от ваших целей, а главное – целей ваших рекламных кампаний:
— по полу, возрасту, географии,
— по поведению на сайте,
— по товарам в корзине и т.д.
После успешной сегментации можно запускать рекламу. Но – лучше не ограничиваться каким-то одним рекламным сообщением, которе кажется вам и вашему коллеге идеальным. Лучше запускать несколько версий кампании и проводить А/Б-тестирование. Таким образом, вы сможете выделить, какой именно формат и контент привлекает вашу целевую аудиторию (лучше конвертируется в продажи, звонки или заказы).
Пользовательские данные – автоматизируем
Конечно, вручную сегментировать и анализировать такие объемы данных сложно. Сегодня на рынке есть множество сервисов big data для анализа больших данных. В качестве аналитической платформы мы используем Tableau:
— удобно анализировать данные из нескольких источников,
— универсальная платформа для любой аналитики (возможность автоматизировать АБ-тестирование, аналитика рассылок, контексной рекламы и пр.),
— легко осваивать (2 дней вполне достаточно, чтобы начать собирать рабочие дашборды с графиками и диаграммами).
Если у вас есть вопросы по пользовательским данным – как их собирать и анализировать, готовы помочь и проконсультировать:
Пользовательские данные ≠ понимание пользователей
«Без данных — вы лишь очередной человек со своим мнением»
— Вильям Эдвардс Деминг
«Вы не можете улучшить то, что не можете измерить»
— Питер Друкер
Компании собирают данные, чтобы иметь представление о том, что происходит с их бизнесом. Анализируя данные, они создают модели, которые объясняют прошлое, помогают предсказывать будущие события, или оптимизировать существующие процессы.
У моделей, графиков и таблиц одна функция: они избавляют нас от сложностей мира и защищают от его хаотичности. Сложно принимать решения, опираясь на неструктурированную информацию. Поэтому модели приводят в порядок беспорядочное и дают возможность бизнесу принимать осознанные решения на пути к достижению своих целей.
Культ сбора данных
Сегодня крупные компании одержимы Big Data — большими массивами информации о бизнесе, пользователях и их взаимодействии. Аналитики собирают максимум данных о пользователях в надежде, что количество перерастет в качество. Но зачастую компании не понимают, какая информация им нужна и что они планируют с ней делать.
Благодаря простому доступу к статистике, детальным отчетам и инструментам визуализации, компаниям сейчас удобнее получать информацию о типах клиентов и моделях их поведения. Используя статистику, маркетологи планируют рекламные кампании, коммерсанты прогнозируют спрос, а руководители определяют цели на следующий квартал.
Проблема количественных данных в том, что информация о пользователях полезна только после их проверки в реальном мире с реальными людьми. Тем не менее, многие бизнесы остановились на добыче данных и не обращаются к клиентам за дополнительной информацией.
Статистика показывает, что авторизованные на сайте пользователи покупают чаще и больше, чем неавторизованные. Аналитик делает вывод, что увеличение доли авторизованных пользователей увеличит доход. Для этого в разных разделах сайта делаются назойливые напоминания с просьбой авторизоваться.
Такое решение не даст значительного результата, потому что аналитик, опираясь на количественные данные, ошибся в причинно-следственных связях. Пользователи покупают не потому, что они авторизованы. Авторизованные пользователи — это лояльные и повторные покупатели. Если нелояльный или нецелевой пользователь авторизуется на сайте, это не повлияет на его мотивацию сделать покупку. Иногда, чтобы увеличить конверсию на сайте, необходимо не искать способы увеличения конверсии, а уменьшить привлечение нецелевой аудитории.
Бессмысленно смотреть в цифры, графики и пытаться догадаться, почему клиенты покупают один товар, а не другой — нужно пойти и спросить. Но это кажется слишком простым в эпоху Big Data и машинного обучения. Стоит признаться, что ни Big Data, ни машинное обучение всё ещё не могут объяснить поведение людей. Статистика не заменяет живое общение с клиентами. Компаниям нужно воспринимать клиентов как людей, а не только как наборы данных.
