Содержание

Технический прогресс несет не только удобства, но и новые проблемы. Когда мобильные телефоны только появились, мало кто мог представить неудобства, связанные с навязчивой рекламой по телефону. Аналогично, интернет-банкинг на заре своего появления позиционировался как отличный способ защитить свои средства от карманников, отказавшись от наличных. Однако сегодняшняя статистика говорит о том, что суммы, похищенные через Интернет, даже и не снились «классическим» преступникам, ориентированным на наличность.
В последнее время проблема спама по электронной почте, в мессенджерах и по телефону (пусть даже это и не мошенничество, а всего лишь попытка продвинуть свой товар) стала приобретать невиданные масштабы. Дошло до того, что некоторые мои знакомые вообще перестали поднимать трубку, увидев незнакомый номер. Хотя, конечно, это не выход, так как при таком подходе пропустить важный звонок – проще простого.
Безусловно, такая «кипучая деятельность» спамеров и кибермошенников возможна только из-за массовых утечек персональных данных. И Государственная Дума решила с этим бороться.
Законопроект о запрете избыточной обработки персональных данных принят в первом чтении.
Первое, на что обратили внимание депутаты Государственной Думы – так это на то, что многие организации заставляют своих клиентов заполнять многочисленные анкеты, не имеющие никакого отношения к деятельности организации (зато весьма важные для маркетологов и отдела продаж). При этом клиент может даже не знать о том, что он давал согласие на обработку персональных данных. Типична ситуация, когда клиенту дают на подпись толстую брошюру с названием наподобие «Правила обслуживания в Компании Х», где на 19 странице в подпункте 17 «а» 5 раздела IV Главы мелким шрифтом написано о согласии на обработку практически любых персональных данных.
В случае интернет-сайтов все обстоит еще печальнее для посетителя. Читает ли кто-нибудь Соглашение об условиях пользования сайта? Предположу, что нет.
Кстати, знаете ли вы, что еще в 2010 г. один из английских интернет-магазинов в качестве первоапрельской шутки включил в Пользовательское соглашение условие о продаже своей души? За несколько дней, пока оно провисело на сайте, около 7500 человек проставили «галочку» возле Пользовательского соглашения, безропотно согласившись расстаться со своей бессмертной душой.
Интересно, что организаторы розыгрыша оставили возможность внимательным посетителям отклонить Пользовательское соглашение. Однако в случае с персональными данными всё бывает намного печальнее. Зачастую, не согласившись с Пользовательским соглашением, и не дав согласие на обработку своих персональных данных, пользователь не может даже войти на сайт.
В связи с этим, несколькими депутатами Государственной Думы РФ был разработан Проект изменений в ФЗ «О защите персональных данных» и в Закон РФ «О защите прав потребителей» в части установления особенностей обработки персональных данных. 29 октября 2024 г. законопроект был принят в первом чтении.
Основная новация законопроекта – это требование оформлять согласие на обработку персональных данных отдельным документом. Оно не может быть включено в состав другого документа, который подписывает или подтверждает субъект персональных данных. Указанное требование распространяется как на «бумажные» согласия на обработку персональных данных, так и на согласия на обработку ПД, сформированные в виде электронного документа.
Кроме того, законопроект предусматривает запрет для продавца или владельца агрегатора ограничивать доступ потребителя к информации о товарах и услугах в связи с отказом потребителя предоставить свои персональные данные.
Подействуют ли новые требования по получению согласия на обработку ПД?
Безусловно, новые требования могут уменьшить количество утечек персональных данных и произвести некоторый позитивный эффект. Пресса много писала об этом, однако я хотел бы обратить внимание на некоторые другие последствия, которые не столь однозначны:
1. Строго говоря, законопроект не запрещает избыточную обработку персональных данных. Он просто обязывает оформлять на обработку ПД отдельный документ. То есть лицо, собирающее избыточные персональные данные окажется перед выбором: отказаться от сбора избыточных персональных данных или «подстраховаться», получив для сбора персональных данных отдельное согласие. Почему-то законодатели решили, что выбор будет сделан в пользу отказа от сбора персональных данных. Я же опасаюсь, что выбор будет диаметрально противоположным – и результатом станет несчастный владелец персональных данных (клиент, сотрудник и т.д.) которого заставят заполнять и подписывать еще одну лишнюю бумагу.
