Принудительное согласие: может ли пользователь отказаться передавать персональные данные в интернете

При заходе на любой сайт или скачивании любого приложения пользователь вынужден дать согласие на обработку персональных данных. Так ли оно необходимо и есть ли у пользователя возможность отказаться?

Любой интернет-пользователь, скачивая приложение или посещая новый сайт, дает такую (или очень похожую) «торжественную клятву»: «Я, пользователь данного сайта или приложения, даю согласие на обработку своих персональных данных свободно, своей волей и в своем интересе. Я, пользователь сайта или приложения, выражаю согласие на получение информации, в том числе рекламной, по электронной почте или телефону от организации». Если юзер не даст своего согласия, пользоваться программой или ресурсом он не сможет. Выбора не передавать данные и при этом получить возможность зайти на сайт или в приложение у него нет.

Что требует закон «О персональных данных»

Согласие на обработку персональных данных на практике утратило какой-либо смысл, говорит заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУРа (Томского университета систем управления и радиоэлектроники) Руслан Пермяков. По ФЗ-152 (закон «О персональных данных») основанием для обработки ПД является исполнение требований законодательства либо информированное согласие субъекта, продолжает эксперт.

«Например, когда мы подписываем согласие при трудоустройстве, оно не нужно, так как есть требования трудового законодательства, обязывающие нанимателя обрабатывать персональные данные, причем устанавливается и объем данных, которые собирает работодатель, и сроки обработки, и кому передаются эти данные, – говорит эксперт. – Или другой пример: когда мы заключаем договор на оказание услуг, данные собираются в соответствии с требованиями Гражданского кодекса и в большинстве случаев согласие не требуется».

Фактически согласие необходимо в том случае, когда закон требует этого напрямую, продолжает Пермяков: для разрешения распространения ПД, при обработке специальных категорий данных, при обработке биометрических данных, при трансграничной передаче данных в страны, где не обеспечивается их адекватная защита (этот список ведет Роскомнадзор у себя на сайте), при рассылке рекламных материалов, при передаче данных для обработки или других целей другому оператору. Еще один случай, в котором может потребоваться согласие, – когда с субъектом персональных данных заключаются соглашения или договор, которые не попадают под действие законов, регламентирующих обработку ПД, добавил эксперт. 

То есть если требование об использовании ПД гражданина прописано в законе, то получать согласие пользователя излишне. Если же в законе требование о сборе данных не содержится, то их сбор и обработка происходят непосредственно по инициативе владельца интернет-ресурса, если он намерен совершать с ПД какие-то манипуляции. Но в тот момент, как владелец ресурса становится оператором персональных данных пользователя, он начинает нести за них ответственность, в том числе в случае утечки.

Что в реальности требуют операторы

По закону не существует обязательства не допускать пользователя к ресурсу при отказе передавать свои персональные данные, замечает руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров. Но в действительности ситуация такова, что правообладатель того или иного сервиса эксплуатирует это согласие, встраивая его в систему верификации пользователя в обязательном порядке, продолжает он. «Действительно, такая проблема существует. Если вы не прошли верификацию, то пользоваться сервисом не сможете», – говорит Бедеров.

Из-за повсеместного сбора согласий процесс стал настолько обыденным, что фактически ничего не регулирует, соглашается Пермяков. Более того, по закону на оператора персональных данных возлагается обязанность разъяснить последствия отказа предоставить данные и согласия на их обработку, однако фактически пользователь не знает и не понимает, как он может им воспользоваться.

При появлении формы о предоставлении согласия на обработку данных фактически выбора у человека нет, подтверждает исполнительный директор компании в сфере информационной безопасности «Б-152» Максим Лагутин: либо он его дает, либо отказывается и не может дальше пользоваться ресурсом. При этом в законе написано, что, если пользователь не дает согласия, надо ему объяснить, к каким последствиям это приведет, чего операторы данных не делают, подтверждает он. «То есть это некий манипулятивный инструмент», – объясняет он. 