Big Data vs Small Data
Последние десять лет крупные компании пытаются свести человеческое поведение к набору моделей. Вместо того, чтобы разобраться в природе человека, они инвестируют в способы её упрощения. Анализ больших данных нацелен на понимание паттернов потребительского поведения и перевод их в успешные модели продаж. Но компании часто терпят неудачи из-за неправильного понимания сигналов. Иррациональность поведения потребителей препятствует созданию идеальной модели, даже при использовании большого количества данных.
Изучая сведения об облачности, они выявили связь между солнечными днями и подъёмом рынков от Нью Йорка до Токио. «Оказывается, когда в Париже облачно, вероятность того, что рынок пойдет вверх, понижается. Однако это не то, на чём можно заработать много денег, поскольку эта тенденция прослеживается в пятидесяти с небольшим случаев из ста.» — рассказывает Питер Браун, сооснователь компании. «Мы не начинаем с моделей, мы начинаем с данных. Мы ищем сигналы, которые могут повторяться тысячи раз.» — добавляет Джеймс Саймонз, руководитель фонда.
«Мы просматриваем исторические данные в поисках аномальных паттернов, которые не кажутся случайными. Мы анализируем данные и рынки, чтобы проверить статистическую значимость события и его постоянство. Когда мы находим обоснованность паттерна, мы спрашиваем себя: соответствует ли это событие поведению, которое кажется разумным?»
Чтобы отделить ценный сигнал от шума, нужны большие вычислительные мощности и сложные математические модели. Большинство компаний не владеет этим, поэтому сегодня использование больших данных — это зачастую попытки объяснить какие-то события задним числом за большие деньги.
Существует 3 проблемы использования Big Data для принятия решений касательно пользовательских сервисов:
Big Data подходит для поиска корреляций, но не для выявления причинно-следственных связей. Для выявления причин нужны так называемые «малые данные» — данные, которые достаточно малы для их понимания человеком. Источником Small Data являются качественные исследования: наблюдения, интервью, симуляции, эксперименты.
Small Data можно назвать человекоцентричной альтернативой Big Data. Оба подхода собирают информацию, чтобы получить представление о поведении, интересах людей и т. д. Но подход малых данных строится на сочетании наблюдательности и прикладной интуиции.
В пользовательских исследованиях Small Data представляют собой с виду незначительные поведенческие наблюдения, которые содержат ценные детали, указывающие на неудовлетворенную потребность клиентов. Такие данные являются основой для прорывных идей и трансформации брендов.
С середины 1990-х годов LEGO начала отходить от своего основного продукта — конструкторов — и ориентировалась на тематические парки, одежду, видеоигры и розничные магазины. Они были убеждены, что из-за компьютеров и видеоигр дети нового поколения требовали мгновенного удовлетворения, и им не хватало терпения или внимания, чтобы собирать сложные конструкторы. Большие данные показали, что будущие поколения потеряют интерес к LEGO.
Но с помощью Small Data LEGO посмотрели на свой бизнес с другой стороны. Компания узнала от своего 14-летнего поклонника, что его подвиги на скейтборде измерялись износом обуви. Он скользил под углом 12,5˚ и это оставляло характерный след на его кроссовках. Такой износ был знаком крутости в его окружении.
Именно тогда LEGO осознала, что дети получают социальное одобрение у своих сверстников, основываясь на мастерстве, которое они проявили в своем избранном хобби. В результате компания переориентировалась на свой основной продукт и создала более сложные и трудоемкие конструкторы. Оказалось, что клиенты оценили этот усложненный опыт.
По наблюдениям Мартина Линдстрема, о которых он пишет в книге «Small Data», из 100 величайших инноваций нашего времени, 60–65% основаны на small data. В отличие от Big Data, Small Data способны объяснять эмоции и давать представление о мотивах поведения людей. Вы можете анализировать настроения и свести эмоции к числам, но вы не можете понять их, глядя только на числа.
