Персональным данным хотят добавить справедливости

Как сообщила пресс-служба партии, лидер фракции "Справедливая Россия - За правду" Сергей Миронов считает, что масштабные изменения - единственный способ защитить граждан от спама и телефонных мошенников.

"Компании навязывают гражданам согласие на обработку и передачу персональных данных, которые потом кочуют из одной базы в другую, используются для спама, агрессивной рекламы и даже попадают к мошенникам. Мы подготовим масштабную реформу, которая положит конец этому беспределу", - заявил парламентарий.

По его словам, компании должны иметь право требовать согласие на обработку и передачу персональных данных только в тех случаях, когда это действительно необходимо для передачи товара или оказания услуги. "Согласия, которые дают компаниям право передавать персональные данные клиентов кому и когда угодно, не должны иметь юридической силы. Кроме того, согласие на обработку персональных данных должно терять юридическую силу, как только товар получен, услуга оказана или кредит закрыт", - рассказал глава партии.

"Еще одной революционной идеей нашей реформы может стать юридическая и финансовая ответственность компаний за утечку персональных данных, а также право граждан требовать возмещение морального вреда за злоупотребление их персональными данными и спам-звонки. Любая компания, которая отважится рассылать спам и звонить по "холодной базе", должна понимать, что она может стать банкротом в течение месяца", - заявил Сергей Миронов.

Датой отсечения для реформы Сергей Миронов предлагает сделать 28 января, Международный день защиты персональных данных. И заключает, что после данной даты все согласия на сбор, хранение, обработку и передачу персональных данных теряют юридическую силу, а компании, которые захотят продолжить рассылать рекламу после этой даты, должны будут получить добровольное согласие получателей.

Павел Катков, владелец IT-legal компании "Катков и партнёры" (КИП), член Комитета ТПП РФ по предпринимательству в сфере медиакоммуникаций, считает, что проблемы, выделенные Сергеем Мироновым реальны.

"Повсеместные мошеннические звонки ярко иллюстрируют это. Но ведь мошенники где-то берут эти данные. Несложно догадаться где - у тех организаций, которым они были предоставлены самими гражданами", - замечает юрист и добавляет, что указанные в инициативе изменения улучшат положение с обработкой ПДн в России, если, во-первых, административные и правоохранительные органы начнут работать по соответствующим статьям и, во-вторых, если в законе появятся санкции или отсылка к ним в других законодательных актах.

Руководитель отдела консалтинга Group-IB Андрей Алябьев отметил, что в текущей редакции ФЗ-152 уже предусмотрен принцип ограничения обработки персональных данных заранее определенными законными целями (и не дольше, чем эти цели требуют).

"При этом, действительно, есть проблемы с правоприменением - например, введение ответственности за факты утечек обсуждается довольно давно, и, возможно, реформирование могло бы улучшить ситуацию с утечками и инсайдами", - продолжил эксперт Group-IB.

Андрей Алябьев отметил также, что "холодные" рассылки и звонки запрещены ФЗ "О рекламе" и теоретически должны быть объектом внимания ФАС (с более суровыми штрафами), но на практике привлечь нарушителей к ответственности бывает достаточно проблематично.

По мнению Павла Каткова, смысл в предложенных инициативах есть, однако если пункт два (согласие на передачу ПДн компанией третьим лицам не имеет юридической силы) и/или три (согласие на обработку ПДн теряет юридическую силу после выполнения услуги/получения товара) будет принят, то это обвалит рынок больших данных - ведь их оборот осуществляется уже после потребления услуги и, по большому счету, вне контекста ее потребления.

"Возмещения морального вреда граждане вправе требовать и сейчас. Однако моральный вред в России - это копейки. Вот если в законе пропишут минимальный размер компенсации за моральный вред, ниже которого суды опускаться не будут иметь права, и гражданину нужно будет доказать лишь факт нарушения, это будет революционно и, я думаю, справедливо для наших реалий", - добавил эксперт по поводу пункта о возмещении морального вреда гражданам за злоупотребление их ПДн.

Директор АНО "Информационная культура" Иван Бегтин выделил проблемные места в инициативе Сергея Миронова. По мнению эксперта, отношения компания-потребитель/покупатель не заканчиваются покупкой/договором, из-за требований по документообороту, архивному делу, предоставления данных регуляторам, аудиторам, правоохранительным органам, которые компании должны соблюдать.

"А еще есть гражданский и уголовный кодексы со сроками давности по уголовным делам, для которых данные в базах данных являются одним из доказательств", - отмечает Иван Бегтин, добавляя, что компании, действительно, должны требовать только те данные, которые нужны для оказания услуги, но это и так уже присутствует в законодательствах.

С точки зрения директора АНО "Информационная культура", в инициативе не хватает пункта о возможности граждан отзывать данные из государственных информационных систем или хотя бы реализовывать право на получение данных о себе.

"Получение данных о себе - это и есть то, что должно быть в основе права гражданина", - подчеркивает Иван Бегтин и резюмирует, что в целом инициатива Миронова недостаточно проработана и будет печально, если ее поддержат в текущем виде.

На вопрос корреспондента ComNews, что еще может сегодня улучшить ситуацию с персональными данными в стране, Андрей Алябьев из Group-IB привел пять пунктов: внедрить и обеспечить реализацию принципов приватности по умолчанию, минимизации собираемых данных и ограничения сроков хранения; разработать эффективные инструменты для контроля обработки своих данных со стороны субъекта, обеспечить возможность отозвать согласие на обработку данных так же легко и быстро, как это согласие предоставлялось, обеспечить возможность защиты своих прав на практике; разработать однозначные и понятные разъяснения для операторов персональных данных и единую правоприменительную практику; реформировать контроль и надзор в этой сфере таким образом, чтобы работа организаций в этой сфере не сводилась к написанию шаблонных внутренних документов для демонстрации проверяющим; сместить фокус на практическую защищенность и риск-ориентированный подход к обеспечению безопасности, связать ответственность оператора с фактами инцидентов и утечек.