Библиотеки столетиями собирали данные о своих читателях, для того чтобы развивать свои фонды и услуги, предлагаемые пользователям с учетом их интересов, возраста, пола и других характеристик, которые раскрывались при регистрации читателей. Для организации взаимодействия с читателями необходимы также их контактные данные: почтовые адреса, номера телефонов, адреса электронной почты и другие. Эти данные относятся к персональным данным в соответствии с определением, данным в российском Федеральном законе № 152-ФЗ «О персональных данных» от 27.07.2006 [1].

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

В течение длительного периода библиотеки обрабатывали персональные данные (ПД) своих читателей изолированно, внутри своей организации. В условиях сетевого взаимодействия в электронной среде они все шире пользуются услугами внешних контент-провайдеров и сервис-провайдеров. Последние, в свою очередь, заинтересованы в информации о пользователях для целей, сходных с библиотечными, таких как повышение качества своих продуктов и сервисов, и зачастую сами являются операторами персональных данных. Становится возможной ситуация передачи от библиотеки ПД своих пользователей внешним поставщикам информационных продуктов и сервисов и обратно, достаточно новая в библиотечной практике. Эта ситуация и является основным предметом рассмотрения настоящей статьи. Более узко: проблемы обработки персональных данных, возникающие у библиотек при подписке на лицензионные ресурсы внешних контент-провайдеров.

Работа библиотек с персональными данными пользователей регламентируется законодательством страны, группы стран (как в Европейском Союзе) и/или региона. Разумеется, для российских библиотек приоритетно выполнение требований российского закона № 152-ФЗ. Вместе с тем, оформляя доступ к зарубежным лицензионным ресурсам, они должны учитывать законодательные нормы, в рамках которых работают зарубежные контент-провайдеры. Международный масштаб деятельности крупнейших компаний вынуждает их вырабатывать подходы к обработке персональных данных, не противоречащие законодательству нескольких стран, на рынках которых они работают. В этой связи важнейшим законодательным актом является регламент Европейского Союза “General Data Protection Regulation” (GDPR), введенный в действие в 2018 году [2]. Во-первых, многие контент-провайдеры в подписке российских библиотек базируются в Европе; во-вторых, GDPR имеет экстерриториальное действие, то есть он обязателен к исполнению для любых организаций, обрабатывающих персональные данные граждан Европейского союза. Компании, зарегистрированные в США, которые столь же важны для подписки российских библиотек, соблюдают требования GDPR.

Как российский 152-ФЗ, так и GDPR задают общие положения и правила обработки персональных данных, не детализируя их до уровня применения в отдельных сферах деятельности, например в библиотечном деле. Библиотечные организации ряда стран разработали собственные рекомендации в помощь библиотекам. Среди них наиболее многоаспектные и детальные предложила библиотечная ассоциация США — American Library Association (ALA).

В США нет федерального закона, регламентирующего обработку персональных данных. Сейчас в Сенате США только обсуждается внесенный в 2019 году “Privacy Bill of Rights Act”, который во многом сходен с GDPR. Но в 48 штатах законы о персональных данных есть [3] — и они содержат разделы, посвященные обработке персональных данных в библиотеках. Опыт библиотек США в работе с персональными данными в практическом плане обобщен и представлен на специальной странице сайта American Library Association (https://www.ala.org/advocacy/node/466/) — см. рисунок 1.

Отправная точка для всех материалов на этой странице — кодекс этики ALA, в котором прописано, что библиотеки уважают право пользователей на конфиденциальность информации и охраняют информацию об истории их поисков, полученных результатах, консультациях и заказах на выдачу литературы в любой форме. Здесь есть подборка ответов на вопросы по этой чувствительной теме, которая начинается с разъяснения базовых понятий и содержит ряд практических рекомендаций по разработке политики библиотек в сфере персональных данных с образцами лучших текстов таких политик, а также по обеспечению их надежного хранения. Отдельные разделы содержат подробные разъяснения по работе с персональными данными, включая руководства и чек-листы для проверки соответствия организации работы требованиям конфиденциальности и надежности. Специальное руководство посвящено вопросам работы с персональными данными при взаимодействии с поставщиками информации (Library Privacy Guidelines for Vendors), то есть тому, что является основным предметом рассмотрения данной статьи. В нем кратко сформулированы основные принципы и процедуры начиная с оценки поставщика контента с точки зрения его открытости в формулировании политики работы с ПД и заканчивая рекомендациями по раскрытию в лицензионном договоре всех деталей взаимодействия, при ­котором происходит передача данных о пользователях контента и их действиях с контентом. Эти документы разрабатывались в разное время и постоянно обновляются с учетом меняющихся условий работы библиотек в электронной среде.