Для принятия решений нужны как малые, так и большие данные
Подумайте о сети ресторанов, которая пытается улучшить доставку. Они слышат, что клиенты разочарованы текущей ситуацией, но независимо от того, сколько данных они анализируют, они не могут найти решение. Все потому, что больших данных недостаточно. Компании необходимо исследовать, как клиенты взаимодействуют с доставкой — в каких ситуациях они заказывают её, как ожидают и получают заказ, что происходит после доставки. Затем компании необходимо применить эмпатию, чтобы интерпретировать опыт клиентов и отследить их эмоции. Большие данные не могут этого сделать.
Netflix — это тонко настроенный набор алгоритмов, основанных на огромном количестве информации, которую собирает компания. Эти алгоритмы позволяют Netflix предвидеть всё: от фильма, который вы захотите смотреть в определенное время суток, до списка актеров и режиссеров, которых нужно пригласить для нового сериала. Это большие данные в действии.
При этом есть вещи, которые алгоритмы Netflix не могут предсказать. Хотя он хорош в рекомендациях контента, который мы хотели бы смотреть, он имеет меньше информации о наших реальных впечатлениях от просмотра. Netflix знает, что вы просмотрели три эпизода «Черного зеркала» в воскресенье, но он не знает, что вы в это время делали уборку и общались с мамой по телефону.
Стриминговые сервисы начали изменять способы потребления медиа. Статистика четко уловила эти изменения, но не может объяснить, почему. Поэтому Netflix, имея собственную команду исследователей, также работает с известным антропологом Грантом МакКракеном. Он провел много дней в домах обычных семей в США и Канаде, чтобы узнать, что меняется в жизни людей из того, что может повлиять на потребление медиа. Так в одном из исследований он обнаружил, что зрители более терпимы к спойлерам, чем склонны это признавать. Это означает, что новый способ потребления сериалов — «binge watching», когда зрители устраивают марафон и просматривают сериалы эпизод за эпизодом — не угрожает модели их распространения. Качественные исследования отвечают на десятки вопросов, которые касаются развития бизнеса Netflix, на которые не могут дать ответа большие данные.
Нассим Талеб в своей книге «Черный лебедь» заметил, что люди склонны строить модель, а потом начинают раскладывать реальность по её ячейкам, вместо того чтобы, отталкиваясь от реальности, искать то, что ей соответсвует. В конечном итоге компаниям необходимо использовать как малые, так и большие данные. Важно использовать результаты качественных исследований для построения гипотез и затем искать подтверждение им в моделях, выявленных в больших данных. При тесном контакте с клиентами компаниям легче понять контекст принятия решений и тестировать с ними новые идеи.
Персональные данные: как хранить, обрабатывать и защищать по закону
Персональные данные (ПДн) — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Рассказываем в материале Selectel, о типах ПДн, как правильно их хранить, обрабатывать и законно защищать.
Когда сайт или приложение собирает информацию о пользователях (физических лицах), то владелец ресурса считается оператором персональных данных (ПДн). Личный кабинет в приложении, форма сбора email на сайте или отслеживание геолокации — это всё сбор ПДн. Когда владелец ресурса становится оператором ПДн, то подпадает под 152-ФЗ — закон «О персональных данных», в котором много правил, как оператор обязан обращаться с ПДн, чтобы обеспечивать безопасность полученной информации.
Чтобы определить, что такое ПДн и как с ними работать, обратимся к Федеральному закону №152-ФЗ «О персональных данных». В законе есть следующее определение персональных данных:
«Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу»
Телефон, email, фотография, ФИО — всё это может считаться ПДн.
Также к ПДн можно отнести:
Но есть нюансы. В совокупности друг с другом эти данные могут считаться ПДн, а по отдельности — не всегда. Например, сам по себе адрес электронной почты не ПДн — это абстрактные данные. Но адрес почты «petrov120999@mail.ru», который принадлежит Петрову Петру Петровичу — это ПДн.
Аналогично с телефоном — сам по себе номер это не ПДн. Но если в базе телефонного оператора указано, что владелец номера +7999-999-99-99 — Петров Петр Петрович, то это уже персональные данные. По ним оператор идентифицирует владельца.
Фотография человека всегда является ПДн, однако они не всегда являются биометрическими ПДн, на сбор которых требуется письменное согласие. К примеру, фотография на пропуске — это ПДн, потому что требуется для сверки с лицом человека при входе.
