Данные плюс-сайз
Эксперты обсудили идею введения штрафов за сбор избыточных персональных сведений
Вице-спикер Госдумы Борис Чернышов (ЛДПР) предложил главе Минцифры Максуту Шадаеву ввести штрафы для онлайн-сервисов за сбор и обработку избыточных персональных данных. Однако эксперты обращают внимание, что принцип минимизации данных уже закреплен в законодательстве о персональных данных, схожие положения содержатся и в законе о защите прав потребителей. Поможет ли дублирование законов в борьбе с избыточностью данных – в материале RSpectr.
ЛИШНИЕ ДАННЫЕ
В Ассоциации компаний по защите и хранению персональных данных положительно оценивают эту инициативу. «Депутаты Госдумы и государство в целом активно занялись вопросами регулирования, формированием подходов и требований в сфере защиты персданных, а также вопросами их безопасного хранения», – отметил в беседе с RSpectr председатель Ассоциации Александр Сильченко.
Александр Сильченко, Ассоциация компаний по защите и хранению персональных данных:
– Основной вопрос к данной инициативе: каким образом и кто будет определять избыточность персональных данных. Так, сбор паспортных данных, телефона, email для оформления карты лояльности может быть вполне оправдан для некоторых магазинов или видов бизнеса.
Действительно,
в 152-ФЗ нет отдельного понятия «избыточности персональных данных»
обратила внимание RSpectr сооснователь Ассоциации компаний по защите и хранению персональных данных Юлия Рожкова. По ее словам, статьей 5 этого закона закреплены принципы обработки подобной информации. В их числе: обработке подлежат только персданные (ПД), которые отвечают целям их обработки; а также объем обрабатываемых данных должен соответствовать заявленным целям обработки. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки (ч. 5. ст. 5 152-ФЗ).
Юлия Рожкова, Ассоциация компаний по защите и хранению персональных данных:
– Исходя из содержания данной нормы уже сейчас можно сформулировать определение избыточных персданных: содержание и объем которых не соответствуют целям обработки или не является необходимым для предоставления доступа к услуге.
Она подчеркнула, что
запрет запрашивать излишние персональные данные существует давно
По ее мнению, статьей 13.11 КоАП уже предусмотрена административная ответственность за обработку личной информации, несовместимой с целями ее сбора.
«Возможно, как раз представителями Госдумы и будут предложены более четкие критерии для определения избыточности персональных данных, а также размеры штрафов в других границах», – полагает Юлия Рожкова.
НАКАЗАТЬ, НО ПОМЯГЧЕ
Действительно, нужно чтобы никто не собирал избыточную информацию, поэтому инициатива правильная, уверен глава компании – облачного провайдера «НУБЕС» Василий Степаненко. Настораживает устойчивый тренд только на усиление наказания, хотя это не единственный вариант решения, прокомментировал он RSpectr.
Василий Степаненко, «НУБЕС»:
– Операторы персданных, несмотря на наличие требований, неохотно сообщают регуляторам об утечках. Поэтому можно было бы смягчить наказание в отношении утечек персданных, условно относимых к «общедоступным», сведя его к предписанию регулятора навести порядок с кибербезопасностью у оператора.
Усиление же наказания
нужно именно в отношении утечки каких-то новых и более чувствительных персданных
Если они были собраны конкретным оператором без необходимости, на всякий случай или с целью дальнейшей перепродажи, полагает эксперт.
По его словам, данную инициативу неплохо бы дополнить смягчением мер по отношению к операторам, обрабатывающим небольшой набор данных, которые, скорее всего, уже давно утекли из других источников.
Принцип минимизации данных уже закреплен в 152-ФЗ
Схожие положения содержатся и в законе о защите прав потребителей, продолжил управляющий партнер Comply Артем Дмитриев. Дублирование положений не влечет ничего хорошего для правоприменения, а только расшатывает его, подчеркнул он в беседе с RSpectr.
Артем Дмитриев, Comply:
– Нужно задаваться вопросом, почему принципы обработки данных не функционируют, как должны. Да, мы про нормализацию правоприменительной практики, проведение более тщательной разъяснительной работы, формирование стандартов и белых книг.
Каждый случай
должен разрешаться с учетом принципов необходимости и пропорциональности сбора данных по отношению к цели обработки
с возможностью для оператора обосновать свою позицию регулятору, подчеркнул эксперт.
В Европе принцип минимизации данных действует напрямую, при этом нет никаких белых списков данных, разрешенных для сбора, продолжил юрист. Некоторые регуляторы, например французский CNIL, издают руководства, содержащие необязательные, но рекомендуемые практики работы с данными в разных бизнес-доменах, в том числе с указанием рекомендуемого объема данных, стандартно обрабатываемых в таких процессах.
«В США отдельные законы штатов также предусматривают перечни стандартных целей обработки персданных, полагаясь на которые действует презумпция минимизации данных. При этом в любом случае оператор может выбирать иные цели или объем данных, руководствуясь принципами необходимости и пропорциональности», – сообщил Артем Дмитриев.
Если речь идет о введении отдельной ответственности за избыточный сбор персданных, то такие эпизоды уже регулируются КоАП, который позволяет штрафовать за это нарушение, напомнил RSpectr основатель Privacy Advocates Алексей Мунтян. Поэтому, по его словам,
введение какой-либо отдельной ответственности теоретически возможно, однако насколько это будет продуктивно – большой вопрос
Алексей Мунтян, Privacy Advocates:
– Для Роскомнадзора сейчас гораздо более приоритетны вопросы получения согласий для обработки персональных данных, а также дифференциация операторов. Регулятор может решить эту задачу с другой стороны, исключив возможность для большинства компаний накапливать избыточные данные, поскольку этим будут заниматься уполномоченные операторы.
Четких критериев, позволяющих установить избыточность данных, нет. Их очень тяжело придумать, поскольку
избыточность оценивается не каким-то абсолютным показателем
Она завязана на цели обработки информации и контекст обработки, подчеркнул юрист.
СУДЕБНАЯ ПРАКТИКА
Соответствие собираемых данных целям сбора – момент дискуссионный и потенциально зависящий от трактовки судебных инстанций, прокомментировал RSpectr менеджер продуктов Innostage Евгений Сурков. По его мнению, в других юрисдикциях с прецедентным правом на этом месте можно уже переходить к конкретным судебным случаям, выпуская закон в систему, в России требуется тщательная проработка для хотя бы рамочных представлений о критериях соответствия данных целям в суде.
Евгений Сурков, Innostage:
– Пока нет устоявшейся судебной практики, справедливо не наказывать компании слишком строго, так как на этом этапе велика вероятность судебной ошибки. С другой стороны, если штрафы будут невелики, никто не захочет брать на себя судебные издержки по доказательству нарушений иначе, чем из принципа.
В этом случае, уверен эксперт,
наработка судебной практики застопорится, и получится очередной слабо работающий закон
На данный момент в КоАП уже есть все из того, что предлагает законодатель, поделился с RSpectr управляющий партнер Lukash & Partners Денис Лукаш.
Денис Лукаш, Lukash & Partners:
– Проблема возникает из-за несовершенства закона о персональных данных, а также низких сумм компенсаций морального вреда, присуждаемых судами. Ее нужно решать совершенствованием законодательства о персданных в части приведения механизмов закона к рыночным.
Екатерина Лаштун
Изображение: RSpectr, Adobe Stock