Важность учета всех аспектов обработки ПД при взаимодействии библиотек и внешних контент-провайдеров была осознана на уровне Национальной организации по стандартизации США (National Information Standards Organization), которая в 2010-х годах сформировала рабочую группу из представителей библиотек и крупнейших контент- и сервис-провайдеров США и Европы и в 2015 году опубликовала документ “NISO Consensus Principles on Users’ Digital Privacy in Library, Publisher, and Software-Provider Systems (NISO Privacy Principles)” [4]. В нем сформулированы 12 основных принципов «цифровой приватности» пользователей. В кратком изложении они сводятся к следующим пунктам:

По мнению автора, эти принципы универсальны и могут применяться повсеместно. Они вполне согласуются с требованиями российского законодательства, представленными в 152-ФЗ.

Проблемы обработки персональных данных в библиотеках в условиях взаимодействия с внешними контент-провайдерами получили широкое освещение в англоязычной литературе [5–12]. В отличие от русскоязычной литературы, где обработка ПД обычно рассматривается как внутренняя работа библиотеки, в рассмотренных публикациях акцентируются особенности работы с лицензионными ресурсами. Подчеркивается необходимость использования специального языка в лицензиях, потребность в детально разработанных политиках работы с ПД, ясных исчерпывающих текстах информированного согласия для пользователей и обучения пользователей безопасным методам предоставления данных.

Как было сказано выше, российские библиотеки руководствуются требованиями Федерального закона «О персональных данных» (152-ФЗ), принятого в 2006 году. С вводом его в действие российские библиотеки предприняли много усилий для того, чтобы выстроить свою работу с читателями в рамках этого закона. Они регистрируются в реестре операторов персональных данных и разрабатывают пакеты документов, регламентирующих их работу с персональными данными читателей. Имеется достаточно обширная русскоязычная литература [13–19], освещающая движение библиотек в этом направлении и его результаты, вылившиеся в подготовку методических рекомендаций разного уровня: от конкретной библиотеки до сети муниципальных и/или региональных библиотек. Но в этих документах автору не удалось найти специфических рекомендаций относительно работы с персональными данными пользователей при взаимодействии с внешними контент-провайдерами. Между тем подписка на доступ к их ресурсам широко распространяется в российских библиотеках уже третье десятилетие, причем, начавшись с национальных библиотек и библиотек ведущих вузов страны, она дошла и до муниципального уровня: здесь достаточно упомянуть подписку библиотек на ресурсы ЛитРес.

В принципе российский закон «О персональных данных» содержит всю необходимую информацию для того, чтобы очертить рамки работы с ПД при взаимодействии с поставщиками лицензионных ресурсов. Однако его общие формулировки явно нуждаются в специальных толкованиях и пояснениях применительно к библиотечной деятельности. Повторим основное определение. «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Эта формулировка носит достаточно общий характер, поскольку разнообразие данных, по которым можно идентифицировать физическое лицо, велико и постоянно увеличивается. Например, в электронной среде человека в принципе можно идентифицировать по используемому устройству в сочетании со статическим IP-адресом, используемым браузером и файлами куки. Многие сочетания данных вызывают сомнения, можно ли считать их персональными данными, если они в общем случае не позволяют идентифицировать человека, но в некоторых случаях это становится возможным. Например, ФИО человека в сочетании с местом работы может идентифицировать человека, если у него редкие фамилия, имя и отчество, а уникальное название организации делает идентификацию безошибочной. Поэтому многие организации — операторы ПД и суды, рассматривающие дела, связанные с обработкой персональных данных, делают запросы в Роскомнадзор для получения разъяснений о признании персональными данными конкретного сочетания характеристик субъектов. Некоторые типовые случаи рассмотрены в разделе сайта Роскомнадзора «Часто задаваемые вопросы», подраздел «О персональных данных» — https://77.rkn.gov.ru/p3852/p13239/p13309/.

