Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Недавно мы выпустили большой обзор по утечкам данных. По итогам рассмотрения множества ситуаций мы предлагали компаниям начать как-то научиться адекватно реагировать на потерю пользовательских данных, однако это уже тушение пожара и фиксирование ущерба.
А нельзя ли не закидывать дров в этот костер – тогда и гореть будет нечему? Мы уверены: абсолютное большинство тех персональных данных, что считает нужным собрать о клиентах любой сервис, ему попросту не нужны. Маркетинговый профит от них сомнительный, а вот ущерб пользователям в случае утечек может быть нанесен колоссальный, всего лишь по причине чьего-то желания иметь «портрет клиента».
Может, все же безопасность клиентов важнее маркетинговых игрищ?
Беспрецедентные утечки колоссального количества персональных данных россиян в этом году ранили многих и особенно остро поставили вопрос: а зачем такому большому количеству контрагентов в нашей жизни СТОЛЬКО данных и покупателях/пользователях и даже случайно проходящих мимо? Настраивать рекламу? Но не слишком ли большая цена в итоге платится несчастным пользователем?
Вопрос об избыточности сбора назрел настолько давно, что вызвал реакцию правительственных кругов еще в 2021 году. Однако эта озабоченность касалась только узкой, хоть и важной части нашей жизни – покупок товаров и услуг. Глава Правительства высказался о том, что «сейчас зачастую людей принуждают указывать избыточные персональные данные при любых покупках. Даже в тех случаях, когда по закону это совсем не обязательно. Понятно, что нужно указать имя и фамилию при оформлении авиа- или железнодорожного билета. Но на многих массовых мероприятиях таких требований при покупке билета просто нет, а продавец вынуждает своего клиента сообщить эту информацию. Под разными предлогами у граждан собирают номера телефонов, адреса электронной почты, данные водительских удостоверений и другие персональные сведения».
Поэтому правительством была разработаны поправки к закону «О правах потребителей» , прямо ограничивающие избыточный сбор данных, которые вступили в действие буквально только что – с 1 сентября 2022 года. Об этом довольно много говорилось и писалось в медиа.
Однако бизнес, по нашим наблюдениям, никак не забоялся и особых мер по сокращению числа собираемых данных так и не предпринял.
Как должны работать поправки об избыточности?
Поправки только что вступили в силу и совершенно не имеет никакой практики правоприменения. Однако попробуем понять, как они должны работать.
Основное: поправка об избыточности данных внесена в закон «О правах потребителей» – соответственно, касается в основном случаев покупки товаров и услуг.
В ст. 16 этого закона появилась такая формулировка:
«Продавец … не вправе отказывать покупателю в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством РФ или непосредственно связана с исполнением договора с потребителем».
Далее закон описывает право потребителя запросить у продавца основания для запроса его персональных данных (письменно – в течение 7 дней, устно – незамедлительно).
Если приводить пример, то для доставки еды явно необходим адрес и телефон, а вот фото и паспортные данные – скорее всего, информация избыточная. Если салон красоты просит клиентов сообщить их имущественное положение или образование – это тоже избыточный сбор данных.
Но вот как определять – какие данные строго необходимы, а какие избыточны – новые поправки не предлагают.
И поэтому тут предстоит руководствоваться законом «О персональных данных», причем уже во всех случаях: не только при покупках, но при всех других взаимодействиях, в рамках которых у вас требуют ПД – трудоустройство, медобслуживание, доступ к госуслугам.
И в этом законе, если резюмировать коротко, и так основополагающий принцип – минимизация сбора данных. Однако и он не описывает, для какого случая какие персональные данные необходимы, а какие избыточны.
И в сухом остатке буква закона предлагает ориентировать на следующий критерий: соответствуют ли собираемые данные цели их обработки. Цель обработки ПД должна быть обязательно прописана в договоре или согласии на обработку ПД (которое вам должны предлагать каждый раз, когда требуют указать что-то помимо имени и телефона*). Эта цель должна быть законной (т. е. не противоречить никаким нормам законодательства РФ), а все собранные ПД не должны использоваться хоть как-то помимо заявленной цели.
Например, если видеонаблюдение у вас на работе ведется в целях обеспечения безопасности, то работодатель не имеет права использовать видеозаписи для мониторинга нахождения работника на рабочем месте.
Так как все-таки определить, является ли сбор персональных данных в конкретном случае избыточным?
Законодательство не содержит уточнений и правил по проверке избыточности ПД, и лишь устанавливает общие принципы недопустимости сбора избыточных данных. Это обеспечивает определенную гибкость в разрешении спорных ситуаций. Следовательно, в спорных ситуациях самым действенным способом остается суд.
