Решит ли отдельное согласие на обработку персональных данных проблему с недобросовестными операторами?

На практике встречаются случаи, когда компании включают согласие на обработку персональных данных в тексты договоров, пользовательских соглашений. Часто согласие запрашивается для обработки, которая напрямую не связана с исполнением договора. Например, для рекламных рассылок, передачи данных партнерам и аналитики. И потребители вынуждены соглашаться на такую «вспомогательную» обработку без возможности отказаться или изменить ее условия.

Этот подход негативно оценивается регуляторами — Роскомнадзором, Роспотребнадзором, ФАС и Банком России. Кроме того, в большинстве судебных споров, в которых происходит оценка законности включения согласия в текст договора, суды указывают, что условия согласия носят вынужденный характер и не охвачены самостоятельной волей и интересом потребителя. Соответственно, происходит нарушение базового принципа предоставления согласия — оно должно быть предоставлено свободно, своей волей и в своем интересе. Включение согласия в договор также нередко квалифицируется судами в качестве условия, ущемляющего права потребителей.

По нашему мнению, предлагаемые изменения могут упростить работу регуляторов и судов в оценке недобросовестных практик, и тем не менее они все же избыточны. Новое требование не решает проблему чрезмерного сбора данных и их передачи неограниченному кругу лиц, поскольку регулирует лишь форму получения согласия, но не его суть и содержание.

Стоит отметить, что новая формулировка может негативно отразиться и на добросовестных операторах. Например, она затронет операторов персональных данных, которые хотя и включают согласия внутрь договора, но используют отдельные чек-боксы или другие специальные места для явного выражения согласия. В случае принятия законопроекта компаниям в любом случае потребуется пересмотреть свои документы и скорректировать интерфейсы сайтов, мобильных приложений и других систем.

Предлагаемые поправки предусматривают требование по сбору согласий на обработку персональных данных отдельно от других документов. Практически это означает, что если ранее текст согласия был «зашит» в договор или иной документ, опосредующий обработку персональных данных, то такое согласие больше нельзя будет прятать и необходимо будет выделить в отдельный самостоятельный документ.

Как следует из пояснительной записки законодателя к проекту, в первую очередь преследуется цель повышения общей прозрачности процесса сбора согласий, так как зачастую, соглашаясь с объемными текстами политик о конфиденциальности/обработке данных или договорными условиями, пользователи не всегда способны понять, какой именно объем их данных, на каких условиях и для каких целей обрабатывается.

Безусловно, для целого ряда компаний принятие данного законопроекта приведет к необходимости существенно менять уже настроенные процессы, учитывать и хранить новые согласия, корректировать порядок работы IT-систем и менять печатные формы ранее разработанных согласий.

Отметим, что в целом поправки не являются новаторскими. Позиция о том, что текст согласия на обработку персональных данных не должен быть включен в политику по обработке персональных данных, и ранее следовала из системного толкования норм закона и неоднократно высказывалась представителями Роскомнадзора.

Однако в случае включения согласия в текст договора тут так же, как и ранее, необходимо разделять случаи, когда сам договор и так уже является достаточным основанием для обработки персональных данных в силу подп. 5 ст. 6 Закона о персональных данных. Тогда в целом оформление согласия и включение его в договор просто являются избыточными действиями.

Несмотря на очевидную ценность этой инициативы для защиты прав граждан, реализация предложенных мер вызывает ряд вопросов.

Существующее законодательство уже позволяет компаниям обрабатывать персональные данные в рамках исполнения договоров с потребителями. В связи с этим возникает вопрос: будет ли новый законопроект требовать от продавцов получать отдельное согласие на обработку данных даже при заключении договора? Если да, это значительно усложнит деловой процесс, так как продавцам придется включать в свои процедуры дополнительные формы для подписания, обучать сотрудников, менять процедуру заказа товара и пр.

Также неясно, что подразумевается под требованием оформить согласие «отдельно»? Должен ли это быть полностью отдельный документ, или же согласие может быть включено в общий договор, но потребитель должен поставить дополнительную подпись напротив соответствующей формулировки? В настоящее время Роскомнадзор требует отдельного согласия на обработку данных для каждой цели, это уже реализуется компаниями с помощью добавления соответствующего поля для подписей в своих формах.

Особое внимание следует уделить аспектам, связанным с электронной коммерцией, так как значительная часть сделок совершается онлайн. В этом контексте непонятно, как нужно будет оформить согласие через «чек-боксы» на сайте. Неоднозначность формулировок может привести к многочисленным правовым рискам для интернет-магазинов.

Кроме того, возникает вопрос: будут ли считаться нарушением ситуации, когда потребитель просто заходит на сайт и просматривает товары без регистрации? При этом автоматически обрабатываются cookie-файлы, IP-адреса и другие технические идентификаторы, которые уже признаны Роскомнадзором как персональные данные. Однако у потребителя нет возможности дать отдельное согласие на такую обработку, хотя он, очевидно, благодаря такой обработке получает доступ к информации о товарах.