Рассмотрим конкретный пример. В методических рекомендациях областной библиотеки1 по работе библиотекаря в проекте «ЛитРес: Библиотека» в модуле регистрации пользователей рекомендуется заполнить в регистрационной форме только следующие данные читателя: ФИО и дату рождения. Поясняется, что дата необходима ЛитРес для того, чтобы учитывать возрастные ограничения при отборе литературы по запросам читателей. При этом оговаривается, что поля «Электронный адрес» и «Телефон» библиотекарь не заполняет, поскольку они являются персональными данными согласно 152-ФЗ — и их нельзя передавать без разрешения читателя. Но являются ли персональными данными ФИО и год рождения? Автор обратился в Роскомнадзор с запросом об этом, заполнив форму запроса на сайте. Полученный ответ таков: «В соответствии с пунктом 1 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ “О персональных данных” (далее — Закон) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Совокупность сведений ФИО и год рождения являются персональными данными». Думается, что библиотечное сообщество России может и должно сформулировать типовые вопросы по использованию персональных данных в библиотеках и получить соответствующие официальные разъяснения Роскомнадзора. Опубликованные на сайте авторитетной библиотечной организации, они помогли бы библиотекам грамотно выстраивать свою работу в этом направлении.

В каких ситуациях возможна передача ПД пользователей от библиотек контент-провайдерам и обратно и каким образом 152-ФЗ регламентирует это? Передача персональных данных между разными операторами ПД возможна в режимах предоставления, распространения или доступа — конкретных видах обработки персональных данных. Ниже приводятся определения, данные в соответствующем разделе 152-ФЗ (Статья 3. Основные понятия, используемые в настоящем Федеральном законе).

«Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц».

«Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц».

Библиотеки как ответственные операторы персональных данных получают согласие на обработку ПД от своих пользователей письменно или в электронной форме; в последнем случае пользователь подтверждает согласие на обработку своих ПД, проставляя отметку в соответствующем поле2. Для получения согласия необходимо ознакомить пользователя с политикой обработки персональных данных, применяющейся в организации-операторе. В политике должен быть раскрыт состав обрабатываемых ПД, цели обработки ПД и ­применяемые действия (операции) обработки. На сайте Роскомнадзора дается образец согласия на обработку ПД в письменной форме — https://54.rkn.gov.ru/protection/docsamples/, в котором максимально раскрываются все параметры согласия. Рекомендации по разработке политики в отношении обработки персональных данных также опубликованы на сайте Роскомнадзора — https://rkn.gov.ru/personal-data/p908/. Существенная разница между получением согласия на предоставление и распространение персональных данных заключается в том, что последнее необходимо получить отдельно от других согласий. Это сравнительно новое требование, введенное в действие с 1 марта 2021 года.

Рассмотрим ситуацию возможной передачи ПД на примере взаимодействия российских библиотек с российскими электронно-библиотечными системами (ЭБС), которое широко практикуется уже около двадцати лет. По определению ГОСТ Р 57723-2017 [20] ЭБС — это «автоматизированная информационная система, базы данных которой содержат организованную коллекцию электронных документов, включающую электронные издания, используемые для информационного обеспечения образовательного и научно-исследовательского процесса в образовательных организациях, обеспечивающая возможность доступа к электронным документам через сеть Интернет». Это определение несколько сужает понятие электронно-библиотечных систем, ограничивая их использованием в образовательных учреждениях, но фиксирует реальный факт их первичного и остающегося основным предназначения для обеспечения учебного процесса. На рынке российских ЭБС сейчас представлены около десятка ведущих компаний, предлагающих коллекции от 15 до 150 тысяч единиц. В целях приведенного ниже анализа рассмотрены семь ЭБС, из которых четыре являются учредителями Ассоциации производителей и пользователей образовательных электронных ресурсов — АППОЭР (https://apoer.ru/).

Обычно библиотеки вузов рекомендуют своим пользователям, заинтересованным в персонализации взаимодействия с ЭБС, регистрироваться индивидуально на их платформах. Таким образом, пользователь сам берет на себя ответственность за предоставление своих ПД ЭБС, выразив согласие на их обработку в форме регистрации. Регистрация предоставляет им две основные возможности:

Возможность удаленного доступа крайне важна для подписчиков, поэтому регистрация на платформах ЭБС в вузах, которые не используют простые методы удаленного доступа, основанные на идентификации IP-адреса организации, такие как использование прокси-сервера и VPN, широко распространена.

При регистрации пользователя с целью получения удаленного доступа контент-провайдеру необходимо установить его аффилиацию с организацией-подписчиком. Обычно российские вузы применяют два основных способа установления аффилиации:

Анализ форм регистрации на платформах семи российских ЭБС показывает, что состав данных о пользователях, требуемых при регистрации, варьируется, однако всегда включает три-четыре обязательных элемента: фамилию, имя (отчество — в двух случаях из семи, в остальных опционально) и e-mail. Сочетание данных фамилии, имени (отчества — опционально) и e-mail относится к категории персональных данных. Это означает, что пользователи должны дать ЭБС согласие на обработку своих ПД. Из семи рассмотренных ЭБС пять требуют дать согласие, проставив отметку в соответствующем поле, которое является обязательным. В двух случаях после заполнения формы ввода ПД пользователь просто нажимает кнопку «Регистрация». По мнению автора, это не соответствует требованиям 152-ФЗ.

