Сенаторы предлагают изменить порядок согласия на обработку персональных данных

В Совете Федерации (СФ) обсуждают идею разделения пользовательского соглашения и согласия на обработку персональных данных. Такую инициативу сенаторы комитета по конституционному законодательству и госстроительству рассмотрели совместно с советом по развитию цифровой экономики в рамках совещания «Цифровая идентичность личности: вопросы правового регулирования».

«Сейчас гражданин, единожды посетив сайт, уведомляется его владельцем о том, что он принимает условия пользовательского соглашения, в которое автоматически заложено согласие на обработку персональных данных», – пояснила на заседании директор Центра правовой помощи гражданам в цифровой среде Людмила Куровская. В связи с этим она предлагает рассматривать пользовательское соглашение как «соглашение между субъектами персональных данных и оператором по определению прав и обязанностей, связанных с использованием информационных ресурсов». Оно не будет включать в себя согласие на обработку персональных данных.

Также со стороны Центра правовой помощи гражданам в цифровой среде поступило предложение ввести отдельное согласие на обработку персональных данных, без которого их обработка будет невозможна (поправки необходимы в п. 1 ст. 9 закона о персональных данных). Бездействие не должно считаться согласием на обработку персональных данных, добавила Куровская. Если обработка персональных данных не будет соответствовать предмету договора, то согласие на их последующую обработку следует признавать незаконным. Любая информация об обработке персональных данных должна быть хорошо читаема и понятна, что предполагает размещение такой информации на национальных языках субъектов РФ.

Также Куровская предлагает унифицировать понятие «идентификация» и определить ее принципы: добровольное соучастие и достоверность результатов идентификации. Добровольное соучастие в процессе заключается в понимании человеком характера правоотношений, а также возможности юридических последствий с учетом объема предоставленных персональных данных.

Первый зампред комитета СФ Ирина Рукавишникова подчеркнула, что это верные принципы, но могут возникнуть проблемы при их реализации на практике. «Действительно ли каждый человек соотносит свои действия и их последствия [предоставляя персональные данные для получения контента]?» – обратилась она к коллегам.

Роскомнадзор поддерживает изменения, которые могут наделить пользователя большими правами для управления своими данными, заявил замруководителя ведомства Милош Вагнер. «Есть некоторая диспропорция в том, что войти в эти отношения [с оператором] можно в два клика <...> а чтобы реализовать свои права нужно погрузиться в детали договоров», – возмутился он. Вдобавок к перечисленным предложениям Вагнер предложил разработать принцип активного согласия взамен согласия по умолчанию, при котором «негласным» образом по истории посещения собираются данные.

Гражданин при даче согласия на обработку данных совершает юридически значимые действия и часто об этом не задумывается, сказал на совещании представитель аппарата уполномоченного по правам человека Татьяны Москальковой Евгений Дудоров. Инициативы, призванные устранить неопределенности в правовом регулировании идентификации и сбора персональных данных, направлены на усиление правовых гарантий граждан, считает он.

Гражданский кодекс (ГК) не содержит специальные нормы, регулирующие отношения между посетителями сайтов и их владельцами как отдельный вид обязательств, соответственно, ГК не дает и определения пользовательскому соглашению, напомнил «Ведомостям» председатель коллегии адвокатов Москвы «Адвокатъ» Андрей Мисаров. При этом персональные данные закон трактует широко – «это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Есть судебные акты, в соответствии с которыми под персональными данными были признаны совокупности данных, включая файлы cookies, ID пользователя, статический IP и адрес электронной почты, но до сих пор «нет четкого понимания, являются ли эти данные в принципе персональными, являются ли они таковыми каждый в отдельности или в какой-то совокупности», добавил Мисаров. «Проблема не в объединении пользовательского соглашения и согласия на обработку персональных данных, а скорее в широкой неопределенности термина «персональные данные». Владельцы сайтов их объединяют, стараясь исключить свою ответственность», – сказал он.

Информация, которую собирают сайты, может быть неоднородной и включать в себя персональные данные, которые не входят в категорию общедоступной информации, пояснила «Ведомостям» управляющий партнер Key Consulting Group Анастасия Зыкова. Например, файлы cookie могут хранить в себе информацию о данных авторизации, личных данных пользователя, а также могут включать функции отслеживания за действиями пользователя на иных ресурсах. «Гарантия недопущения оборота персональных данных может быть осуществлена посредством четкой регламентации объема информации, порядка сбора и условия хранения информации», – сказала она. В случае грамотного составления соглашения инициатива сенаторов может обезопасить людей от несогласованной обработки данных.

Это предложение направлено на исключение сбора персональных данных под предлогом пользовательского соглашения, пояснил «Ведомостям»руководитель направления «разрешение IT&IP споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле. Он отметил, что при ее реализации не должно возникнуть проблем, так как разграничение этих понятий «в конечном итоге дает преимущество пользователю, так как он не рискует быть введенным в заблуждение при даче пользовательского соглашения», добавил он.