Законопроект также запрещает продавцам и агрегаторам ограничивать доступ потребителей к информации о товарах при отказе последних от предоставления персональных данных.

В России уже существует достаточно детализированное регулирование, защищающее права потребителей как субъектов персональных данных. Введение дополнительных, еще более обременительных для бизнеса требований, может показаться излишним. Гораздо более эффективным было бы не ужесточение законодательства, а его более строгое исполнение и обес­печение защиты существующих норм.

Тем не менее если законодатели доработают формулировки законопроекта, прояснят порядок оформления «отдельного» согласия в случае заключения договора, а также урегулируют вопросы, связанные с обработкой данных при использовании сайтов и цифровых платформ, то это может создать позитивный эффект для цифровой экономики России.

В соответствии с поправками согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных. При этом такое согласие по-прежнему может быть дано субъектом в любой позволяющей подтвердить факт его получения форме, и изменения в этой части законопроектом не планируются.

Предполагается, что эти изменения устранят правовую неопределенность, позволяющую «недобросовестным» операторам персональных данных «дезориентировать» граждан в вопросах предоставления согласия на обработку их персональных данных, определения условий и целей обработки данных.

По нашему мнению, данный законопроект отчасти является комплементарным. Действующее законодательство хоть и не содержит прямых указаний на то, что согласие должно оформляться именно «отдельно» от других информации или документов, но в соответствии с ним оно должно быть «видимым» и «понятным» для субъектов персональных данных, что на практике решается операторами разными способами. Кроме того, согласие на обработку персональных данных должно быть «конкретным, предметным, информированным, сознательным и однозначным». В связи с этим практика включения в документы «скрытых» согласий на обработку персональных данных уже является порочной и противоречащей вышеуказанным принципам.

При этом мы обращаем внимание, что указанные нововведения будут касаться только тех случаев обработки персональных данных, когда правовым основанием такой обработки является согласие субъекта. Законопроект не предполагает изменений в процессах обработки данных по другим основаниям, например в случае обработки для целей исполнения договора с субъектом персональных данных.

Законопроект предлагает внести изменения в ст. 10 Закона о защите прав потребителей, регулирующую порядок предоставления информации о товарах (работах, услугах), которую изготовитель (исполнитель, продавец) раскрывает потребителю.

В документе предлагается дополнить ее положением о запрете продавцу (исполнителю, владельцу агрегатора) обуславливать доступ потребителя к информации, обязательной для раскрытия, передачей персональных данных.

Данные изменения не являются принципиально новыми для правового регулирования, а лишь закрепляют уже существующую практику. В пункте 4 ст. 16 Закона о защите прав потребителей указано, что продавец (исполнитель, владелец агрегатора) не вправе отказывать потребителю в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством или непосредственно связана с исполнением договора с потребителем. Эта норма касается только тех этапов взаимодействия продавца и потребителя, когда договор между ними уже существует либо когда потребитель намерен заключить договор.

Если покупатель находится на этапе выбора продавца, рассматривает различные предложения и лишь хочет получить информацию о товаре, то формально этот этап не подпадает под ст. 16, так как потребитель еще не намерен заключать договор.

Однако если продавец не разместил в открытом доступе информацию о товарах, в частности о цене, и обуславливает возможность получения данной информации необходимостью заполнения формы заявки на сайте с указанием ФИО и номера телефона, то складывается ситуация, когда для того, чтобы узнать стоимость товара, необходимо предоставить персональные данные продавцу непосредственно.

В итоге число сайтов, на которых одному потребителю придется оставить свои персональные данные для получения обязательной для раскрытия информации о товаре в соответствии с законом, может исчисляться сотнями. Эта ситуация многократно повышает риски потребителя на утечку и использование персональных данных недобросовестными лицами. При этом обработка продавцом персональных данных потребителей на этапе, когда договор не заключается, а лишь раскрывается обязательная информация о товаре, в большинстве случаев является избыточной.

Среди поправок особенно стоит отметить предложение запретить продавцам обуславливать предоставление информации о товарах и (или) услугах предоставлением потребителем своих персональных данных (п. 4 ст. 10 Закона о защите прав потребителей).

В ходе рассмотрения законопроекта в первом чтении Правительство в своем отзыве посчитало поправки в Закон о защите прав потребителей избыточными, поскольку они дублируют регулирование из п. 4 ст. 16 Закона, запрещающее продавцу отказывать потребителю в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставлять персональные данные.

Однако следует различать два момента: заключение договора и получение информации о товаре или услуге.

Прежде чем заключить пользовательское соглашение, потребитель должен иметь возможность узнать о потребительских свойствах товара или услуги и ознакомиться с информацией о них (в частности, с ценой, правилами безопасного пользования и т.д.). При этом, как отмечается в пояснительной записке к законопроекту, уже на этой стадии недобросовестные продавцы иногда могут вынуждать субъекта предоставлять свои персональные данные. Поправки могут помочь решить эту проблему, признавая такие недобросовестные практики противоречащими прямому указанию закона.