Тайны и обманы
Правительство России внесло в Государственную думу проект федерального закона «О внесении изменения в статью 14.8 Кодекса РФ об административных правонарушениях», предусматривающий запрет на отказ в заключении, изменении, расторжении или исполнении договора потребителю, отказывающемуся предоставлять свои персональные данные в случаях, когда это не оговорено законом, сообщили «Известиям» в комитете по государственному строительству и законодательству.Говоря проще, предлагаемые поправки должны наложить запрет на принудительный сбор персональных данных россиян. Юридическим языком это формулируется как «запрет на понуждение потребителя под угрозами отказа в осуществлении сделки к предоставлению персональных данных в случаях, когда предоставление таких данных не предусмотрено законодательством РФ и не связано с совершением сделки по реализации товаров, работ, услуг». Кроме того, устанавливается перечень недопустимых условий договора, ущемляющих права покупателей или потребителей услуг.
К недопустимым, к примеру, относятся условия, предоставляющие продавцу право на односторонний отказ от исполнения обязательства или одностороннее изменение его условий — о предмете, цене, сроке и иных согласованных с потребителем условий. «К недопустимым отнесены и условия, которые обусловливают приобретение одних товаров обязательным приобретением других товаров, создают для потребителя иные обременения, в том числе предусматривают обязательное заключение иных договоров, а также предусматривают оказание допуслуг за плату без получения согласия потребителя», — следует из проекта правительственного законопроекта.
— Новый проект закона создан для дополнительной защиты потребителей при сборе и обработке их персональных данных, — разъясняет эксперт Московского финансово-юридического университета (МФЮА) и руководитель адвокатского кабинета «Законъ» Анна Макеева. — Его разработке предшествовало большое количество жалоб со стороны потребителей.
В Роспотребнадзоре рассказали «Известиям» о типичных нарушениях, выявляемых в ходе проверок компаний: «несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации, обработка избыточных персональных данных по отношению к заявленным целям их обработки, нарушение права потребителя на свободный доступ к товарам (работам, услугам) путем его ограничения на свободное распоряжение своими персональными данными».
Положения действующего закона «О защите прав потребителей» в нынешней редакции не позволяют в подобных случаях бороться с нарушениями.
Законное «воровство»
Чаще всего персональные данные воруют инсайдеры — люди, имеющие непосредственное отношение к системам, в которых происходит обработка персональных данных и данных в связи с действиями людей, уточняет эксперт по информационной безопасности компании «Акронис Инфозащита» Евгений Родыгин. Иногда информация о внешних «взломах» от потерпевших компаний может оказаться попыткой скрыть такие внутренние инциденты. Часто за утечки выдается вполне осознанная передача данных между заинтересованными лицами в целях развития их бизнеса, подчеркивает эксперт.80% опрошенных компанией «СёрчИнформ» респондентов сочли «внутренние» (инсайдерские) инциденты более опасными. При этом по данным экспертов, программы для контроля действий сотрудников с информацией и персональными данными (DLP) стоят только в трети крупных организаций, в малом и среднем бизнесе их число еще меньше.
Начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд утверждает, что взлом баз данных — не самая частая причина утечек. Проблема скорее в том, что эти сведения сейчас собирает и хранит едва ли не каждая организация. Попросту говоря, злоумышленникам гораздо проще собирать информацию, которая и так «плохо лежит». — Первый вариант — парсить данные (собирать на определенных сайтах, с помощью специальных программ), которые пользователи или организации сами выкладывают в интернет, не озаботившись настройками безопасности. Другой вариант для злоумышленников — найти плохо защищенные базы данных. Сплошь и рядом в компаниях забывают о настройках безопасности, в результате базы с персональными данными лежат, по сути, в открытом доступе.
