IT-новости в области права

Данные для заключения пользовательского соглашения

07.03.2023

Правила сбора персональных данных и заключения пользовательских соглашений могут закрепить поправками в закон. В Роскомнадзоре предполагают, что это минимизирует их утечки. В закон № 152-ФЗ «О персональных данных» планируют внести поправки, которые введут универсальные правила сбора персональных данных и заключения пользовательских соглашений. В частности, предлагается «исключить автоматическое согласие на обработку персональных данных с момента перехода на сайт». В 2021 году Роскомнадзор планировал создать агрегатор согласий пользователей на обработку персональных данных в их личных кабинетах в единой информационной системе, однако сервис не был запущен. Пока в законодательстве отсутствует определение пользовательского соглашения, оно может содержать, с точки принципа свободы договора любые положения. По словам директора Центра правовой помощи в цифровой среде Людмилы Куровской, правила заключения пользовательского соглашения помогут сократить случаи необоснованного сбора и обработки данных, а также минимизировать риски их утечки. По некоторым данным пользовательские соглашения имеют только 10-20 % российских сайтов. Пока в законодательстве нет отдельного положения о том, что должно содержать пользовательское соглашение, чаще всего это договор публичной оферты, где прописан предмет соглашения, ответственность и права сторон и т.п. При акцепте такого соглашения форма согласия на обработку персональных данных у всех своя, что не запрещено законом. При этом организации сами определяют необходимый им объем персональных данных и зачастую собирают избыточные данные, то есть те, которые им не нужны для обозначенных целей. Например, при доставке товаров нельзя обойтись без адреса, но без отчества получателя или даты его рождения – вполне. Чаще всего избыточный сбор происходит из-за перестраховки или некорректного понимания целей обработки персональных данных, а не из-за желания ими злоупотребить, однако сути это не меняет. В результате в базах данных различных интернет-сервисов содержатся достаточно широкие по своему составу персональные данные пользователей, что, безусловно, делает такую базу более ценной для злоумышленников.

В отношении заключения договора через интернет-сайты используются две основные вариации заключения соглашений: click-wrap – пользователю предоставляется возможность ознакомиться с условиями договора и в случае согласия нажать соответствующую кнопку; browse-wrap (web-wrap) – при данной модели либо пользователю предоставляется возможность перейти по гиперссылке и при желании ознакомиться с условиями, либо высвечивается надпись о том, что, продолжая пользоваться этим сайтом, он принимает условия соглашения. При этом пользователь не выражает согласия с условиями в явной форме. При совершении соглашений по модели browse-wrap (web-wrap) пользователь не выражает согласия с предлагаемыми условиями в явной форме. Во многом это зависит от способа визуализации соответствующей информации на сайте, поэтому действия пользователя не всегда могут быть расценены как акцепт. В таких условиях вряд ли следует говорить о возможности определения общего правила о соответствии или несоответствии таких соглашений требованиям о письменной форме сделки. Поэтому решение этого вопроса возможно лишь в каждом конкретном случае с учетом фактических обстоятельств дела. Важно читать пользовательское соглашение, однако, соглашения, которые предусматривают, что их условия принимаются автоматически при переходе пользователя на сайт – могут быть оспорены в суде и не признаваться Роскомнадзором заключенными. В то же время данные, попавшие в обработку могут быть украдены и в таком случае, помимо юридических аспектов, задействуются технические, которые не всегда позволяют снизить ущерб субъекту персональных данных, в случае их утечки. Превентивные меры, направленные на недопущение обработки лишних персональных данных позволят минимизировать такой ущерб безотносительно технической возможности минимизации. В то же время отмечается, что надзорное ведомство предлагает ввести новые инструменты, которые так или иначе уже решает действующая редакция закона о персональных данных. С этой позиции нет необходимости унифицировать пользовательское соглашение, ведь вопрос взаимоотношений пользователя с исполнителем урегулирован различными действующими нормами, в том числе и законом о защите прав потребителей. Тем не менее в 2022 году Роскомнадзор обнаружил около 150 крупных утечек персональных данных. В 2022 году в общем доступе оказались персональные данные 100 млн граждан РФ. С июля 2021 года по июнь 2022 года злоумышленники украли 970,5 млн строк личных данных. Значительная часть этого объема – результат утечки в службе доставки СДЭК. Поэтому Куровская полагает, что поправки к закону помогут прекратить сбор персональных данных в необоснованном объеме и минимизировать вред и сами утечки личных сведений. Куровская подчеркнула, что пользовательское соглашение «должно быть конкретным и исключать негативные последствия для граждан». В частности, предлагается прямо запретить внесение в пользовательское соглашение положений об автоматическом согласии на обработку персональных данных с момента перехода на сайт.

В то же время пользовательское соглашение связано с бизнес-моделью работы сайта или платформы, что очень индивидуально, унификация их сомнительна. Идея унификации противоречит принципу свободы договора, по которому стороны вправе смешивать положения различных видов договоров в одном документе. Сейчас по закону пользователь вправе попросить разъяснения у оператора и при необходимости отозвать согласие, но и компания может отказаться оказывать услуги, если данных будет недостаточно. А, к примеру, запрет собирать статистику о посещении сайтов, может «убить таргетинг рекламы». То есть даже если допустить, новый порядок заключения пользовательского соглашения с уменьшит количество утечек персональных данных в связи, но при распространении таких правил на сбор и обработку cookie-файлов с компьютера пользователя, утечка которых невозможна, пользователей будут «атаковать нерелевантной для них рекламой».

Ранее член Совета при президенте по развитию гражданского общества и правам человека (СПЧ) Кирилл Кабанов заявил, что утечку персональных данных граждан необходимо включить в перечень оснований для замены общегражданского паспорта. Соответствующее предложение СПЧ в ближайшее время направит в ответственные органы власти. Сейчас основаниями для замены паспорта являются: достижение возраста 20 и 45 лет; смена Ф. И. О.; изменение пола; изменение внешности; выявленные ошибки в документе; повреждение паспорта, которое делает его непригодным к использованию; утеря паспорта. Ранее СПЧ предложил установить персональную уголовную ответственность для лиц, которые допускают утечки персональных данных или преднамеренно продают либо «сливают» их в интернет. Речь может идти о лишении свободы до шести лет.

Яндекс.Метрика