Персональные данные в социальных сетях: что должен знать бизнес
Можно ли использовать данные из соцсетей для маркетинга, проверки сотрудников и таргетинга? Правовые ограничения, типичные нарушения и чек-лист для маркетологов.
Персональные данные в социальных сетях: что должен знать бизнес
Социальные сети стали неотъемлемой частью бизнес-процессов: маркетинг, рекрутинг, клиентский сервис, аналитика. Но данные, которые пользователи размещают в соцсетях, остаются персональными данными, и на их обработку распространяются требования 152-ФЗ. Разбираемся, где проходит граница между законным использованием и нарушением.
Общедоступные данные -- миф и реальность
Распространённое заблуждение: если человек разместил информацию о себе в открытом профиле соцсети, эти данные становятся «общедоступными» и их можно свободно использовать. Это не так.
Изменения в 152-ФЗ, вступившие в силу с 1 марта 2021 года, ликвидировали понятие «общедоступные персональные данные». Вместо этого введено понятие «персональные данные, разрешённые субъектом для распространения».
Важно: Размещение данных в социальной сети не является согласием на их обработку третьими лицами. Для использования таких данных необходимо отдельное правовое основание.
Парсинг и скрейпинг профилей
Законно ли собирать данные из соцсетей автоматически?
В подавляющем большинстве случаев -- нет. Автоматический сбор (парсинг) данных из социальных сетей нарушает:
- 152-ФЗ -- обработка без согласия и без законного основания
- Пользовательские соглашения соцсетей, запрещающие автоматический сбор данных
- Статью 272 УК РФ -- неправомерный доступ к компьютерной информации (в отдельных случаях)
Судебная практика подтверждает: парсинг социальных сетей для формирования баз данных -- незаконная обработка персональных данных.
Что можно и что нельзя делать с данными из соцсетей
| Действие | Допустимо? | Комментарий |
|---|---|---|
| Просмотр открытого профиля кандидата при найме | Да, с оговорками | Только для оценки деловых качеств; не фиксировать в досье без согласия |
| Парсинг профилей для формирования базы | Нет | Нарушение 152-ФЗ, пользовательских соглашений |
| Таргетированная реклама через рекламный кабинет соцсети | Да | Обработка происходит на стороне соцсети, в рамках её политики |
| Сбор данных через формы лидогенерации (Lead Ads) | Да, при условиях | Разместить политику конфиденциальности, получить согласие через форму |
| Мониторинг упоминаний бренда | Да, с оговорками | Анализ общего фона допустим; создание досье на авторов -- нет |
| Проверка соцсетей сотрудника работодателем | Ограниченно | Нельзя требовать доступ; нельзя наказывать за содержание личных публикаций |
| Копирование фотографий из профилей | Нет | Фото -- персональные данные; использование без согласия незаконно |
| Сбор отзывов/обратной связи в соцсетях | Да | Клиент сам обращается к компании; ответ в рамках коммуникации |
| Создание базы клиентов из подписчиков | Нет | Подписка на группу не является согласием на обработку ПДн |
| Ретаргетинг по загруженному списку email/телефонов | Да, при условиях | Список должен быть собран с согласием; соцсеть -- обработчик |
Маркетинг в социальных сетях
Сбор данных через формы
Когда вы используете формы лидогенерации (VK Lead Forms, и другие), вы становитесь оператором персональных данных. Необходимо:
- Разместить ссылку на политику конфиденциальности
- Получить согласие на обработку ПДн
- Указать цели и сроки обработки
- Обеспечить защиту собранных данных
Ретаргетинг и look-alike аудитории
Загрузка списков клиентов (email, телефоны) в рекламные кабинеты -- это передача персональных данных обработчику. Убедитесь, что:
- Первичный сбор данных происходил с согласием, включающим передачу третьим лицам
- С платформой заключён договор об обработке ПДн (или её условия использования включают такие обязательства)
Проверка кандидатов через соцсети
Многие HR-специалисты изучают профили кандидатов перед наймом. Правовые ограничения:
- Нельзя требовать от кандидата предоставить доступ к закрытым профилям
- Нельзя отказывать в приёме на работу на основании данных из соцсетей (за исключением случаев, когда это связано с деловыми качествами)
- Нельзя формировать «досье» на основе данных из соцсетей без согласия
- Можно просматривать открытую информацию для общей оценки, не фиксируя её
Важно: Сбор информации о политических взглядах, религиозных убеждениях и частной жизни из социальных сетей -- это обработка специальных категорий персональных данных, которая запрещена без явного письменного согласия.
Мониторинг соцсетей сотрудников
Работодатель не вправе:
- Требовать от сотрудников предоставить доступ к личным аккаунтам
- Применять дисциплинарные взыскания за личные публикации (за исключением разглашения конфиденциальной информации)
- Автоматически мониторить личные страницы сотрудников
Работодатель вправе установить в локальных нормативных актах:
- Запрет на разглашение коммерческой тайны в соцсетях
- Правила ведения корпоративных аккаунтов
- Ограничения на использование соцсетей в рабочее время на рабочих устройствах
Чек-лист для маркетинговых команд
- Убедитесь, что все формы сбора данных содержат ссылку на политику конфиденциальности
- Получайте явное согласие перед добавлением в базу рассылки
- Не используйте парсеры для автоматического сбора профилей
- При загрузке списков для ретаргетинга убедитесь в наличии согласия
- Не создавайте базы данных из подписчиков сообществ без их согласия
- Храните собранные через соцсети данные так же защищённо, как и любые другие ПДн
- Документируйте все процессы обработки данных из социальных сетей
- Используйте шаблоны документов для оформления согласий
Типичные нарушения и штрафы
- Парсинг профилей: штраф до 300 000 рублей за обработку без согласия
- Рассылка без согласия по данным из соцсетей: до 500 000 рублей (закон о рекламе)
- Повторные нарушения: кратное увеличение штрафов
- Предписание Роскомнадзора об уничтожении незаконно собранных данных
Хотите проверить, соответствуют ли ваши маркетинговые процессы требованиям 152-ФЗ? Запишитесь на консультацию или пройдите экспресс-аудит для быстрой оценки рисков.