Как стать автором
Обновить

Как законно продавать персональные данные?

Информационная безопасность *Читальный зал

Не являюсь юристом. Мои выводы могут быть ошибочными или не точными, а возможно для кого-то это и вовсе секрет Полишинеля. Здесь местами должны быть мои эмоциональные высказывания, но в итоге решил не засорять ими статью (ну почти). При желании их можно читать «между строк». Возможно, нижеописанное у вас также вызовет какие-то эмоции, тем более вполне оправданные, если я прав.

Нет повести печальнее на свете… В ролях: РКН, банк и Ко. Кому интересно, прошу под кат.

В конце прошлого года банк (вот так интрига какой) ни с того ни с сего решил, что меня очень интересуют услуги его дочерних компаний, предоставляющих различные сервисы. Стала довольно активно через приложение банка на смартфоне приходить реклама. Новый трек Оксимирона (кстати, кто это?), сериал новый, промокод на первую покупку в аптеке и т.д.

Обращение на горячую линию не помогло. Решил узнать у банка, что же это такое, а именно направил запрос о предоставлении мне данных в соответствии с пунктом 7 статьи 14 закона № 152-ФЗ «О персональных данных» (ФЗ № 152), в том числе поинтересоваться, когда это я дал согласие на передачу моих ПД. Публиковать сюда ответ банка не имеет смысла, там все печально. Примерно так.

После получения ответа банка решил обратиться в Роскомнадзор (РКН). В запросе были переданы факты получения мной рекламных уведомлений со скриншотами, копия ответа банка, и собственно просьба принять меры к банку за незаконную передачу моих ПД, которая (по-моему мнению) имела место.

Далее публикую полный ответ РКН и ниже мои выводы из него.

Ответ РКН
Ответ РКН

До выделенного абзаца мне пояснили различные положения законодательства. В выделенном абзаце сказали, что распространение ПД не происходит, т.к. данные не раскрываются, а к ним только предоставляется доступ.

Из этого следует, что при получении у вас согласия на обработку ПД, достаточно указать в нем, что одним из действий, которые будут выполняться организацией с ПД, получившей согласие (оператором) является предоставление доступа. Все, можно продавать доступ к ПД без их раскрытия. Согласие на обработку ПД, разрешенных для распространения в этом случае и вовсе не требуется.

Как это можно использоваться?

Оператор размещает ваши контакты (номер телефона, электронную почту) в базу данных (БД). К этой БД прилагается специальное ПО, позволяющее совершать звонки, отправлять СМС, PUSH-уведомлений, электронные письма. Могут быть фильтры по городу, возрасту, полу, но это уже нюансы.

После этого оператор продает доступ к данной БД. Клиенты, купившие доступ к БД проходят процедуру регистрации (про это обязательное условия также сказано в выделенном абзаце) и начинают заниматься распространением рекламы. При этом сами контакты клиенты не видят. Зато могут оставлять свои контактные данные  (при рассылке) или получать контакты от потенциального клиента (при звонке). При наличии объемной базы доход будет весьма приличным.

Конечно, кто-то может сказать, что это не продажа персональных данных, т.к. имеет место только «предоставление доступа» без разглашения, но меня описанная возможность даже в такой интерпретации не радует.

Вишенкой на торте сюда добавлю то, что после получения этого ответа был еще запрос в РКН с просьбой дать оценку не предоставления банком данных в соответствии 7 статьи 14 закона № 152-ФЗ. РКН перенаправил запрос в региональную прокуратуру. Они его переслали в Москву (юридический адрес банка). Прокуратура Москвы направила запрос (фанфары) в банк с просьбой ответ направить мне. Банк снова прислал мне копию ответа, который я получил от него изначально. Остается только суд, но пока на это банально нет времени.

Будьте внимательны со своими персональными данными.

Теги:
Хабы:
Всего голосов 3: ↑2 и ↓1 +1
Просмотры 2.5K
Комментарии Комментарии 18