Как удалить персональные данные из интернета: агрегаторы, 152-ФЗ и защита данных

Как удалить персональные данные из интернета: почему агрегаторы не могут использовать их как хотят.

Персональные данные - не «ничьи». Даже если они уже давно в интернете.

Мы недавно писали, что данные - новая валюта цифрового мира.

Каждый клик, каждое «Согласен», каждый доступ к приложению - это не просто кнопка, а юридически значимое действие.

Однако есть и другая сторона медали.

Всё чаще люди обращаются с одним и тем же вопросом: «Почему мои персональные данные висят на агрегаторе, и почему их не удаляют?»

Ответ агрегатора, который чаще всего слышат пользователи, выглядит примерно так:

«Мы взяли данные из официальных источников. Они находятся в открытом доступе, поэтому размещение законно».

Звучит логично. Если суды публикуют информацию - значит её может использовать кто угодно? На практике - нет.

В сфере персональных данных всё устроено иначе. У данных есть правила игры, и они прописаны законом.

Разберёмся спокойно и по делу:

• что происходит на рынке агрегаторов персональных данных
• что считается персональными данными по 152-ФЗ
• когда сбор данных становится незаконным
• почему «официальный источник» не даёт карт-бланш
• и как удалить персональные данные из интернета

Что происходит на рынке агрегаторов персональных данных

За последние годы в интернете сформировался целый рынок сервисов, которые собирают информацию о людях. Такие сервисы обычно называют агрегаторами персональных данных.

Логика их работы похожа:

• собирают данные из разных источников
• объединяют их в одну базу
• формируют «карточку человека»
• показывают часть информации бесплатно
• продают расширенные отчёты

Источники данных могут быть разными:

• судебные публикации
• государственные реестры
• публичные сайты
• объявления
• профили в интернете
• социальные сети
• другие базы данных

В результате формируется цифровой профиль человека, который может использоваться для:

• проверки сотрудников
• оценки контрагентов
• анализа репутации
• маркетинга

Иногда это выглядит как обычный сервис поиска. Однако тут возникает ключевой вопрос - имеет ли сервис право собирать и распространять эти данные?

На практике диалог между пользователем и агрегатором часто выглядит так.

Пользователь: «Я обнаружил свои персональные данные на вашем сайте. Прошу удалить информацию».

Ответ агрегатора: «Информация размещена на основании открытых источников. Мы используем официальные публикации, в том числе данные с сайтов судов».

На первый взгляд ответ выглядит убедительно. Однако если разобрать ситуацию - появляются вопросы. Если сервис собирает данные о человеке, систематизирует их, хранит в собственной базе, формирует карточки пользователей, он фактически осуществляет обработку персональных данных. А значит, должен иметь законное основание обработки.

Закон о персональных данных и агрегаторы

Что считается персональными данными по закону

Согласно ч. 1 ст. 3 Федерального закона № 152-ФЗ «персональные данные - это любая информация, относящаяся к прямо или косвенно определяемому человеку». Это понятие гораздо шире, чем многие думают. К персональным данным могут относиться: ФИО, возраст, email, никнейм, ссылка на профиль, IP-адрес, местоположение, идентификаторы.

Даже если отдельные сведения выглядят безобидно, в комбинации они могут идентифицировать человека. Как правило, достаточно двух. Поэтому такие данные попадают под регулирование закона.

Когда агрегатор становится оператором персональных данных

Согласно ст. 3 закона, оператор - это лицо, которое организует обработку персональных данных, определяет цели обработки, определяет состав данных, определяет действия с ними.

А обработка персональных данных включает практически любые операции: сбор, запись, систематизацию, хранение, использование, передачу, распространение, доступ, блокирование, удаление.

Если сервис собирает данные о людях, хранит их, систематизирует, публикует, он обрабатывает персональные данные. И значит, обязан соблюдать требования закона.

Почему «мы взяли из открытых источников» не всегда законно

Это самый частый аргумент агрегаторов. Однако на практике всё устроено иначе.

Сегодня в законе используется конструкция: персональные данные, разрешённые субъектом для распространения.

Такие данные можно распространять только если человек дал отдельное согласие.

Причём закон прямо указывает:

• согласие должно оформляться отдельно
• человек должен определить перечень данных
• молчание не считается согласием

Поэтому логика «если данные есть в интернете - значит, можно их использовать» неверна.

Почему публикация судебных актов не даёт агрегаторам карт-бланш

Суды действительно публикуют судебные решения. Это регулируется законодательством о доступе к информации о деятельности судов. Однако важно понимать, что при публикации судебных актов часть персональных данных обезличивается. Кроме того, публикация судебных актов имеет конкретную цель - обеспечение публичности правосудия.

Агрегатор же:

• собирает сведения массово
• объединяет данные
• формирует профили людей
• распространяет информацию

То есть создаёт новую систему обработки персональных данных. А значит, должен соблюдать требования закона о персональных данных. И в первую очередь быть в реестре операторов, осуществляющих обработку персональных данных. Проверить реестр можно здесь: https://pd.rkn.gov.ru/operators-registry/operators-list/

Реальность «ленивого согласия»: почему данные распространяются

Есть ещё одна причина, почему данные быстро попадают в базы. Люди часто соглашаются на всё подряд. Почему? Об этом мы писали в статье «Данные - новая валюта: кто и как зарабатывает на ваших цифровых действиях»: https://contentguard.pro/ru/blog/dannye-novaya-valyuta-soglasie-obrabotka

Как удалить персональные данные из интернета

Если вы обнаружили свои данные на агрегаторе, можно действовать поэтапно.

Шаг 1. Найти все упоминания

Проверьте поиск:

• ФИО + город
• ФИО + компания
• телефон
• email
• никнейм

Шаг 2. Зафиксировать доказательства

Сделайте скриншоты:

• страницы сайта
• URL
• даты
• размещённых данных

Шаг 3. Направить запрос оператору

Согласно ст. 14 закона вы вправе запросить:

• подтверждение обработки
• правовые основания
• источник данных
• цели обработки
• сроки хранения

Шаг 4. Потребовать удаление

Если обработка незаконна, можно требовать:

• удаление
• уничтожение данных

Это предусмотрено ст. 21 закона о персональных данных.

Шаг 5. Жалоба регулятору

Если оператор игнорирует запросы - можно обратиться в Роскомнадзор.

Когда защита персональных данных особенно важна

Тема становится критичной, если вы ведёте бизнес-переговоры, работаете с конфиденциальной информацией, участвуете в публичных проектах, сталкиваетесь с репутационными рисками.

Осознанность - это управление цифровыми рисками.

Чем может помочь ContentGuard

Работа с персональными данными требует не только знания закона, но и практического опыта взаимодействия с сервисами и агрегаторами. Команда ContentGuard помогает пользователям и компаниям решать такие задачи.

Мы оказываем услуги в области защиты персональных данных:

Мы также помогаем бизнесу выстроить законную систему обработки персональных данных - от аудита до полного пакета документов.