Согласие пользователя должно быть информированным, то есть он должен иметь возможность ознакомиться с документом (документами), описывающими, как и для каких целей будут обрабатываться его персональные данные. Пять ЭБС, которые требуют согласия на обработку ПД, предъявляют такие документы. Обработка персональных данных пользователя во всех пяти случаях описана отдельным разделом в пользовательском (лицензионном) соглашении. В двух случаях для ознакомления предлагается отдельный тест согласия на обработку ПД, в одном случае — текст политики обработки ПД. В четырех случаях из пяти в документах раскрываются цели использования ПД, конкретизированные для ситуации взаимодействия пользователя с ЭБС, в одном случае предлагается ознакомиться с 152-ФЗ, в соответствии с которым действует ЭБС. Последний вариант представляется явно недостаточным для получения информированного согласия пользователя.

Посмотрим, как описывается в упомянутых документах возможность передачи персональных данных третьим сторонам (кроме случаев запросов госорганов, оговоренных в Законе 152-ФЗ). К сожалению, только в одном случае это явным образом описано в согласии на обработку ПД: пользователю предложено согласиться с тем, что его данные, в том числе информация о прочитанных книгах, будут время от времени передаваться «правообладателям, партнерам и (если применимо) вузу, организовавшему доступ». При этом возникает вопрос, не подпадает ли эта формулировка под понятие «раскрытие персональных данных неопределенному кругу лиц», то есть распространение ПД, на которое, напомним, 152-ФЗ требует получить отдельное разрешение субъекта персональных данных.

Почему это важно для библиотек, прежде всего, вузовских? Потому что они заинтересованы в получении данных об использовании материалов ЭБС, приобретенных в доступ, в том числе об использовании их индивидуальными пользователями. И ЭБС, идя навстречу пожеланиям своих основных клиентов, такие данные предоставляют в статистических отчетах. Проблема в том, что в них в ряде случаев включены персональные данные пользователей, на передачу которых, как показано выше, пользователи официального решения не давали. Только в одной из семи рассмотренных ЭБС в наборе стандартных статистических отчетов данные обезличены, то есть не сопоставлены с конкретными пользователями. В остальных случаях в отчеты включаются следующие данные зарегистрированных пользователей:

Здесь сочетание ФИО и e-mail, безусловно, относится к персональным данным. Сочетание ФИО и данных об открытых книгах, по мнению автора, требует получения официальных разъяснений Рос­комнадзора: являются ли они персональными данными. Напомним, что документы American Library Association и NISO [4] требуют обезличивания данных о статистике использования ресурсов.

Библиотекам в данной ситуации нужно сделать все, чтобы в диалоге с разработчиками ЭБС обеспечить строгое соблюдение 152-ФЗ, то есть документально закрепить получение информированного согласия пользователей на обработку их персональных данных, в том числе, при необходимости, на передачу их библиотеке в формах статистических отчетов. В инструкциях по работе с ЭБС, опубликованных на сайтах библиотек, необходимо разъяснить, что именно означает предоставление согласия на обработку ПД. Сейчас, к сожалению, в них рекомендуется «поставить галочку» или просто «заполнить все обязательные поля».

Очевидно, что практика применения закона «О персональных данных» (152-ФЗ), в основном успешно освоенная российскими библиотеками, нуждается в конкретизации в контексте взаимодействия с внешними поставщиками информации. Особенно проблемным сейчас является вопрос о передаче ПД пользователей от поставщиков библиотекам и в некоторых случаях — от библиотек поставщикам. Для того чтобы библиотеки-подписчики и контент-провайдеры могли взаимодействовать строго в рамках закона, российскому библиотечному сообществу нужно решить, по крайней мере, четыре взаимосвязанных задачи, перечисленные ниже.

1. Автор статьи не ставит задачу разбора возможных ошибочных действий отдельных библиотек или контент-провайдеров, для него важно проанализировать общую ситуацию. Поэтому здесь и далее конкретные организации не называются. 2. Согласие на обработку ПД в ряде случаев не требуется; эти случаи перечислены в 152-ФЗ, они относятся в основном к запросам государственных органов.