По форме согласия также есть проблемы, так как опять же согласно закону о персональных данных оно должно «быть конкретным, предметным, информированным, сознательным и однозначным», что практически всегда не так, отмечает Пермяков. «Чаще всего страдают цели обработки, сроки и лица, которым эти данные могут быть переданы. Конструкции «и другие цели» и «другим операторам» или «и другим лицам» делают такое согласие юридически ничтожным. Естественно, в таком случае у пользователя/клиента не остается выбора, а смысл согласия утрачивается полностью», – сетует он.

В законе установлены обязательные формы, нормы и требования к согласию, которые позволяют доказать факт его получения, но фактически компании ими пренебрегают, подтверждает Лагутин: «Например, зачастую компании дают ссылку на политику конфиденциальности, которая является лишь уведомительным документом. То есть человек находит все цели обработки, понимает, что все данные будут везде передаваться, но не видит конкретики и не знает, как он может согласие отозвать. Ему приходится соглашаться, потому что альтернативы ему не предоставляют».

Зачем операторам столько информации

Современные сервисы построены таким образом, что они просто не смогут нормально функционировать без согласия на обработку данных, объясняет технический директор компании SafeTech Павел Мельниченко. «Владельцам ресурса нужно связывать между собой аккаунт пользователя и историю запросов, чтобы персонализировать предложения, – говорит Мельниченко. – Крайне сложно на одних пользователях, кто дал согласие, эту логику применять, а на других, кто не дал, – нет. Поэтому сервису проще отказать в обслуживании пользователю, если он хочет остаться анонимным».

Согласие – самый популярный инструмент сбора данных, который используется в том числе в сookies, объясняет Лагутин. Cookies, или cookie-файлы, – фрагмент данных, который веб-сайт отправляет в браузер пользователя. Веб-браузер сохраняет эти файлы, а при повторном посещении того же интернет-ресурса отправляет их сайту обратно. Например, именно благодаря таким файлам маркетплейсы запоминают, какой товар пользователь отправил в корзину, и позволяют ему осуществить покупку. 

В рамках российского законодательства в настоящий момент нет четкого понимания, относятся ли cookie-файлы к персональным данным пользователя, объясняет руководитель направления «Разрешение It&Ip споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле. «Закон о защите персональных данных относит к числу защищаемых данных те сведения, которые позволяют идентифицировать пользователя. Поэтому если подходить к толкованию закона буквально, то собираемые специальным сервисом сведения можно не относить к персональным данным», – рассуждает он.

Но регулятор отрасли, Роскомнадзор, относит cookie-файлы именно к персональным данным. В начале 2021 г. заместитель руководителя службы Милош Вагнер, комментируя вопрос cookies, отметил, что они характеризуют интернет-пользователя, следовательно, попадают в категорию персональных данных, а их сбор и обработка должны соответствовать требованиям закона № 152-ФЗ.

Так статус cookie-файлов трактуется не только в России. Например, в деле компаний Vidal-Hall и Google, которое рассматривалось в британской юрисдикции еще в 2014–2015 гг., суд отнес cookie-файлы к персональным данным в связи с тем, что данные файлы, не называя прямо субъект, позволяют выделить его из всей массы пользователей, следовательно, отвечают критерию идентификации, напоминает Шицле.

«Кукис» много может рассказать о человеке, подтверждает Лагутин. Например, такие файлы формируют представление о том, какую рекламу можно таргетировать на конкретного пользователя, говорит он. «По сути, это большая записная книжка о пользователе», – поясняет Лагутин. По cookie-файлам возможно определять особенности поведения пользователей на сайте, в частности число посещений, количество просмотренных страниц, последовательность посещения страниц и действий на странице, подтверждает Шицле. Это позволяет владельцам сайтов оптимизировать его под поведенческие особенности аудитории, объясняет эксперт.

Так как в России нет специальных требований к согласию на обработку cookie-файлов, владельцы интернет-ресурсов публикуют на сайте дисклеймер, который информирует посетителей сайта об использовании cookies. Впрочем, в отличие от согласия на обработку данных сбор cookies в большинстве случаев можно отключить через браузер.