Сбор лишней информации о гражданах хотят запретить

Объем персональных данных, которые собирают онлайн-сервисы, могут ограничить. Такой законопроект поддержало правительство. Его авторы настаивают: запрашивать у людей нужно только тот минимум информации, который необходим для предоставления конкретной услуги.

Кроме того, в законе четче пропишут механизм получения согласия на обработку персональных данных — сейчас его зачастую размещают внутри пользовательского соглашения. Документ предлагает разделить эти понятия, чтобы минимизировать объемы утечек. С начала января 2024 года в сеть уже попало более 500 млн записей о пользователях, сообщили в Роскомнадзоре.

Запрет на персональные данные

Агрегаторам услуг, маркетплейсам и другим онлайн-сервисам могут ограничить объем сбора персональных данных их пользователей. Правительство поддержало, хотя и с оговорками, законопроект, который запрещает требовать данных больше, чем необходимо для предоставления конкретной услуги. Документ разработала первый зампред комитета Совета Федерации по конституционному законодательству и государственному строительству Ирина Рукавишникова.

— В настоящее время граждане, просто посещая те или иные сайты, автоматически дают доступ их владельцам к своей личной информации, которая в последующем может быть передана третьим лицам, в том числе в маркетинговых целях, — пояснила она во время круглого стола в Совфеде в декабре 2023 года. — Такая практика многократно увеличивает риск утечек и противоправного использования персональных данных.

Сейчас нет запретов и ограничений на размещение согласия на обработку персональных данных, например, внутри пользовательского соглашения, хотя это разные документы, пояснил заместитель руководителя федерального центра медиации Владимир Кузнецов.

— Пользовательское соглашение — это документ, закрепляющий взаимные права и обязанности владельца сайта и его пользователя, — сказал он «Известиям». — А согласие на обработку персональных данных — обязательный документ, в соответствии с которым пользователь разрешает владельцу сайта использовать свои данные в соответствии с законодательством.

Подготовленный законопроект направлен на сокращение рисков неправомерного доступа к личной информации граждан, считает председатель правления Ассоциации юристов России Владимир Груздев.

— Под персональными данными законом подразумевается большой перечень сведений, в который входят имя, фамилия и отчество человека, дата и место рождения, адрес, семейное и имущественное положение, профессия, образование и уровень дохода, — напомнил он «Известиям». — Разумеется, к персональной информации относятся данные паспорта, ИНН, военного билета, страхового свидетельства, медицинского полиса.

Владимир Груздев подчеркнул, что для обработки персональных данных в коммерческих целях всегда необходимо получать согласие гражданина.

— На практике сегодня распространены ситуации, когда граждане, обращаясь куда-то за разовой услугой, вынуждены принимать пользовательское соглашение, предполагающее длительное использование их персональных данных, — пояснил председатель АЮР. — Поэтому проект предусматривает механизмы дополнительной защиты граждан от неправомерного использования их персональных данных.

Это отмечают и авторы законопроекта. В пояснительной записке говорится, что создание избыточных баз персональных данных для обработки и их дальнейшей передачи для маркетинговых целей «увеличивает риски утечек и попадания информации в руки злоумышленников».

Регулярные утечки

Помимо разделения согласия на обработку персональных данных и пользовательского соглашения, авторы указывают на необходимость закрепить положение о том, что оператор не может отказать клиентам в услуге, если они отказались предоставить информацию.

«Еще одна проблема — недостаточный уровень информирования о политике персональных данных, которую осуществляет оператор. В основном это связано с тем, что эти документы оформлены на иностранных языках, — говорится в пояснительной записке. — Предлагается закрепить в законодательстве, чтобы операторы оформляли документы не только на русском языке, но и при необходимости дополняли текстом на государственных языках республик и народов России».

В 2023 году Роскомнадзор зафиксировал 168 утечек персональных данных, в результате которых в открытый доступ попало более 300 млн записей, сообщили «Известиям» в пресс-службе ведомства. В 2024 году — 19 случаев, в сеть попали около 510 млн записей о гражданах.

«Известия» направили запрос с просьбой прокомментировать инициативу крупным онлайн-площадкам.

В маркетплейсе Ozon «Известиям» заявили, что соблюдают законодательство о персональных данных и обеспечивают их защищенность от неправомерных действий. Кроме того, там принимают необходимые меры для защиты персональных данных.

«Мы намерены это делать и в дальнейшем», — заявили в Ozon.

В пресс-службе Wildberries сообщили, что взаимодействие клиентов и площадки регулируется офертой, при этом компания придерживается принципа минимизации собираемых данных.

— Чтобы создать личный кабинет на Wildberries, пользователю достаточно указать свой номер телефона, — рассказали там. — При регистрации многие поля в интерфейсе не обязательны для заполнения — покупатель может не указывать даже имя. Информация хранится в соответствии с требованиями российского законодательства.

Большинство предложений, перечисленных в инициативе, уже содержатся в других нормативных актах, отметили в пресс-службе.

«Чтобы минимизировать последствия возможных утечек для граждан, операторы должны соблюдать ключевые принципы работы с данными: это минимизация перечня собираемых сведений, удаление их по достижении цели обработки, регулярное проведение мероприятий внутреннего контроля по обеспечению безопасности обрабатываемых персональных данных, — подчеркнули в РКН. — Кроме того, считаем необходимым повышение ответственности операторов, обрабатывающих значительные объемы данных».

В соответствии с поправками, принятыми в декабре 2023 года, штрафы за обработку персональных данных без согласия физического лица составляют для граждан 10–15 тыс. рублей, для ИП и должностных лиц — 100–300 тыс. рублей, для организаций — 300–700 тыс. рублей, напомнил Владимир Кузнецов.

— При этом закон предусматривает более строгую ответственность за повторное нарушение — вплоть до 1,5 млн рублей, — пояснил он. — Разумеется, от утечек персональных данных пользователей в полной мере не защищен ни один сайт, однако агрегаторы обязаны принимать все возможные меры для защиты данных граждан.

Так, за утечку персональных данных законом предусмотрена ответственность в виде штрафа в размере до 100 тыс. рублей при первичном нарушении, за повторное — 300 тыс. рублей.

 

https://iz.ru/1649592/iana-shturma-evgeniia-pertceva/izbytochnogo-massa-sbor-lishnei-informatcii-o-grazhdanakh-khotiat-zapretit