Таким образом, есть риск, что избыточный сбор персональных данных не только никуда не денется, но еще и будет дополнен избыточным заполнением дополнительных согласий на обработку персональных данных.
2. Из законопроекта непонятно какое именно наказание может понести организация в случае нарушения новых требований о персональных данных. Что случится, если новые требования будут проигнорированы, а согласие на обработку ПД будет совмещено с другим документом? Применить ст.13.11 КоАП (нарушение законодательства Российской Федерации в области персональных данных) будет достаточно сложно, так как нельзя будет утверждать, что обработка персональных данных происходила без письменного согласия. Ведь письменное согласие на обработку ПД есть, но его содержание не соответствует требованиям федерального закона. Влечет ли это автоматическую недействительность такого согласия? В законопроекте на это указаний нет
У нас есть судебная практика признающая недействительность Согласия на обработку персональных данных, совмещенную в одном документе с Договором. Однако такой подход делает согласия на обработку ПД, составленные с нарушением норм законопроекта, не ничтожными, а оспоримыми (окончательное решение о недействительности принимает суд). Если судебная практика в отношении законопроекта пойдет по указанному пути, штраф за совмещение согласия на обработку ПД с другим документам станет очень сложно взыскать на практике. В этом случае Роскомнадзор должен будет сначала через суд признавать Согласие на обработку персональных данных недействительным, а уж только потом – накладывать штраф за отсутствие такого согласия.
3. Интересен вопрос с «куки» (cookie). Судебная практика относит их к персональным данным. Принятие законопроекта приведет к тому что:
- даже если пользователь не дал согласие на сбор куки, ему теперь нельзя будет запрещать полноценное использование сайтом;
- согласие на сбор куки пользователь должен давать обязательно до момента начала их сбора, то есть до момента захода на сайт;
- сайт должен иметь возможность (версию?) обходиться без сбора куки – ведь пользователь имеет право отказаться от их сбора, а ограничивать его доступ к информации о товарах или услугах на этом основании нельзя. Как это осуществить на практике – вопрос не ко мне, а к законодателям;
- нельзя включать Согласие на обработку персональных данных в Политику конфиденциальности, это должен быть именно отдельный документ.
К чему нужно готовиться медицинским и фармацевтическим организациям после принятия закона об особенностях обработки персональных данных.
Для медицинского и фармацевтического бизнеса принятие законопроекта вызовет свои дополнительные хлопоты:
1. Необходимо проверить не включены ли в Согласие на обработку персональных данных другие согласия клиента. Например – согласие на получение рекламной рассылки, согласие на телефонные звонки с уведомлением о новых медицинских услугах и скидках и т.д. В случае такого совмещения каждый из этих документов нужно будет оформить отдельно и переподписать.
2. Проверить цели обработки персональных данных. В подобных «составных» документах цели обработки персональных данных нередко формулировались очень расплывчато. Тем не менее, при составления нового согласия необходимо прописывать конкретные цели обработки персональных данных, стараясь ничего не забыть. Например, нужно помнить, что звонок пациенту с напоминанием о времени приема – это тоже разновидность обработки персональных данных.
3. Медицинские организации должны помнить, что «персональные данные» и «врачебная тайна» — это разные правовые категории (хотя очень часто одна и та же информация может являться и персональными данными, и врачебной тайной). Поэтому в случае распространения информации о пациенте третьим лицам (лаборатории, которая исследует анализы; врачу из другой медорганизации для получения «второго мнения») требуется и согласие на обработку ПД, и согласие на разглашение врачебной тайны. Каждое из них должно быть изложено в отдельном документе.
4. Интернет-аптеки и продавцы медицинских изделий через Интернет должны учесть, что теперь вся информация об их товарах должна быть доступна без регистрации. Даже телефонный номер или электронная почта, используемые для регистрации, могут быть признаны персональными данными. А законопроект запрещает ограничивать доступ к информации для товара на основании отказа предоставлять персональные данные. С другой стороны, для покупки в интернет-аптеке вполне можно (и даже нужно) ввести механизм обязательной регистрации на сайте. Ведь законопроект запрещает отказывать именно в предоставлении информации о товаре. Но вот на этапе покупки товара (в том числе его перемещения в «корзину»), требовать предоставления персональных данных разрешается.
Автор статьи – Орленко Василий Васильевич, кандидат юридических наук, доцент
Статья написана 10.01.2025