Без лишних вопросов: Госдума определила наказание любопытным продавцам
Госдума определилась со штрафными санкциями для продавцов за дискриминацию покупателей, не желающих делиться своими персональными данными при оплате товаров и услуг. Ранее в мае президент Владимир Путин подписал поправки в закон «О защите прав потребителей», которые устанавливают соответствующий запрет для торговцев, исполнителей и владельцев агрегаторов (когда речь идет об онлайн-покупках). В нюансах нововведения «Известия» разбирались вместе с экспертами.
Штраф за лишние вопросики
Понуждение потребителя к предоставлению персональных данных (ПД) под угрозой отказа в сделке с 1 сентября будет наказываться рублем. К нарушителям положения ст. 16 в законе «О защите прав потребителей» начнут применять существенные штрафы: для должностных лиц — от 5 до 10 тыс. рублей, для юрлиц — от 30 до 50 тыс. рублей.
Изменение в правовом поле — попытка противостоять принудительному и необоснованному сбору данных о россиянах. Это явление становится реальной проблемой с плохо прогнозируемыми, но однозначно негативными последствиями.
«Законопроект разработан в целях пресечения недобросовестного поведения на потребительском рынке, в том числе выражающегося в принудительном или необоснованном сборе ПД потребителей для целей, не связанных с заключением или исполнением договора», — говорится в пояснительной записке к пакету поправок. Законотворцы также ориентируются на резолюцию Генассамблеи ООН от 22 декабря 2015 года и другие международные документы, подчеркивающие важность защиты личной информации и получения согласия на сбор таких сведений.
Утечка за утечкой
Излишняя осведомленность частных компаний о своих клиентах становится почвой для попадания массивов данных о людях к киберпреступникам и посторонним лицам. А в условиях военного противостояния такие архивы могут иметь критическое значение, в том числе для национальной и экономической безопасности.
— В последнее время мы наблюдаем большое количестве инцидентов, связанных с утечкой ПД, — отмечает коммерческий директор компании «Код безопасности» Федор Дбар. — На первый взгляд словосочетание «персональные данные» звучит безобидно, ведь, кажется, никому нет дела до заказов еды или одежды какого-то конкретного человека. Однако это критичная информация, особенно в больших объемах и тем более в масштабах страны. Утечка данных может привести к крайне негативным последствиям и не для одного человека, а для целых категорий населения. Очевидно, что сейчас компании не уделяют должного внимания вопросу защиты ПД, иначе бы никаких утечек не было. Так что ужесточение закона и усиление требований в части его соблюдения — это абсолютно логичный шаг.
Практика показывает, что эффективных механизмов защиты от утечек баз данных со стороны бизнес-структур не существует. О безопасности много говорится, но череда скандалов со сливами в Сеть информации о россиянах, включая имена, места жительства, телефоны, регулярно оказывается в Сети. Зачастую данные уходят из организаций, которым, исходя из их деятельности, необязательно знать даже фамилии своих клиентов. Только за последнее время в общем доступе оказалась личная информация о пользователей Delivery Club, «Яндекс Еды», СДЭК, Avito, Wildberries, «Билайна».
Нюансы закона
По просьбе «Известий» эксперты разобрались, что нового несут в себе поправки и как будут работать санкции в отношении их нарушителей. По словам юриста фирмы DRC Никиты Истомина, типичная ситуация нарушения принятого закона возникает, когда оператор ПД требует предоставить избыточную информацию для выполнения договора с потребителем. Однако существует ряд нюансов, из-за которых любопытство продавцов по-прежнему будет легальным. В частности, анкетирование, также известное как профайлинг, имеет иное значение в контексте защиты личной информации.
— Сама по себе обработка ПД в целях заключения или исполнения договора не является нарушением до тех пор, пока объем обрабатываемых ПД соответствует этой цели, — говорит эксперт. — А значит, продавец не будет нести ответственность, если он собирает необходимый минимум, как правило, в него входят фамилия, имя, платежные данные, адрес доставки, контактные данные.
