Продавцы могут поплатиться за излишнее любопытство по отношению к покупателям: Госдуме рекомендовали принять во втором чтении законопроект, который устанавливает штрафы за требование предоставить персональные данные без видимой на то необходимости. Эксперты сомневаются, что новый закон значительно отразится на потребителях. Сколько придется заплатить продавцам за необоснованный сбор персональных данных, как это будет работать и отразится ли на утечках, читайте в материале «Известий».
Вынужденная открытость
«Согласен/-на» — теперь эта фраза нужна не только перед алтарем, но и при каждой регистрации в интернет-магазине, записи в салон красоты или вызове сантехника с сайта объявлений. Произносить ее нужно лишь в том случае, если с заказом помогает голосовой помощник. Без него хватит и клика: «да» заменяет маленькая галочка напротив графы «пользовательское соглашение». Владельцы торговых площадок предпочитают напоминать о нем в самый последний момент, когда заказ почти оформлен.
Перед этим еще и нужно заполнить анкету, где красными звездочками как обязательные отмечены графы с электронным почтовым ящиком и, например, домашним адресом, и это при том, что вам нужно единожды сводить собаку на стрижку или купить книгу с доставкой в пункт выдачи. Передача этих данных может привести к тому, что почтовый ящик будет завален письмами с подборками «10 модных причесок для питомца», а также к утечке информации о вас на черный рынок и попыткам мошенничества.
— Потребитель вынужден сообщать личные данные для того, чтобы ему оказывали определенные услуги или, например, доставляли товар. При этом положения закона «О защите прав потребителей» в действующей редакции не содержат правовых норм, позволяющих обеспечить в подобных случаях необходимую защиту прав, — говорит адвокат Константин Ерохин.
Роспотребнадзор выделяет три самых распространенных типа нарушений, которые связаны со сбором персональных данных граждан. Во-первых, это «несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства РФ». Во-вторых, обработка избыточных персональных данных, то есть тех, которые к предмету сделки отношения не имеют.
Третье — нарушение права на свободный доступ к товарам или услугам, когда условием их предоставления необоснованно является передача клиентом информации о себе, говорится в пояснительной записке к законопроекту о введении административной ответственности за подобные нарушения.
Расплата за любопытство
Президент РФ Владимир Путин еще год назад поручил правительству ускорить работу, призванную усилить защиту персональных данных россиян. Глава кабмина Михаил Мишустин анонсировал введение поправок в КоАП в мае 2021 года, уже в июне правительство внесло на рассмотрение Госдумы соответствующий пакет законопроектов.
Чуть меньше чем через год нижняя палата парламента приняла закон, который запрещает продавцам товаров и услуг без необходимости собирать личные данные граждан, то есть те, по которым их можно идентифицировать. К ним при определенных условиях могут относиться даже рост, вес и цвет глаз, а вот объем накоплений на сберегательном счете — едва ли: по нему нельзя опознать человека.
Теперь покупатель, которому отказались продать товар или оказать услугу без предоставления данных, вправе потребовать письменных или устных объяснений. На письменный запрос магазин обязан ответить в течение недели, на устный — без промедлений.
Раньше законом запрещалось навязывание дополнительных услуг, персональные данные как предмет злоупотреблений не рассматривались. С принятием нового закона, который уже одобрен Совфедом и подписан главой государства, их безосновательный сбор станет причиной оштрафовать продавца.
Автор цитаты
Закон о запрете сбора излишних персональных данных вступит в силу 1 сентября 2022 года. Он коснется как отдельных интернет-магазинов, так и маркетплейсов.
Следующий шаг — обозначить, какое же наказание грозит недобросовестным торговцам. В понедельник, 16 мая, комитет Госдумы по госстроительству и законодательству одобрил поправки в КоАП, разработанные правительством, и рекомендовал принять их во втором чтении. Они предполагают, что на должностных лиц будет налагаться штраф в размере от 5 тыс. до 10 тыс. рублей, на юридические — от 30 тыс. до 50 тыс. рублей. Изначально планировалось установить максимальную планку штрафов вдвое выше.
Назовись горшком
— Честно говоря, пока не очень понятно, как новые нормы будут реализованы на практике и насколько они реально что-то изменят для потребителей, — отмечает в беседе с «Известиями» адвокат Константин Ерохин.
В большинстве случаев компании все же проявляют гибкость при сборе персональных данных: какие-то из них обязательны (а это и есть те необходимые для оказания услуг сведения — в случае доставки продуктов, например, адрес и телефон), остальные вносятся по желанию пользователя.
Автор цитаты
— Имя клиента в 99% случаев роли не играет, и можно пользоваться псевдонимом, — подчеркивает юрист. — Никто это не проверит и основанием для непредоставления услуги или поставки товара не будет.
Вероятнее всего, политика идентификации клиентов будет пересмотрена, предполагает собеседник «Известий». В частности, сам объем запрашиваемых данных уменьшат. Не исключено, что клиентам предложат не вводить реальные данные или проходить верификацию альтернативным путем, а при предоставлении услуг, не требующих доставки, ограничатся идентификационным кодом или СМС-уведомлением.
Типовое лукавство
81% российских юзеров не дочитывает пользовательские соглашения до конца, а еще 13% и вовсе их не открывают, свидетельствуют результаты исследования. И это весьма оптимистичные показатели: по данным опроса Deloitte, проведенного среди американцев, 91% пользователей ставит галочку напротив решающего «согласен», не глядя. А ведь именно в пользовательских соглашениях интернет-магазины обязаны прописывать условия договора с клиентом, в частности предоставления им персональных данных и их дальнейшего использования.
С технической точки зрения форма «согласия обработки персональных данных» в большинстве случаев является стандартизированной формой, виджетом или плагином, сформированным в соответствии с 152-ФЗ («О персональных данных»), объясняет в беседе с «Известиями» гендиректор компании «БСС-Безопасность» Виктор Гулевич.
— Однако некоторые компании в силу специфики своей деятельности как с организационной, так и с юридической точки зрения вносят дополнительные изменения, — добавляет он.
Сдержит ли введение штрафных санкций недобросовестных продавцов, которые собранные о клиентах сведения сливают, например, в даркнет, предположить не представляется возможным, сходятся во мнении эксперты. В частности, сложно «оценить соизмеримость величины штрафных санкций к стоимости данных на черном рынке, поскольку разные прецеденты диктуют разные суммы», говорит Гулевич.
Автор цитаты
По данным In4security, злоумышленники выставили на продажу утекшую базу «Гемотеста» примерно за 40 тыс. рублей.
— Доступность персональных данных сейчас, как никогда, высока. Это последствия и утечек информации, и цифровизации всех аспектов жизни человека, — подчеркивает специалист по информационной безопасности. — Даже по нескольким ключевым параметрам возможно отследить наличие человека на других сайтах, сервисах и создать его цифровой профиль.
Адвокат Константин Ерохин в свою очередь обращает внимание, что изменения в законодательство о персональных данных вносятся на фоне глобальных утечек данных, в частности «Яндекс.Еды», «Гемотеста» и других известных компаний.