Но новым вызовом в сфере защиты данных является проблема обеспечения сохранности биометрических образцов. А это отдельная категория персональных данных, предупреждают специалисты. Пока же новости про дипфейки появляются всё чаще, а скорость распространения подобных технологий зависит от того, насколько быстро нейросети учатся качественно синтезировать чужую речь и какой объем образца голоса им потребуется.
Дыры и их обитатели
Сейчас в России утечки происходят в четырех секторах обработки персональных данных, рассказывает руководитель проектов департамента ИТ-аутсорсинга компании «КОРУС Консалтинг» Владимир Бобров.На первом месте — сотовые операторы и телеком-компании. У них большой штат, и доступ к данным имеет огромное количество сотрудников. Основная причина в этом случае — умышленный вывод данных. На втором — банковский сектор. В этой области утечки происходят на этапе сбора данных потенциальных клиентов через сторонние сайты, размещающие рекламу услуг. Также они происходят и через ИТ-специалистов, имеющих доступ к резервным копиям баз данных.
Третье место занимают государственные компании и ресурсы, где, как правило, утечки возможны из-за брешей в системе безопасности сайтов. И последнее — частный бизнес, где причиной утечки становятся ошибки и уязвимости на корпоративных сайтах и в CRM-системах.
Беда еще и в том, что объявления о продаже персональных данных встречаются в Сети всё чаще, подчеркивает руководитель информационной безопасности компании «МойОфис» Александр Буравцов. Злоумышленники активно пытаются получить доступ как к информационным системам государственного сектора, так и к коммерческим базам данных. Так, совсем недавно стало известно об утечке конфиденциальных данных сотен российских компаний из-за небрежного использования программного обеспечения для управления проектами — Trello.
Умолчание — золото
В каких ситуациях потребителю лучше отказываться от предоставления своих данных и почему? Прежде всего в тех случаях, когда покупка товаров или предоставление услуг не связаны с наличием у продавца персональных данных потребителя, объясняет член Ассоциации юристов России (АЮР) Николай Пивоваров. Например, не нужно предоставлять свои персональные данные при публичной оферте, которая адресована неопределенному кругу лиц.— Не нужно лишний раз предоставлять свои данные при покупке продовольствия в магазине, покупке билета в кино, заказе еды в местах общественного питания — кафе и ресторанах, приобретении одежды, бытовой техники и так далее. Выполнение условий такой сделки купли-продажи и предоставления услуг в форме публичной оферты не зависит от предоставления потребителем его персональных данных — в этом просто нет необходимости, — замечает Пивоваров.
Однако, оговаривается юрист, есть такие услуги и сделки, когда исполнителю необходимо знать ваши персональные данные, так как иначе обязательства не могут быть выполнены, а наличие персональных данных является обязательным условием договора/публичной оферты. Скажем, услуги по доставке продуктов, банковские услуги, услуги страхования и другие, где поставщику услуг/продавцу необходимы паспортные данные, адрес потребителя, его телефонный номер, ИНН, СНИЛС или фотография.
— Вместе с тем не стоит предоставлять свои персональные данные организациям и другим лицам, которые не вызывают у вас доверия, особенно по средствам телефонной связи, — предупреждает специалист.
По мнению президента НП «РУССОФТ» Валентина Макарова, свобода распоряжения личностью своими персональными данными должна быть отражена в Конституции и строго охраняться законом.
Катехизис потребителя
Обязательно уточняйте, действительно ли это обязательно, задавайте вопросы: как и кем данные будут использованы, где они будут храниться, как можно запросить их удаление и т.д. Если не уверены, что вам это нужно — откажитесь от передачи. Передача избыточных данных — обычное дело при регистрации на сайтах и в социальных сетях. Избегайте ввода таких данных, помните, что в большинстве случаев вы не обязаны предоставлять полную информацию о себе.Так же важно разделять информацию, которую вы можете сменить быстро (адрес электронной почты, номер телефона и т.п.), и ту, что изменить сложно или невозможно (имя, адрес, возраст, пол, номер паспорта), резюмируют специалисты.
Источник: Известия
