Договор отдельно, персональные данные отдельно

Авторы законопроекта №679980-8 "О внесении изменений в статью 9 Федерального закона "О персональных данных" и статью 10 закона РФ "О защите прав потребителей" настаивают на необходимости оформлять согласие на обработку персональных данных как отдельный юридический документ, и обязать владельцев агрегаторов и исполнителей услуг предоставлять гражданам всю информацию о товарах и услугах без запроса согласия на обработку персональных данных.

"Проект федерального закона "О внесении изменений в статью 9 Федерального закона "О персональных данных" и статью 10 Закона Российской Федерации "О защите прав потребителей" направлен на совершенствование механизмов предотвращения избыточной обработки персональных данных граждан в целях минимизации рисков неправомерного доступа к указанной информации", - пишут депутаты в пояснительной записке к закону.

Авторы законопроекта отмечают, что положение о согласии на обработку персональных данных включается в пользовательские соглашения, контракты, договоры и другие документы, где оно теряется среди больших объемов информации.

"В таких документах среди большого объема иных сведений, не относящихся к вопросам обработки персональных данных, заложены условия предоставления согласия на обработку персональных данных, в том числе в целях их передачи неопределенному кругу лиц", - сообщают авторы документа в пояснительной записке.

"Необходимость введения указанной нормы вызвана тем, что в настоящее время предоставление согласия пользователя на обработку его персональных данных зачастую является обязательным условием для получения доступа к информации о товарах (работах, услугах) независимо от того, будут ли приобретены такие товары (работы, услуги). Чаще всего подобные ситуации возникают при использовании информационных ресурсов в сфере электронной коммерции", - сообщают авторы законопроекта в пояснительной записке к документу.

Мнения экспертов

"Обе инициативы полезные, - рассказала руководитель направления по работе с государственными структурами ГК "Солар" Елена Черникова корреспонденту ComNews. - Они направлены на борьбу с недобросовестными "продавцами" персональных данных третьим компаниям. Принуждение пользователей к предоставлению персональной информации является одним из эффективных методов для увеличения клиентских баз, а эти базы, при их правильном использовании, могут на легальных условиях приносить владельцам неплохие доходы. Эти базы данных могут снабжаться программным обеспечением для совершения звонков, отправки рекламы и так далее. При этом сами персональные данные могут быть скрыты от конечного пользователя таких услуг, то есть не передаваться третьим лицам".

"Согласия на обработку персональных данных собирают почти все, почти всегда и почти везде, а пользователь почти всегда согласен и почти всегда официально это подтвердил", - рассказал заместитель директора АНО "Платформа НТИ" Никита Уткин.

Он отметил, что пользователю это мало что дает. "Нормативно строгие требования о согласии сводятся на нет постоянными утечками и легкость доступа и передачи вовне этих данных отдельными сотрудниками организаций, имеющими доступ к персданным. Оснований полагать, что что-то в этой сфере что-то радикально измениться немного", - прокомментировал Никита Уткин.

"Данные частных компаний регулярно утекают в сеть, - рассказал руководитель департамента расследований ООО "Ти хантер" (T.Hunter) Игорь Бендеров корреспонденту ComNews.ru. - объем утекших данных и взломанных компаний в 2024 г. вырос на 60% и очевидно, что новый закон в ближайшей перспективе ситуацию не изменит".

Игорь Бендеров отметил, что чрезмерным накоплением нецелевых персональных данных называют ситуацию, когда у одной компании хранится огромный массив данных о человеке, а не только те, которых достаточно для исполнения договора с ним.

"С этим нужно бороться и тогда количество утечек сократится. В законе предусмотрено отсутствие необходимости предоставлять согласие на обработку персональных данных в случаях, когда заключается гражданско-правовой договор. Законодатель борется не с бизнесом, а с чрезмерным и нецелевым сбором персональных данных, сбором на неспецифические цели. Именно эти данные как раз и попадают в дальнейшем к пробивщикам и фигурируют в утечках", - отметил Игорь Бедеров

С ним согласен руководитель управления эксплуатации инфраструктуры и сервисов ООО "Обит" Кирилл Тимофеев. Он отметил, что с 16 июля 2024 г. на одном из ресурсов по утечкам появилось более 90 новых публикаций.

"Закон повлияет на рынок, но количество утечек от этого вряд ли изменится, так как, в первую очередь, данные утекают от крупных операторов персональных данных. Они уже накоплены, и часть из них уже утекли", - рассказал Кирилл Тимофеев.

Технический директор ИТ-агентства Data2Good Григорий Соколов напомнил, что даже самые крупные компании периодически становятся жертвами злоумышленников и всегда лучше проявить осторожность при передаче персональных данных.

Схожего мнения придерживается заместитель директора департамента информационной безопасности ООО "Степ Лоджик" (Step Logic) Денис Пащенко. Он рассказал, что возможно закон сузит объем и случаи обработки персональных данных граждан поставщиками товаров и услуг, но он никак не повлияет на причины утечек. Однако новый закон будет полезен для пользователей, так как 152-ФЗ "О персональных данных" имеет много неопределенностей, которыми пользуются операторы и компании.

Руководитель практики интеллектуальной собственности ООО "Версус.лигал" (Versus.legal) Иван Кайсаров отметил, что в некоторых случаях информацию о товарах и услугах умышленно не указывают до момента получения контактов потребителя, для получения которых нужно согласие.

"Практика отдельного оформления согласия на обработку персональных данных была и ранее, так как для него обязательным условием является добровольность. Если согласие включается в договор, то теряется элемент добровольности, потому что лицо вынуждено дать согласие, если хочет подписать договор и получить товар/услугу. Более того, были и судебные решения, которые подтверждали логику порочности включения согласия в договор. Предлагаемые законопроектом изменения, по всей видимости, хотят более прямолинейно закрепить это требование, чтобы оно было понятно не только за счет юридического толкования, а прямо следовало из закона", - рассказал Иван Кайсаров в разговоре с корреспондентом ComNews.ru.

Однако он отметил, что бывают отдельные случаи, когда включение соглашения об обработке персональных данных в договор может быть обосновано. "Но важно соблюдать условие, при котором вторая сторона будет иметь доступ только к необходимым для заключения и исполнения договора или контракта данным", - пояснил Иван Кайсаров.

"Если это договор на продажу товара, то в рамках него можно использовать персональные данные физического лица, чтобы, например, связаться с ним для доставки товара, однако нельзя использовать данные из договора для целей рекламной рассылки и аналогично, нельзя включать в сам договор сразу согласие на использование персональных данных для целей, не связанных с договором, потому что для этого уже нужно отдельно согласие на эту цель", - заметил Иван Кайсаров.

"Инициатива может привлечь внимание потребителей к их законному праву распоряжаться личной информацией, выбирать и покупать понравившийся товар без необходимости отдавать персональную информацию продавцу", - заключила Елена Черникова.