Объем персональных данных, которые собирают онлайн-сервисы, могут ограничить. Такой законопроект поддержало правительство. Его авторы настаивают: запрашивать у людей нужно только тот минимум информации, который необходим для предоставления конкретной услуги. Кроме того, в законе четче пропишут механизм получения согласия на обработку персональных данных — сейчас его зачастую размещают внутри пользовательского соглашения. Документ предлагает разделить эти понятия, чтобы минимизировать объемы утечек. С начала января 2024 года в сеть уже попало более 500 млн записей о пользователях, сообщили в Роскомнадзоре.
Запрет на персональные данныеАгрегаторам услуг, маркетплейсам и другим онлайн-сервисам могут ограничить объем сбора персональных данных их пользователей. Правительство поддержало, хотя и с оговорками, законопроект, который запрещает требовать данных больше, чем необходимо для предоставления конкретной услуги. Документ разработала первый зампред комитета Совета Федерации по конституционному законодательству и государственному строительству Ирина Рукавишникова.
— В настоящее время граждане, просто посещая те или иные сайты, автоматически дают доступ их владельцам к своей личной информации, которая в последующем может быть передана третьим лицам, в том числе в маркетинговых целях, — пояснила она во время круглого стола в Совфеде в декабре 2023 года. — Такая практика многократно увеличивает риск утечек и противоправного использования персональных данных.
Сейчас нет запретов и ограничений на размещение согласия на обработку персональных данных, например, внутри пользовательского соглашения, хотя это разные документы, пояснил заместитель руководителя федерального центра медиации Владимир Кузнецов.
— Пользовательское соглашение — это документ, закрепляющий взаимные права и обязанности владельца сайта и его пользователя, — сказал он «Известиям». — А согласие на обработку персональных данных — обязательный документ, в соответствии с которым пользователь разрешает владельцу сайта использовать свои данные в соответствии с законодательством.
Подготовленный законопроект направлен на сокращение рисков неправомерного доступа к личной информации граждан, считает председатель правления Ассоциации юристов России Владимир Груздев.
— Под персональными данными законом подразумевается большой перечень сведений, в который входят имя, фамилия и отчество человека, дата и место рождения, адрес, семейное и имущественное положение, профессия, образование и уровень дохода, — напомнил он «Известиям». — Разумеется, к персональной информации относятся данные паспорта, ИНН, военного билета, страхового свидетельства, медицинского полиса.
Владимир Груздев подчеркнул, что для обработки персональных данных в коммерческих целях всегда необходимо получать согласие гражданина.
— На практике сегодня распространены ситуации, когда граждане, обращаясь куда-то за разовой услугой, вынуждены принимать пользовательское соглашение, предполагающее длительное использование их персональных данных, — пояснил председатель АЮР. — Поэтому проект предусматривает механизмы дополнительной защиты граждан от неправомерного использования их персональных данных.
Это отмечают и авторы законопроекта. В пояснительной записке говорится, что создание избыточных баз персональных данных для обработки и их дальнейшей передачи для маркетинговых целей «увеличивает риски утечек и попадания информации в руки злоумышленников».
Регулярные утечкиПомимо разделения согласия на обработку персональных данных и пользовательского соглашения, авторы указывают на необходимость закрепить положение о том, что оператор не может отказать клиентам в услуге, если они отказались предоставить информацию.
«Еще одна проблема — недостаточный уровень информирования о политике персональных данных, которую осуществляет оператор. В основном это связано с тем, что эти документы оформлены на иностранных языках, — говорится в пояснительной записке. — Предлагается закрепить в законодательстве, чтобы операторы оформляли документы не только на русском языке, но и при необходимости дополняли текстом на государственных языках республик и народов России».
В 2023 году Роскомнадзор зафиксировал 168 утечек персональных данных, в результате которых в открытый доступ попало более 300 млн записей, сообщили «Известиям» в пресс-службе ведомства. В 2024 году — 19 случаев, в сеть попали около 510 млн записей о гражданах.
«Известия» направили запрос с просьбой прокомментировать инициативу крупным онлайн-площадкам.
В маркетплейсе Ozon «Известиям» заявили, что соблюдают законодательство о персональных данных и обеспечивают их защищенность от неправомерных действий. Кроме того, там принимают необходимые меры для защиты персональных данных.
«Мы намерены это делать и в дальнейшем», — заявили в Ozon.
В пресс-службе Wildberries сообщили, что взаимодействие клиентов и площадки регулируется офертой, при этом компания придерживается принципа минимизации собираемых данных.
— Чтобы создать личный кабинет на Wildberries, пользователю достаточно указать свой номер телефона, — рассказали там. — При регистрации многие поля в интерфейсе не обязательны для заполнения — покупатель может не указывать даже имя. Информация хранится в соответствии с требованиями российского законодательства.
Большинство предложений, перечисленных в инициативе, уже содержатся в других нормативных актах, отметили в пресс-службе.
«Чтобы минимизировать последствия возможных утечек для граждан, операторы должны соблюдать ключевые принципы работы с данными: это минимизация перечня собираемых сведений, удаление их по достижении цели обработки, регулярное проведение мероприятий внутреннего контроля по обеспечению безопасности обрабатываемых персональных данных, — подчеркнули в РКН. — Кроме того, считаем необходимым повышение ответственности операторов, обрабатывающих значительные объемы данных».
В соответствии с поправками, принятыми в декабре 2023 года, штрафы за обработку персональных данных без согласия физического лица составляют для граждан 10–15 тыс. рублей, для ИП и должностных лиц — 100–300 тыс. рублей, для организаций — 300–700 тыс. рублей, напомнил Владимир Кузнецов.
— При этом закон предусматривает более строгую ответственность за повторное нарушение — вплоть до 1,5 млн рублей, — пояснил он. — Разумеется, от утечек персональных данных пользователей в полной мере не защищен ни один сайт, однако агрегаторы обязаны принимать все возможные меры для защиты данных граждан.
Так, за утечку персональных данных законом предусмотрена ответственность в виде штрафа в размере до 100 тыс. рублей при первичном нарушении, за повторное — 300 тыс. рублей.