Также за избыточный сбор ПД компании могут быть привлечены к отвественности Роспотребнадзором по жалобе клиента или в рамках проверки.
*Cогласие на обработку ПД должно содержать: цель обработки персональных данных, перечень персональных данных, на обработку которых дается согласие, перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных и т.д.
Судебная практика
Судебная практика по части избыточного сбора данных скромна, но все-таки имеется.
1. Суд определил, что для идентификации личности при приеме на работу достаточно ФИО при условии предъявления лицом документа, удостоверяющего личность, в котором содержатся все необходимые сведения.
Хранение копий паспорта, военного билета, свидетельства о браке на рабочем месте превышает объем обрабатываемых ПД работника, нарушает права и свободы гражданина, снижает уровень прав и гарантий работника и противоречит законодательству.
Постановление ФАС Северо-Кавказского округа от 21.04.2014г. по делу №А53-13327/2013
Вот сейчас, мы полагаем, мы много кого удивили – работодатели в вопросе сбора данных о работниках не стесняются. А иные госкорпорации и вообще могут запросить копии паспортов родственников при устройстве на работу. Ну проверка безопасности, то-се. Можете не присылать, но сами понимаете…
2. В другом деле суд признал нарушением закона требование «Ростелекома» о предоставлении паспортных данных и адреса регистрации при получении активационного кода для портала госуслуг, поскольку компания не сослалось на соответствующие нормы права, обязывающие его при выдаче кода активации не только устанавливать личность лиц, обратившихся за кодом активации, но и обрабатывать их ПД ( а именно – паспортные данные и адрес регистрации).
Постановление 14 арбитражного апелляционного суда от 25.04.2013г. по делу №А44-7781/2012
3. С другой стороны, Верховный суд определил, что требование ПД продавцом от покупателя при возврате денег не противоречит требованиям законодательства и избыточным не является, поскольку ЦБ РФ требует при таких возвратах указания в расходном кассовом ордере ФИО и данных документа, удостоверяющего личность.
Как правило, при возврате товара обычно чека достаточно, но у продавца есть правовой базис потребовать у потребителя предъявить паспорт или иной документ, удостоверяющий личность.
Постановление ВС РФ от 15.06.2015г. №25-АД15-3
Здесь важно отметить: это общее правило – если какие-либо правовые акты прямо предусматривают необходимость получения определенных сведений о субъекте, их сбор и последующая обработка не будут считаться избыточными, как в вышеописанном случае.
И помните: как мы указывали выше, вы вправе запросить основания для сбора ваших данных – письменно (ответ должен быть предоставлен в течение 7 дней) или устно (ответ должен быть дан незамедлительно).
Также специалисты отмечают, что не соответствуют основновополагающему принципу закона «О защите ПД» интернет-сервисы и мобильные приложения, которые запрашивают или получают по факту доступ к большому количеству данных, хранимых на устройстве пользователя (смартфоне или компьютере), если это не вызвано необходимостью его нормального функционирования. Но судебных прецедентов по этому поводу нам пока найти не удалось, но нам приходилось сталкиваться приложением к роботу-пылесосу, требующему доступ к звонкам. Поэтому при установке приложения проверяйте, к чему оно хочет получить доступ. Если это что-то, что не нужно для работы приложения, вероятнее всего вы можете просто запретить. Причем, без потери функциональности приложения. Да, просто маркетологи хотят немного лучше вас узнать.
Наказание
Наказание за избыточный сбор предусмотрены статьей 14.8 Кодекса об административных правонарушениях:
должностным лицам – от 5 тыс. до 10 тыс. рублей,
юридическим — от 30 тыс. до 50 тыс. рублей.
Что-то это не выглядит пугающим.
Резюме по юридической части
Несмотря на большое внимание к поправкам «об избыточности» (вполне логичное на фоне колоссальных потерь ПД в этом году) вопрос доказывания избыточности сбора ПД, по всей видимости, ляжет на плечи самих граждан и однозначно потребует недюжинной воли. А наказание вряд ли напугает даже малый бизнес.
Посему мы призываем бизнес посмотреть на те последствия, которые имели беспрецедентные утечки данных в этом году и все-таки ограничить сбор ПД своих клиентов. Вам они нужны для мифических маркетинговых целей, а последствия безалаберности и хакерских атак приводят к реальным серьезным жизненным проблемам у ваших клиентов.
Что мы видим прямо сейчас?
Сегодня в России собирается невероятное количество данных пользователей буквально везде, порою в довольно неожиданных местах.
Пример 1. Русский музей (
Интересные статьи
Интересные статьи
