Главная » ЭКОНОМИКА » Поправки к закону «О персональных данных» смутили бизнесменов: масса неудобств

Поправки к закону «О персональных данных» смутили бизнесменов: масса неудобств

Обновленный документ плодит риски

Поделиться

Представители IT-бизнеса попросили Минцифры доработать поправки к закону «О персональных данных», вступающие в силу 1 сентября. У участников июльского заседания рабочей группы «Нормативное регулирование» АНО «Цифровая экономика» возник ряд принципиальных замечаний к этому документу. Впрочем, поправки не устраивают не только айтишников. Откровенно сырыми, более того – контрпродуктивными они видятся людям из самых разных сфер экономической деятельности.

Фото: BurstUnsplash.

Ранее замглавы Роскомнадзора Милош Вагнер, рассуждая о целесообразности поправок, напомнил о череде утечек больших данных — Big Data: с начала года таковых в стране произошло более сорока, в итоге в свободный доступ попало свыше 300 млн записей. Речь идет о любых данных, по которым можно идентифицировать человека, — ФИО, дате рождения, адресе электронной почты, номере телефона, месте жительства и сведениях о состоянии здоровья. По словам Вагнера, поправки вызваны тем, что «персональные данные стали слишком ценным объектом для современной экономики, за ними без преувеличения идет охота. Государство также должно получить инструменты влияния на ситуацию».

Согласно одной из поправок, с 1 сентября продавец не сможет отказать в продаже товаров или услуг из-за того, что покупатель не предоставил свои персональные данные (ПД). Сейчас при совершении покупок или оплате услуг у людей под разными предлогами собирают номера телефонов, адреса электронной почты и другие личные сведения.

Если говорить о биометрических ПД, то отныне главным правовым основанием для их обработки является письменное согласие человека. Другая поправка гласит, что срок предоставления человеку исчерпывающей информации об обработке его персональных данных не должен превышать 10 рабочих дней, однако при наличии уважительных причин этот период может быть увеличен еще на 5 рабочих дней.

Что касается операторов персональных данных, то они обязаны извещать Роскомнадзор (в электронном виде на портале регулятора) об инцидентах с персональными данными с момента выявления таковых. Ужесточаются и меры ответственности за нарушения: в статье 14.8 КоАП установлены штрафы за отказ магазина заключать договор с потребителем, который не сообщил ПД. Штрафы для должностных лиц – от 5 тысяч до 10 тысяч рублей, для юридических лиц – от 30 тысяч до 50 тысяч рублей.

Казалось бы, вступающие с 1 сентября новации направлены на защиту частной информации и должны быть горячо одобрены обществом. Между тем, судя по реакции бизнес-кругов, поправки значительно усложняют им жизнь, прежде всего в юридическом и техническом смысле. О том, какие именно проблемы создает обновленный закон «О персональных данных», нам на условиях анонимности рассказали несколько предпринимателей.

Итак, допустим, потребитель решил заказать доставку товара на дом. Если раньше магазин (юрлицо) автоматически, по факту заключения гражданско-правового договора с физлицом, получал право на обработку его персональных данных и на передачу их третьим лицам (курьеру), то теперь эта элементарная опция убрана. Более того, с 1 сентября всем участникам процесса курьерской доставки придется получать письменное согласие на обработку и передачу ПД – магазину, курьеру.

Сформулировать эту задачу человеческим, доступным пониманию языком и то сложно, не говоря уже о скрупулезном ее выполнении.

Если раньше кто-то нанимался на фирму курьером или экспедитором, подразумевалось, что этот человек может дать разрешение на передачу своих минимальных персональных данных (имени и телефона, указанных в доверенности) всем контрагентам. Теперь же компания должна будет получать письменное согласие своего же работника на передачу этих сведений каждому заказчику товара.

По словам авторов поправок, все это делается ради усиления защиты персональных данных. По факту же, уверяют опрошенные «МК» бизнесмены, могут возникнуть дополнительные риски в случае их утечки, поскольку любое согласие становится персонифицированным, а любая сделка — намного более прозрачной. Условно, вы заказываете пирожки (через маркетплейс) у индивидуального предпринимателя, который их печет, вам их доставляет курьер, и вся информация об этом процессе будет четко прослеживаться.

Ко всему прочему, поправки создают исключительно благоприятную почву для наложения штрафов. Степень ответственности самозанятых физлиц (тех же курьеров или таксистов), которые в своей деятельности постоянно имеют дело с чужими ПД, возрастает многократно. Эту информацию они получают уже не как физлица, а как официальные операторы данных. А значит – несут ответственность за ее сохранность. И если какой-нибудь курьер потеряет личный телефон со всей смс-перепиской с заказчиком, это будет трактоваться законом как инцидент по утечке данных. То есть, на ровном месте человек получает личные риски в виде внушительного штрафа.

Как отмечают наши собеседники, закон изначально писался для юридических лиц: он не учитывает того, как сегодня складываются коммерческие отношения между рядовыми гражданами. Сейчас в стране очень много самозанятых, много индивидуальных предпринимателей, которые оказывают самые разные услуги, но при этом не несут бремя администрирования, регламентирования, создания документации, проведения внутренних расследований. В распоряжении какого-нибудь ИП-шника могут быть (условно) три нанятых курьера и одна пирожковая.

Как сочетать их деятельность с законом «О защите персональных данных», чтобы не нарваться на штраф? Наши собеседники возлагают надежду лишь на то, что таких мелких бизнесов много: к каждому не придут.

«Действительно, утечек происходит много, — комментирует ситуацию специалист по информационной безопасности, кандидат технических наук Владимир Селезнев. — Персональные данные в России собирают все, кому не лень, несмотря, во-первых, на неоднократные предупреждения со стороны Роскомнадзора, во-вторых, на то, что существует официальный реестр организаций, уполномоченных собирать и держать у себя ПД. Сами граждане очень спокойно относятся к просьбам предоставить копию паспорта, номер телефона и другую личную информацию. Хотя это может быть использовано против них».

А вообще, проблема обеспечения безопасности персональных данных должна решаться не столько юридически-принудительными, сколько чисто техническими и технологическими методами. Не законодательство надо корректировать, а сам контроль за сохранностью ПД усиливать. Понятно, что Роскомнадзор физически на это не способен: нет у него соответствующих ресурсов. Наконец, есть непреодолимое на сегодняшний день противоречие: с одной стороны, бизнес нельзя кошмарить, с другой, надо проверять, насколько адекватно компании работают с ПД. Что касается размера установленных штрафов, то для крупных сетевых компаний (у которых в основном и происходят утечки ПД) это вообще не проблема, резюмирует Селезнев. По его словам, штрафы должны быть не в абсолютных величинах, а в относительных, «плавающих» — относительно оборота той или иной сделки. Только тогда они могут дать эффект.

Россия

Источник