Фамилия, имя и отчество тоже не всегда ПДн. Например, когда мы не знаем человека и без дополнительной информации затруднительно его идентифицировать. Информация «Петров Петр Петрович» ничего нам не говорит — полных совпадений может быть сотни. Но если у нас есть сопоставление, что у Петрова Петра Петровича номер телефона +7-999-999-9999, то это уже ПДн.
Часто ФИО задает контекст и становится ключевой частью в персональной информации, без которой большая часть данных теряет смысл. Например, когда мы анонимно опрашиваем посетителей сайта о размере зарплаты, то не собираем ПДн. Но если через опрос мы выясняем фамилии и имена, то эта информация уже ПДн.
Полного списка ПДн нет. Данные из списка не всегда относятся к ПДн. Поэтому в 152-ФЗ нет эталонного перечня информации, или законченного списка, по которому было бы понятно, из чего состоят персональные данные. Причина в том, что они зависят от контекста.
Если по набору информации можно идентифицировать человека, как личность, то это ПДн. Если для идентификации нужна дополнительная информации — набор данных уже не ПДн.
Примечание. 152-ФЗ не уникален. В Европе действует его аналог — Регламент по защите ПДн (GDPR). GDPR похож на 152-ФЗ, но есть и различия. Например, в GDPR ПДн считаются не только адрес, ФИО или геолокация, но и религиозные, философские, политические взгляды.
Постановление правительства №1119 делит ПДН на 4 категории для информационных систем:
Кажется, что данные, которые известны родным, друзьям или работодателю, однако это в корне неверно. По закону ПДн из общедоступных источников — это только справочники и адресные книги, данные в которые заносятся только с согласия субъекта ПДн. Данные, которые можно найти в интернете общедоступными не являются.
Определенные ПДн входят в категорию специальных, а именно информация о:
Это информация о физиологических и биологических особенностях человека:
Но есть нюанс. В 2013 году Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъяснила, что здесь тоже важен контекст:
Если вы сдали кровь для анализов, то это не биометрические данные — информация с результатами не используется, чтобы выяснить личность. Но отпечатки пальцев, которые требуются для входа офис, уже биометрические данные — узоры на пальце используются для опознания личности.
Сюда входят ПДн, что не относятся ко всем предыдущим. Например:
В законе есть две сущности: субъект и оператор ПДн.
Субъектом персональных данных считается человек, чьи персональные данные использует оператор ПДн, например, собирает.
Субъект — это физическое лицо: владелец аккаунта в соцсети, посетитель сайта или покупатель в магазине. Например, клиент интернет-магазина заказал ноутбук, а чтобы его получить, выбрал курьерскую доставку, оставив фамилию, имя, адрес и телефон. По этим данным можно определить личность покупателя, поэтому теперь он субъект ПДн, а магазин — оператор.
Оператор — это физическое лицо или организация (государственная или частная), которая собирает, обрабатывает, хранит и распространяет ПДн, определяет цели и содержание их обработки.
Например, операторами становятся работодатели, когда соприкасаются с личными данными сотрудников. Даже если сотрудник всего один — работодатель уже оператор.
Рассмотрим, как оператору собирать, хранить, обрабатывать и защищать ПДн.
Условия. Если на сайте или в приложении есть возможность зарегистрироваться, заполнить анкету, заказать товар или подписаться на рассылку — это ресурс уже собирает ПДн. В 14 статье 152-ФЗ сказано, что собирать персональные данные можно только с разрешения пользователей. Для этого оператор обязан получить письменное согласие того, чьи данные собирает. Но в интернете письменную форму согласия заменяют на электронную.
В электронной форме сбора ПДн должна быть «Политика конфиденциальности», где описана причина сбора, что будет происходить с данными, кто будет хранить, обрабатывать и как долго. Также там должно быть указано, как субъекту отозвать разрешение на обработку.
Под каждой формой необходимо добавить чекбокс с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности». Без «галочки» пользование ресурсом должно быть невозможно.
Для сбора cookies тоже понадобится разрешение на сбор ПДн.
