Депутаты Госдумы внесли в среду законопроект, направленный на совершенствование механизмов предотвращения избыточной обработки персональных данных (ПД) граждан в целях минимизации рисков неправомерного доступа к этой информации.

Законопроект предполагает внесение изменений в законы от 27 июля 2006 года № 152-ФЗ «О персональных данных» и от 7 февраля 1992 года № 2300-1 «О защите прав потребителей».

В частности, законопроектом устанавливается, что согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект ПД.

Как поясняют авторы документа, зачастую положения о согласии на обработку персональных данных включаются в пользовательские соглашения, а также другие юридические документы, размещаемые на информационных ресурсах или предоставляемые субъектам персональных данных офлайн. Как правило, в таких документах среди большого объёма иных сведений, не относящихся к вопросам обработки ПД, заложены условия о предоставлении согласия на обработку персональных данных, в том числе в целях их передачи неопределенному кругу лиц.

Кроме того, в рамках цифрового взаимодействия широкое распространение получили так называемые браузер-соглашения, акцепт которых предусмотрен посредством входа на сайт (его просмотра). То есть гражданин, посетив информационный ресурс либо приняв условия договора (пользовательского соглашения) проставлением «галочки», автоматически предоставляет доступ к своим ПД, которые в дальнейшем могут быть использованы фактически неограниченным кругом лиц.

Также продавец (исполнитель, владелец [товарного] агрегатора), согласно законопроекту, не вправе ограничивать доступ потребителя к информации в связи с отказом потребителя предоставить ПД за исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации (предоставление ПД является обязательным, например, при покупке определенных товаров или услуг, которые требуют идентификации личности покупателя, таких как алкоголь и табачные изделия, лекарственные средства, оружие, авиа- и железнодорожные билеты, услуги связи и финансовые услуги).

Необходимость введения указанной нормы вызвана тем, что в настоящее время предоставление согласия пользователя на обработку его персональных данных зачастую является обязательным условием для получения доступа к информации о товарах (работах, услугах) независимо от того, будут ли приобретены такие товары. Чаще всего такие ситуации возникают при использовании информационных ресурсов в сфере электронной коммерции. Эта практика приводит к избыточному сбору ПД граждан, которые используются по большей части в целях, не связанных непосредственно с процессом предоставления информации о товарах, работах и услугах (направление рекламной и иной информации для продвижения товаров и услуг, «спам»), говорится в пояснительной записке.

Также создание избыточных по отношению к целям обработки баз ПД и их возможная передача неограниченному кругу лиц многократно увеличивает риски утечек и последующего противоправного использования указанных сведений, отмечают авторы документа.

Предполагается, что документ должен вступить в силу с 1 марта 2025 года.

См. также: О невольничьем рынке данных >>> 

Напомним, закон, согласно которому продавцу (исполнителю, владельцу агрегатора) запрещается отказывать в заключении, изменении, исполнении или расторжении договора в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством РФ или непосредственно связана с исполнением договора с потребителем, был подписан в мае 2022 и вступил в силу с 1 сентября того же года.

В это же время вступил в силу закон о штрафах за нарушение этих норм.