Сбор согласий на обработку персональных данных могут отменить
Отказаться от массового сбора с граждан согласий на обработку их персональных данных предложила Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомндазор).
Инициативу выдвинул глава ведомства Андрей Липов в ходе общения с журналистами. Каких изменений хотят добиться власти, устарела ли практика сбора согласий на обработку данных и почему к данному предложению очень неоднозначно отнеслись в профессиональном сообществе — в материале «МК».
Отраслевой стандарт вместо бумагомарательства
Роскомнадзор (РКН) предлагает отменить практику сбора с граждан согласий на обработку персональных данных и заменить её на отраслевые стандарты обработки информации. Для разных сфер деятельности будет установлен свой перечень необходимых сведений. Например, для туризма потребуется один набор данных, для образования — другой. Эти предложения уже направлены в правительство для включения во второй пакет мер по борьбе с мошенничеством.
«Институт согласий (на обработку персональных данных) как таковых, на наш взгляд, крайне устаревший, — сообщил Андрей Липов прессе. — Он был эффективен на заре появления 152-го ФЗ, когда оставлял содержание согласия на усмотрение гражданина и компании». Глава Роскомнадзора добавил, что количество согласий сейчас стало уже таким большим, что человек не в состоянии их контролировать. Существующая система устарела и является неудобной для граждан, пояснил Липов. Если у россиян возникают сомнения в правомерности использования их персональных данных, то отстоять свои права им крайне сложно.
В последние несколько лет Роскомнадзор развернул целую кампанию по защите личной информации граждан нашей страны. По словам генерального директора юридической фирмы «Афонин, Божор и партнеры» Михаила Божора, многократно выросли штрафы за нарушения в этой сфере, добавились многомиллионные штрафы за утечки персональных данных. Есть и изменения, направленные на борьбу с недобросовестными практиками со стороны операторов персональных данных, в том числе любых ИП и организаций, которые работают с подобной информацией. Так, с 1 июля запретили использовать иностранные базы данных для хранения персональных данных россиян, а с 1 сентября этого года согласие на обработку персональных данных обязательно нужно оформлять в виде отдельного документа. В рамках этого тренда и прозвучало мнение главы Роскомнадзора о том, что институт согласий на обработку персональных данных устарел. Речь, конечно, идет не о том, что бизнесу разрешат обрабатывать такие сведения без ограничений. Напротив, Роскомнадзор хочет решить проблему, связанную со слишком широким объемом полномочий операторов персональных данных, который обычно прописывают в согласии. Так, например, согласие, которое пользователь дает интернет-магазину, может касаться не только покупки товара, но и, например, использования личных данных для формирования статистики продаж по региону. С такими практиками и пытается бороться надзорное ведомство, пояснил юрист.
Предложения Роскомнадзора никак не влияют на уровень защиты персональных данных российских граждан, уверен эксперт. Для операторов данных предусмотрены достаточно жесткие требования и штрафы, вплоть до 500 млн рублей за повторную утечку персональных данных, поэтому беспокоиться следует не гражданам, а бизнесу. Компаниям лучше уже сейчас провести аудит системы обработки персональных данных и выявить слабые места, чтобы быть готовым к возможным изменениям в этой сфере, рекомендовал Божор.
«Я вообще никогда не понимал смысла в этих бумажках, они не защитили данные примерно никак, — продолжает разговор основатель криптобиржи Garantex, глава EXVED Сергей Менделеев. — Буду только рад, если их наконец отменят. Нужно защищать инфраструктуру хранения и выписывать многомиллионные штрафы за утечки, а не заниматься бумагомаранием».
Вопрос эффективности
По словам экс-сотрудника ФСБ, а ныне независимого эксперта по кибербезопасности Григория Осипова, предложение руководителя РКН об изменении подхода к вопросам обработки персональных данных выглядит вполне логичным и обоснованным, поскольку в настоящее время действительно законодатель настолько зарегулировал эти вопросы, что компании – операторы обработки персональных данных во всех случаях взаимодействия с россиянами заставляют их подписывать согласия для обработки персональных данных. При этом контроль за удалением такой информации операторами зачастую не осуществляется.