Обычно новым пользователям показывается всплывающее окно с предупреждением, что сайт собирает cookies, IP и геолокацию, а если пользователь не согласен, то может не пользоваться сайтом. Но эта информация также должна быть продублирована в документе «Последствия отказа предоставить персональные данные».
Исключения. Согласие на сбор ПДн нужно не всегда. Полный список исключений указан во втором пункте 22 статьи 152-ФЗ, но если кратко, то разрешение не обязательно для сбора общедоступных данных, обезличенной статистики, СМИ и работодателям, когда они собирают данные у сотрудников для соблюдения ТК. При этом все данные, естественно, не должны передаваться третьим лицам. Чаще всего, на сайты, приложения и, в целом, на коммерческие ресурсы в интернете, исключения не распространяются.
Персональные данные и всё, что о них нужно знать
Истоки правового регулирования персональных данных на западе и России;
Виды персональных данных и основные понятия ФЗ № 152;
Ответственность за нарушение персональных данных;
В последние десятилетия мы часто слышим в новостной ленте о том, как слили персональные данные, о так называемом «пробиве» информации о человеке. Роскомнадзор постоянно объясняет: как не стать жертвой мошенников, а эксперты дают нам рекомендации по цифровой гигиене.
Вроде как все понимают, что такое персональные данные и многие даже с уверенностью скажут, что к ним относятся паспортные данные, пароли, личная и семейная тайна. Однако, кто знает точные перечень персональных данных? Откуда вообще пошло правовое регулирование этих данных? Какую ответственность несут нарушители права на защиту персональных данных? Как воспринимают персональные данные суды?
Сегодня поговорим обо всём этом и попытаемся конкретизировать эту текучую субстанцию – персональные данные.
1. Истоки правового регулирования персональных данных на Западе и России.
Запад
На Западе персональные данные начали рассматриваться в контексте правового регулирования в 1890 году, когда два американских юриста, сокурсника по Гарварду: Сэмюэль Уоррен и Луи Брендайс – опубликовали статью, в которой говорили о праве privacy. По их мнению это право делилось на:
Физическую приватность – всё, что связано со здоровьем и телом;
Территориальную приватность – грубо говоря это неприкосновенность жилища;
Приватность коммуникации – всё, что связано с общением, например, тайна корреспонденции;
Информационную приватность – сюда как раз относятся персональные данные.
Кстати они трактовали privacy, как «право быть оставленным в покое». Весьма точная формулировка, когда номер твоего телефона разлетается по навязчивым банкам)
Это право было законодательно закреплено в 1948 году во Всеобщей декларации прав человека, а именно в ст. 12, которая гласила:
«Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств»
ФЗ от 19.12.2005 N 160-ФЗ она была ратифицирована. В данном ФЗ также отмечено, что положения этой Конвенции не применятся в России в случаях, если персональные данные обрабатывались исключительно в личных или семейных нуждах, либо эти данные отнесены к государственной тайне.
Окончательное закрепление право privacy нашло своё отражение в ст. 8 Хартии об основных правах: «Каждый человек имеет право на защиту относящихся к нему данных личного характера». Также именно тут появилось положение об обязательном наличии согласия субъекта персональных данных на их обработку, сбор, систематизацию и тем более на распространение.
Россия
В России всё несколько проще и началось, на самом деле, раньше. В 1857 году (вступил в силу в 1876 году) был подготовлен Телеграфный устав, который устанавливал тайну корреспонденции. За нарушение этой тайны наступала уголовная ответственность.
В 1917 прошлась Революция и отменила все ранее принятые законы, в том числе и Устав.
В Сталинской Конституции 1936 года (понимаю звучит смешно, но всё же) была отдельная глава, посвященная правам человека и в ней помимо прочего устанавливались неприкосновенность жилища, личность и тайна переписки.
Последняя и ныне действующая Конституция 1993 года раз и навсегда закрепила запрет на сбор, хранение, использование, распространение данных о человеке без согласия субъекта персональных данных.
