Договор отдельно, персональные данные отдельно

Авторы законопроекта №679980-8 "О внесении изменений в ст.9 Федерального закона "О персональных данных" и ст.10 закона РФ "О защите прав потребителей" настаивают на необходимости оформлять согласие на обработку персональных данных как отдельный юридический документ и обязать владельцев агрегаторов и исполнителей услуг предоставлять гражданам всю информацию о товарах и услугах без запроса согласия на обработку персональных данных.

"Проект федерального закона "О внесении изменений в ст.9 Федерального закона "О персональных данных" и ст.10 Закона Российской Федерации "О защите прав потребителей" направлен на совершенствование механизмов предотвращения избыточной обработки персональных данных граждан в целях минимизации рисков неправомерного доступа к указанной информации", - пишут депутаты в пояснительной записке к закону.

Авторы законопроекта отмечают, что положение о согласии на обработку персональных данных включается в пользовательские соглашения, контракты, договоры и другие документы, где оно теряется среди больших объемов информации.

"В таких документах среди большого объема иных сведений, не относящихся к вопросам обработки персональных данных, заложены условия предоставления согласия на обработку персональных данных, в том числе в целях их передачи неопределенному кругу лиц", - сообщают авторы документа в пояснительной записке.

"Необходимость введения указанной нормы вызвана тем, что в настоящее время предоставление согласия пользователя на обработку его персональных данных зачастую является обязательным условием для получения доступа к информации о товарах (работах, услугах) независимо от того, будут ли приобретены такие товары (работы, услуги). Чаще всего подобные ситуации возникают при использовании информационных ресурсов в сфере электронной коммерции", - сообщают авторы законопроекта в пояснительной записке к документу.

Мнения экспертов

"Обе инициативы полезные, - рассказала руководитель направления по работе с государственными структурами ГК "Солар" Елена Черникова корреспонденту ComNews. - Они направлены на борьбу с недобросовестными "продавцами" персональных данных третьим компаниям. Принуждение пользователей к предоставлению персональной информации является одним из эффективных методов для увеличения клиентских баз, а эти базы, при их правильном использовании, могут на легальных условиях приносить владельцам неплохие доходы. Эти базы данных могут снабжаться программным обеспечением для совершения звонков, отправки рекламы и т.д. При этом сами персональные данные могут быть скрыты от конечного пользователя таких услуг, то есть не передаваться третьим лицам".

"Согласия на обработку персональных данных собирают почти все, почти всегда и почти везде, а пользователь почти всегда согласен и почти всегда официально это подтвердил", - рассказал заместитель директора АНО "Платформа НТИ" Никита Уткин.

Он отметил, что пользователю это мало что дает. "Нормативно строгие требования о согласии сводятся на нет постоянными утечками и легкостью доступа и передачи вовне этих данных отдельными сотрудниками организаций, имеющими доступ к персданным. Оснований полагать, что в этой сфере что-то радикально изменится, немного", - прокомментировал Никита Уткин.

"Данные частных компаний регулярно утекают в Сеть, - рассказал руководитель департамента расследований ООО "Ти хантер" (T.Hunter) Игорь Бедеров корреспонденту ComNews.ru. - объем утекших данных и взломанных компаний в 2024 г. вырос на 60%, и очевидно, что новый закон в ближайшей перспективе ситуацию не изменит".

Игорь Бедеров отметил, что чрезмерным накоплением нецелевых персональных данных называют ситуацию, когда у одной компании хранится огромный массив данных о человеке, а не только те, которых достаточно для исполнения договора с ним.

"С этим нужно бороться, и тогда количество утечек сократится. В законе предусмотрено отсутствие необходимости предоставлять согласие на обработку персональных данных в случаях, когда заключается гражданско-правовой договор. Законодатель борется не с бизнесом, а с чрезмерным и нецелевым сбором персональных данных, сбором на неспецифические цели. Именно эти данные как раз и попадают в дальнейшем к пробивщикам и фигурируют в утечках", - отметил Игорь Бедеров

С ним согласен руководитель управления эксплуатации инфраструктуры и сервисов ООО "Обит" Кирилл Тимофеев. Он отметил, что с 16 июля 2024 г. на одном из ресурсов по утечкам появилось более 90 новых публикаций.

"Закон повлияет на рынок, но количество утечек от этого вряд ли изменится, так как в первую очередь данные утекают от крупных операторов персональных данных. Они уже накоплены, и часть из них уже утекли", - рассказал Кирилл Тимофеев.

Технический директор ИТ-агентства Data2Good Григорий Соколов напомнил, что даже самые крупные компании периодически становятся жертвами злоумышленников и всегда лучше проявить осторожность при передаче персональных данных.

Схожего мнения придерживается заместитель директора департамента информационной безопасности ООО "Степ Лоджик" (Step Logic) Денис Пащенко. Он рассказал, что, возможно, закон сузит объем и случаи обработки персональных данных граждан поставщиками товаров и услуг, но никак не повлияет на причины утечек. Однако новый закон будет полезен для пользователей, так как 152-ФЗ "О персональных данных" имеет много неопределенностей, которыми пользуются операторы и компании.

Руководитель практики интеллектуальной собственности ООО "Версус.лигал" (Versus.legal) Иван Кайсаров отметил, что в некоторых случаях информацию о товарах и услугах умышленно не указывают до момента получения контактов потребителя, для получения которых нужно согласие.

"Практика отдельного оформления согласия на обработку персональных данных была и ранее, так как для него обязательным условием является добровольность. Если согласие включается в договор, то теряется элемент добровольности, потому что лицо вынуждено дать согласие, если хочет подписать договор и получить товар/услугу. Более того, были и судебные решения, которые подтверждали логику порочности включения согласия в договор. Предлагаемые законопроектом изменения, по всей видимости, хотят более прямолинейно закрепить это требование, чтобы оно было понятно не только за счет юридического толкования, а прямо следовало из закона", - рассказал Иван Кайсаров в разговоре с корреспондентом ComNews.ru.

Однако он отметил, что бывают отдельные случаи, когда включение соглашения об обработке персональных данных в договор может быть обоснованно. "Но важно соблюдать условие, при котором вторая сторона будет иметь доступ только к необходимым для заключения и исполнения договора или контракта данным", - пояснил Иван Кайсаров.

"Если это договор на продажу товара, то в рамках него можно использовать персональные данные физического лица, чтобы, например, связаться с ним для доставки товара, однако нельзя использовать данные из договора для целей рекламной рассылки и аналогично нельзя включать в сам договор сразу согласие на использование персональных данных для целей, не связанных с договором, потому что для этого уже нужно отдельно согласие на эту цель", - заметил Иван Кайсаров.

"Инициатива может привлечь внимание потребителей к их законному праву распоряжаться личной информацией, выбирать и покупать понравившийся товар без необходимости отдавать персональную информацию продавцу", - заключила Елена Черникова.