Сейчас действует подход, предусматривающий чрезмерную бдительность. Чтобы РКН не наложил штраф за «неполный перечень данных», компания-оператор собирает весь объем персональных данных от лица, вне зависимости от того, осуществляется ли их обработка при оказании конкретной услуги, или нет.
Для граждан заполнение согласия на обработку персональных данных является документом, похожим на правила банковского обслуживания, написанных мелким шрифтом, которые явно составлены в интересах банка, но из-за формального и типового характера такого документа их никто не читает и подписывает «на автомате». Это также обусловлено тем, что сбор такой информации стал стандартной процедурой взаимодействия физического лица с любой компанией, и человек дает в течение года десятки таких согласий, даже не помня впоследствии, куда он предоставил свои данные.
«Есть и другая крайность: сбор такого согласия стал формальной обязанностью, — подчеркнул эксперт. — В случае отказа предоставления этого документа со стороны клиента компания практически всегда откажет в оказании услуги, а идти в суд и обосновывать, что сбор персональных данных в конкретном случае является излишним, вряд ли кто-то будет, то есть фактически защитить свои права в ситуации с отказом от обработки персональных данных со стороны потребителя достаточно сложно». Предложенные отраслевые стандарты предполагают апробацию на практике и соответствующую систему контроля и надзора за соблюдением правил обработки данных, включая объём сбора и сроки хранения, а также контроль за удалением такой информации. Главный вопрос — будет ли отраслевой подход сбора данных эффективным инструментом. Огромные массивы информации стали достоянием теневого рынка утечек за последние два-три года, поэтому вера населения в честный механизм обработки и безопасности хранения таких данных операторами их обработки, даже несмотря на высокие штрафы, крайне низкая, отметил Осипов.
Риск «тотального расползания»
Но есть и более критические оценки. «Предложение Роскомнадзора отказаться от массового сбора согласий — это попытка решить одну проблему, создав другую, гораздо более серьёзную, — утверждает независимый эксперт по информационной безопасности Антон Редозубов. — Да, люди устали от бесконечных «галочек» и подписей, но отказ от инструмента согласия — это не решение, а капитуляция. Это всё равно, что отменить замки на дверях, потому что некоторые жильцы постоянно оставляют их открытыми. Вместо защиты прав граждан мы получаем их полную передачу в руки операторов».
Предложение РКН означает, что россиян хотят лишить ключевого инструмента контроля. «Я не могу с этим согласиться, и мой личный опыт — прямое тому доказательство, — продолжает полемику эксперт. — Благодаря подробному согласию однажды я узнал, что при заселении в гостиницу мои данные будут переданы трём сторонним операторам для маркетинговых исследований и рассылок. Я смог от этого отказаться. Что же до аргумента, что люди не в состоянии контролировать большое количество согласий, то есть подписывают документы не глядя, так это как раз те самые люди, которые потом передают коды из СМС мошенникам, переводят деньги на «безопасный счёт» и «спасают» свои квартиры. Проблема не в согласии, а в правовой и цифровой безграмотности. Я считаю, что необходимо вести разъяснительную работу и учить граждан читать то, что они подписывают, давать или не давать осмысленное согласие». А предложение Роскомнадзора просто отбирает у них эту возможность.
Редозубов уверен, что отказ от согласия как раз приведёт к «тотальному расползанию» персональных данных. Сейчас оператор ограничен рамками, которые гражданин ему установил своим согласием. Без этого механизма он будет ограничен лишь отраслевым стандартом. Защита данных технически останется, но она может потерять смысл, если данные можно будет легально собирать и использовать без ведома человека. «Гражданин потеряет главное — право сказать «нет», — утверждает эксперт. — Исчезает ключевой инструмент информированного контроля человека над своими данными. Я полностью поддерживаю идею с отраслевыми стандартами, но не вместо согласия, а вместе с ним. Это прекрасный способ отсечь абсолютно избыточный сбор данных. Например, мне не понятно, зачем вахтёру в бизнес-центре записывать номер моего паспорта в гроссбух, или почему частная курьерская служба требует у клиентов полные паспортные данные, что уже вылилось в коллективный иск к ней на 2,2 млн рублей за утечку». Отраслевой стандарт должен это запретить, считает Редозубов.
Источник: www.mk.ru