Помните Конвенцию 1981 года и то что она была ратифицирована в 2005 году? Так вот в следующем году вступил в силу Федеральный закон № 152 «О персональных данных», который буквально скопипастил эту Конвенцию с её принципами и понятиями. Единственное отличие между их и нашим вариантами правового регулирования заключается в том, что у европейской системы персональные данные неотделимы от защиты личности и её частной жизни, в России же, персональные данные – это самостоятельный объект права.
Итак, мы прошлись по истории и теперь разберём виды персональных данных, что же к ним относится, а что нет.
2. Виды персональных данных и основные понятия ФЗ № 152
Посмотрите на изображение ниже. На нём мы видим определение «Персональных данных», взятое из ФЗ № 152 и ряд данных. Как думаете, что из этого относится к персональным данным?
Ответ: все, но не всегда.
Уверен, что вы ответили правильно, но с лёгкими сомнениями и это понятно. Понятие, которое нам дал законодатель настолько расплывчатое, что через него можно плавать брасом. Понятие персональных данных можно толковать ну ооочень широко.
Однако, в других федеральных законах, разъяснениях Роскомнадзора и других ведомств можно всё-таки постараться систематизировать персональные данные, что мы с радостью сделали для Вас!
Данные делятся на 5 видов: Общие, Биометрические, Специальные, Обезличенные и Общедоступные.
Это базовые данные личности. Сюда входят паспортные данные, место регистрации, ФИО, информация о месте работы, телефон и Email (о последних двоих расскажу позже).
Это данные, связанные с Вашим телом, здоровьем, то есть это отпечатки пальцев, сведения о наличии татуировок (родинок, пирсинга, иных примет), ДНК, группа крови.
Это четко установленные статьёй 10 ФЗ № 152 данные. К ним относятся: расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь.
Это персональные данные, которые субъект сам распространил на неопределённый круг лиц. Здесь важно отметить Решение Арбитражного суда города Москвы от 05.05.2017 по делу №А40-5250/17. В нём АСГМ сказал, что данные которые публикуются в социальных сетях не являются общедоступными, а социальные сети не являются источником общедоступных сведений.
Он объяснил это так (и даже выделил красным цветом), что без письменного согласия субъекта персональных данных не представляется возможным установить, что именно этот субъект дал согласие.
Здесь можно порассуждать вот ещё о чем: можно ли считать источник общедоступным, если для получения доступа в этот источник необходима регистрация, получение аккаунта и т.д. По сути социальные сети – это закрытые системы для своих пользователей и, по-моему, их точно нельзя считать общедоступными. Если у Вас есть иное мнение буду рад подискутировать в комментариях!
К общедоступным можно отнести, например, так называемые «общедоступные правительственные данные», то есть данные в Минфина России, МВД России, Росстата и т.д.
Это данные из которых невозможно установить конкретное лицо. Парадоксально правда? Из определения следует, что персональные данные – это те, через которые можно установить конкретное лицо, а здесь всё, да наоборот.
Есть такие в правовых дебрях такие методические рекомендации по применению приказа Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных», которые показывают нам несколько методик обезличивания.
То есть у нас есть информация, что Джон Курт пережил инсульт 15 апреля 2021 года в г. Москва.
У нас стоит задача – собрать статистические данные об инсультах по г. Москва в 2021 году.
Мы не можем публиковать биометрические + специальные персональные данные Джона и поэтому мы их обезличиваем, например, по методике идентификаторов.
У нас получается АА48О; инсульт, 15.04.21, Москва. Как видите мы просто заменили «Джон Курт» на «АА48О». Это методика идентификаторов. Конечно же есть отдельная таблица со значениями идентификаторов, чтобы можно было установить лицо. Возможно именно поэтому они относятся к персональным данным.
Тезисно: 5 видов персональных данных: Общие – всё понятно из названия; биометрические – всё что о здоровье и теле; специальные – всё, что грубо говоря относится к духовной стороне личности и закреплены в ст. 10 ФЗ № 152; общедоступные – те, что сам субъект распространил на весь мир; обезличенные – данные, по которым невозможно установить человека не имея дополнительных данных (таблица со значениями идентификаторов).
