Беспорядочные согласия

Реален ли баланс между требованиями по обработке персональных данных и интересами бизнеса

С 1 сентября вступили в силу поправки в закон «О персональных данных», где кроме прочих прописаны новые требования к согласию на обработку личной информации. Бизнес давно жалуется, что эти согласия сложно собирать, ими трудно управлять. Как сформировать прозрачные инструменты контроля обработки персональных данных (ПД) и какой подход в этом вопросе может быть сбалансированным – в материале RSpectr.

БОЛЬШОЙ СУМБУР

После серии масштабных утечек появилась шутка, что в России теперь есть интерактивная карта населения, но не государственная, а выложенная в Open Source, рассказал руководитель продукта «Единый клиент» компании HFLabs Михаил Березин на конференции CDI Conf 2022, которая прошла в Москве 22 сентября.

Михаил Березин, HFLabs:

– Я отправлял своему банку и сотовому оператору пожелания не взаимодействовать со мной по определенным каналам. Наверное, их клиентские службы и передали куда-то мое заявление. Возможно, в каких-то системах и убрали какую-то галочку. Но не в той, которая продолжает присылать мне SMS-сообщения. Можно прямо сказать, что сейчас в сегменте согласий клиентов на обработку данных царит полный хаос.

При этом, подчеркнул он,

внимание людей к ПД и согласиям на их обработку, которые они передают бизнесу, повышается, это глобальный тренд

На этом фоне HFLabs предлагает рынку программное решение – центр управления согласиями (ЦУС). Как пояснил Михаил Березин RSpectr, ЦУС – это MDM-система (Master Data Management), которая призвана упростить и унифицировать процесс сбора согласий клиентов. Центр содержит каталог, где:

• хранятся все формулировки согласий и их история;
• формулировки связываются с атомарными (самыми простыми) согласиями.

Это дает возможность в одном месте ввести форму и связывать «простыни» текстов A4, которые содержат юридические формулировки с действиями пользователя. Таким образом происходит связь формы с конкретными согласиями, обратил внимание Михаил Березин.

При этом в ЦУС компания может загружать как корпоративные списки, так и необходимые по законодательству. Центр разработан в конце 2021 года и сейчас активно внедряется. Аналогичных продуктов на отечественном рынке пока нет.

Михаил Березин, HFLabs:

– Мы изучали этот вопрос, в России есть отдельные попытки создания подобных систем, но они просто записывают, когда пользователь поставил галочку. В целом решений, которые могли бы привести в порядок тот хаос с согласиями, который существует сейчас внутри компаний, кроме нашего нет.

Бизнес выжидает, внимательно изучая изменения в законодательстве о ПД, но пока суммы штрафов за утечки информации не станут чувствительными для компаний, никаких существенных изменений не произойдет, полагает он.

КОЛОССАЛЬНАЯ НАГРУЗКА?

До введения поправок согласие на обработку ПД должно было быть «конкретным, информированным и сознательным», а с начала сентября – еще и «предметным и однозначным». Это означает, что в новом согласии не должно быть пунктов, которые можно трактовать по-разному.

Единственным полноценным правовым основанием для обработки ПД в России является добровольное согласие клиента, заменить его чем-то другим нельзя, пояснил RSpectr управляющий партнер Comply Артем Дмитриев. Представленный HFLabs бизнес-сервис – это доработка существующих информационных систем. Но, уверен он,

возникают подобные системы из-за неэффективности практики правоприменения в сфере ПД – так как требуется слишком много самих согласий

В нашей стране, так же как и в других, действует принцип минимизации обработки данных. Но к сожалению, изменения в законодательстве, в том числе недавняя реформа закона о ПД, не решают проблему сбора избыточных согласий, и организации не меняют свои подходы в этом вопросе.

Артем Дмитриев, Comply:

– Мы должны давать огромную кучу согласий на обработку, в которых ничего не понятно – клиент поставил галочку и дал разом десяток согласий. Причем их нужно собрать, администрировать, отслеживать их необходимость и действительность. Фактически бизнес берет на себя задачу обеспечения прозрачности процессов обработки конфиденциальной информации. Это колоссальная нагрузка.

Было бы лучше убрать этот гигантский административный блок работы и рассказывать субъекту ПД, для чего, как долго и в рамках каких систем его личная информация будет обрабатываться, подчеркнул эксперт.

Необходимо представить гражданам понятный инструмент контроля периметра обработки личной информации

Клиенты могли бы обращаться в компанию по понятным каналам коммуникации, возможно, через портал «Госуслуги». Это было бы более сбалансированным подходом, который уже используется в других правопорядках, подчеркнул Артем Дмитриев.

С трудностями в сегменте согласий на обработку ПД сталкиваются и компании рынка компьютерных игр и исследований гейминга, рассказал RSpectr глава компании «Ингейм Рисерч» Эдгар Отченашенко. Например, если игроку меньше 16 лет, то согласие на обработку данных необходимо получать со стороны его родителей или опекунов. При этом никто не знает, как хранить эту информацию, обратил внимание он.

НЕ НАДО ЖАЛОБ

Жалобы бизнеса на большое количество согласий на обработку ПД считает надуманными управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников.

Конструкция действующего закона такова, что согласие является основным правовым основанием для обработки ПД, прокомментировал он RSpectr. По словам юриста, обработка без согласия допускается в строго ограниченном количестве случаев, определяемых пунктами 2-11 части 1-й статьи 6, части 2-й статьи 10 и части 2-й статьи 11 закона «О персональных данных».

В частности, юрист не согласен с формулировкой статьи 88 Трудового кодекса РФ, требующей согласия работника на передачу ПД любым третьим лицам, за исключением передачи, прямо предусмотренной законом. В том числе тогда, когда она вытекает из характера трудовых отношений и обязанностей. Например, контрагентам в ходе заключения и реализации договоров с ними.

Эксперт не считает, что письменное согласие работника должно соответствовать требованиям к согласию в письменной форме (часть 4 статьи 9 152-ФЗ) и содержать адрес, паспортные данные, в то время как работник своим работодателем уже надежно идентифицирован.

Михаил Емельянников, «Емельянников, Попова и партнеры»:

– Кроме того, совершенно не нужно, чтобы согласие давалось отдельно для каждой цели и каждого поручения обработки. Особенно когда оно дается одному и тому же лицу (например, работодателю) или разным лицам с одной и той же целью.

Во всех трех перечисленных случаях требования избыточны, обременительны и ничего не добавляют к защите прав субъекта, уверен эксперт.

Изображения: RSpectr, Adobe Stock, Freepik

Тимур Халудоров