Действие нового запрета также не распространяется на акции, скидочные карты и бонусные программы.
— В отрасли розничных продаж давно устоявшаяся, распространенная практика обработки ПД для таких целей происходит через отдельное согласие, что не является нарушением принятого законопроекта. Сами акции, скидочные карты и бонусные программы не являются розничным договором купли-продажи, — отмечает Истомин.
Им можно
В силу закона существуют субъекты бизнеса, которым хочешь не хочешь, а придется рассказать о себе чуть больше, чем хотелось бы.
— Как правило, это касается услуг в лицензируемых видах деятельности (медицина, связь, финансовые услуги), где от субъекта персональных данных могут потребовать какие-либо дополнительные документы, не в силу того, что это желание оператора ПД и продавца, но и требования регулятора, несоблюдение которых чревато штрафами по иным статьям КоАП, приостановкой и отзывом лицензий, проведением проверок и т.п. — уточнил юрист Истомин.
Член Ассоциации юристов России Алия Алтынбаева обратила внимание, что существуют определенные виды товаров, требующие раскрытия дополнительных данных в зависимости от размера их стоимости. Например, при продаже ювелирных украшений на сумму от 40 тыс. рублей. Кроме того, есть технические условия приобретения, при которых неизбежна передача конкретных данных о покупателе, отмечает член АЮР.
— Например, клиент совершает заказ товара в интернете и должен указать адрес доставки и свои личные данные или покупает электронный билет в театр и оставляет адрес своей электронной почты. Конкретного перечня случаев, когда личные данные нужны для выполнения договора, нет, — уточняет юрист.
Что конкретно охраняем
По закону персональные данные — это любая информация, относящаяся к физическому лицу, по которой его можно идентифицировать. Например, имя и номер телефона, паспортные данные, IP-адрес, геолокация, адрес электронной почты и прочее, напомнила юрист Алия Алтынбаева. Ее коллега Никита Истомин в то же время обращает внимание, что, согласно российскому и европейскому праву, сам термин «персональные данные» довольно широкий — любая информация, относящаяся «к прямо или косвенно определенному или определяемому физическому лицу».
— По этой причине довольно часто бывают ситуации, когда данные физического лица могут не считаться персональными. Простой пример: только одно имя или только одна фамилия таковыми не считаются. Чуть сложнее с адресами электронной почты, там уже зависит от того, личный или рабочий это адрес почты, содержит ли сам адрес имя и (или) фамилию, — объясняет юрист.
Право покинуть списки
Алия Алтынбаева напоминает, что гражданин не обязан предоставлять свои персональные данные, а если уже подписал такое согласие, то вправе его отозвать.
— Новые правила 2022 года гласят, что любые данные о человеке, опубликованные им в интернете, можно передавать только с его согласия. При этом молчание не означает, что физлицо согласно на передачу личных данных, — отмечает юрист.
Она добавила, что покупатель может потребовать объяснить причину, по которой личные данные обязательны, либо почему запрашивается та или иная информация.
— Тогда продавец должен в течение семи дней обосновать объем запрошенной информации в той же форме, в какой получил запрос. Если покупатель обращается лично, ответ нужно дать незамедлительно, — подчеркивает специалист.
Как будет работать контроль
Административной практике за лишние вопросы при продаже товаров только предстоит сформироваться, но основной регулятор законом уже определен.
— Жаловаться целесообразно в Роспотребнадзор, так как ст. 14.8 КоАП относится к его подведомственности, и Роскомнадзор, являющийся надзорным органом по вопросам защиты персональных данных, — объяснил юрист Истомин.
По словам Алии Алтынбаевой, сохранность и порядок соблюдения закона о персональных данных помимо упомянутых структур также осуществляет Федеральная служба по техническому и экспортному контролю, кроме того, к проверкам могут подключиться ФСБ и прокуратура.