Что касается определений тут я тоже буду максимально краток. Полные их формулировки можете прочитать в ст. 3 ФЗ № 152, но я постараюсь на пальцах объяснить:
Персональные данные – понятно, что ничего не понятно. Всё, что относится к человеку так или иначе персональные данные. Решение об отнесении данных к таковым рассматривается сугубо индивидуально.
Автоматизированная обработка ПД – обработка данных при помощи компьютеров или других средств автоматизации.
Распространение ПД – сделал данные доступными неопределенному кругу лиц.
Уничтожение ПД – действия, связанные с полным уничтожением данных без возможности восстановления, либо уничтожение материального носителя, на которых они хранились.
Обработка ПД – любые действия с персональными данными, как при помощи компьютера, так и без неё (сбор, запись, систематизация, хранение, обезличивание и т.д.).
Оператор – любое лицо (государственные, муниципальный орган, Юр. или Физ. лицо), которое осуществляет обработку ПД, определяет цель такой обработки, состав обрабатываемых данных и действия с ними.
В принципе по понятиям всё. Теперь обсудим какую ответственность несёт оператор в случае нарушения права на защиту персональных данных.
3. Ответственность за нарушение персональных данных
По общему правилу исковые заявления о нарушении права на защиту персональных данных подаются в районный суд. Процедура следующая, кто-то нарушил права субъекта персональных данных (физ. лица, кстати право о защите персональных данных распространяются только на них), это лицо обращается с заявлением в Роскомнадзор, а тот как уполномоченный гос. орган подает исковое заявление.
Основная статья – 13.11 КоАП РФ. Часть 1 говорит об обработке персональных данных, несовместимой с целями такой обработки.
Ч. 3 той же статьи говорит об ответственности за отсутствие публикации политики обработки персональных данных.
Помимо этих частей есть и другие части этой статьи, а также ст. 5.39 КоАП РФ – непредоставление информации адвокату по адвокатскому запросу или организации данных, предоставление которых предусмотрено федеральными законами.
Ст. 19.7 КоАП РФ примерно то же самое, но уже непредоставление информации государственным органам.
Ст. 137 УК РФ – распространение данных о частной жизни, личных и семейных тайнах без получения согласия или распространение этих сведений в публичном выступлении / СМИ.
Ст. 140 УК РФ – непредоставление должностным лицом документов и материалов, непосредственно затрагивающих права и свободы гражданина, если это причинило ему вред.
Ст. 272 УК РФ – неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло её уничтожение, модификацию, копирование, блокирование. Это что называется хакерство.
Здесь всё по-классике:
Ст. 15 ГК РФ – возмещение лицу убытков, в случае нарушение правил обработки его персональных данных.
Ст. 151 ГК РФ и ст. 24 ФЗ № 152 – компенсация морального вреда вследствие нарушения правил обработки персональных данных.
Ст. 90 и ст. 192 ТК РФ – иные нарушения правил обработки персональных данных и дисциплинарные взыскания как мера ответственности.
Представим, что вы являетесь оператором персональных данных. Когда Вам нужно сообщать Роскомнадзору о том, что вы обрабатываете персональные данные?
Обрабатываете вручную – не нужно, через компьютер – нужно;
Собираете ПД сотрудников в рамках трудового договора – не нужно, в собираете ПД на уволенных сотрудников или вне трудовых отношений – нужно;
Оформили договор с Физ. лицом – не нужно, по договору данные передаются третьим лицам – нужно;
Вы – общественная или религиозная организация, которая собирает данные о своих членах – не нужно, эти данные будут передаваться третьим лицам – нужно;
Вы требуете только ФИО – не нужно;
Вы – транспортная компания и собираете данные, которые необходимы для нормальной транспортировки грузов и сохранению жизни и здоровья пассажиров – не нужно;
Субъект персональных данных сам сделал их общедоступными – не нужно.
В трудовых отношениях обработка персональных данных работника без получения его согласия на это возможно в следующих случаях:
Если опубликование и размещение ПД работников в Интернете закреплено законодательно;
В разрешенных законодательством случаях при обработке ПД близких родственников (при получении алиментов, оформлении социальных выплат);
При обработке сведений о состоянии здоровья работка, относящихся к вопросу возможности выполнения им трудовой функции;
При передаче ПД третьим лицам в случаях, когда необходимо предупредить угрозу жизни и здоровью, либо в случаях, предусмотренных законодательством.
При обработке биометрических персональных данных письменное согласие физического лица обязательно в силу ч.1 ст.11 Закона о персональных данных. Ч.2 той же статьи устанавливает исключения из этого правила.
Обработка персональных данных необходима для достижения целей, установленных международным договором РФ;
Обработка персональных данных гражданина проводится в связи с его участием в гражданском, уголовном, административном, конституционном судопроизводстве в арбитражных судах и др.
Мы рассмотрели историю, понятия, виды, ответственность. Остаются только позиции судов в вопросах правовых данных.
4. Судебная практика.
Первое дело касается подсудности дел о защите прав субъекта персональных данных.
Это дело № 33-3211/2019(в апелляции). Суть в том, что: некий Вознюк М. М. обнаружил, что фирма с Багамских островов публикует его персональные данные на своём сайте. Ему это не понравилось, и он подал заявление в Роскомнадзор. А тот, в свою очередь, подал исковое заявление в Центральный районный суд г. Хабаровска.
1 инстанция сказала, что дело административное и подлежит рассмотрению в административном порядке;
2 инстанция сказала указала на то, что что заявленные исковые требования связаны с административным регулированием правовой деятельности интернет-ресурса, как средства массовой информации, и подлежат рассмотрению в порядке административного судопроизводства;
Но РКН не отчаялся и подал кассационную жалобу в Верховный суд.
И вот Определением Судебной коллегии по гражданским делам ВС РФ от 14.07.2020 N 58-КГ20-2 решения нижестоящих инстанций были отменены, а дело направлено на новое рассмотрение.
ВС РФ в своём определении указал на следующее:
Ст. 46 ГПК органы гос. власти вправе обратиться в суд в защиту интересов граждан;
П. 5 ч. 3 ст. 23 ФЗ «О персональных данных» таким ОГВ в вопросе персональных данных является Роскомнадзор;
Ч. 6.1 ст. 29 ГПК иски о защите прав субъекта персональных данных, возмещении ущерба и компенсации морального вреда могут предъявляться по месту жительства истца.
И пришел к выводу, что данное дело должно быть рассмотрено по правилам гражданского судопроизводства. Центральный районный суд г. Хабаровска послушно удовлетворил исковое заявление РКН, признал деятельность сайта незаконной и обязал заблокировать его (Решение Центрального районного суда г. Хабаровска от 02.10.2020 по делу №2-4208/2020).
И ещё немного практики.
Определение Московского городского суда от 10.11.2016 по делу № 33-38783/2016
Файлы cookies были признаны ПД в деле социальной сети Linkedin персональными данными.
Однако, помимо файлов cookies, в социальной сети Linkedin осуществлялся сбор таких ПД, как фамилия, имя, адрес электронной почты и иное.
Постановление 13 ААС от 01.07.2016 по делу № А56-6698/2016
Решение Таганского районного суда г. Москвы от 19.12.2018 по делу № 02-4261/2018
Данные Гугл Аналитикс и Яндекс Метрики признаны ПД при рассмотрении неизвестных лиц на сайт Человека *фамилию, которого нельзя писать на сугробах* «Умное голосование».
Кстати о номере телефона и Email. Как видите судебная практика от дела к делу разнится. Как правило отдельные элементы не представляют собой персональные данные. Номер телефона не является персональными данными, потому что просто по набору цифр нельзя определить конкретное лицо, однако, если с номером будет идти ФИО – то эта комбинация станет персональными данными.
То же самое с электронной почтой. Если она содержит в себе просто рандомные слова – это не персональные данные, однако если они будут состоять из ФИО лица – это уже комбинация и персональные данные.
То есть общий принцип понимания что относится к персональным данным следующий: если из этих данных можно понять о каком конкретно человеке говорится – это персональные данные, если нет – то нет.
Спасибо за внимание! Для тех, кому важен визуал, как обычно, ссылка на папку с презентацией.