Подписывайтесь на Газету.Ru в Telegram Публикуем там только самое важное и интересное!
Новые комментарии +

Можно ли пользователю наказать интернет-компанию за утечку данных в России

Директор Центра РКН Куровская рассказала, как «отбивать» свои данные у интернет-компаний

Только в 2022 году злоумышленники опубликовали сотни миллионов записей с личной информацией о пользователях различных российских интернет-сервисов. Директор созданного по инициативе Роскомнадзора Центра правовой помощи гражданам в цифровой среде Людмила Куровская объяснила, что уже сегодня пользователь любого коммерческого интернет-сервиса вправе затребовать удаления своих данных, а в случае утечки гражданин может подать на компанию в суд. Зачем компаниям столько личных данных россиян, могут ли они отказать в обслуживании из-за непредоставления информации о себе и должны ли граждане получать компенсацию из-за «слива» – в интервью Куровской для «Газеты.Ru».

– Почему интернет-сервисы – онлайн-магазины, видеоплатформы, курьерские службы – в принципе собирают наши данные, такие как имя, адрес, возраст?

– У коммерческих компаний есть право собирать данные о клиентах в процессе своей предпринимательской деятельности. Согласитесь, онлайн-магазину или курьерской службе было бы сложно доставлять товары без номера телефона и адреса клиента.

При этом зачастую многие компании собирают избыточные личные данные и используют их не только, например, для доставки товаров или продуктов, но и для других целей.

Для этого нередко в пользовательские соглашения на обработку персональных данных добавляются невыгодные для граждан условия, которые позволяют компаниям обрабатывать информацию в рекламных целях, передавать ее третьим лицам, в том числе за деньги.

– Вправе ли интернет-сервис отказать в предоставлении услуг, если пользователь не сообщил свои данные?

– До недавних пор у интернет-компаний была такая возможность.

Однако 1 сентября 2022 года вступили в силу поправки к Закону о защите прав потребителей, согласно которым продавцам запрещается отказывать клиентам в обслуживании, если ими не предоставлены персональные сведения.

Кроме того, похожие изменения были внесены и в Федеральный закон 152-ФЗ «О персональных данных» в части запрета отказывать в обслуживании при нежелании гражданина согласиться на обработку биометрии и других данных. Но в некоторых случаях они действительно необходимы оператору для оказания услуги.

К примеру, банк не выдаст заемщику кредит, если тот не согласится предоставить такие сведения о себе, как паспортные данные, адрес, информацию об источнике дохода и цели кредитования. Они необходимы финансовой организации для того, чтобы идентифицировать заемщика в установленном законом порядке и принять решение, выдавать ли кредит или нет.

Вместе с тем необоснованный отказ от обслуживания в случае нежелания человека сообщить свои личные данные не допускается, если они не являются необходимыми для исполнения договора. Например, когда гражданин покупает в интернет-магазине велосипед и продавец хочет знать, нет ли у него медицинских противопоказаний для его использования, покупатель не обязан сообщать ему такие сведения о себе. Они не требуются для заключения договора купли-продажи. Если же продавец, не получив желаемой информации, отказался продать велосипед, это становится нарушением.

– Если гражданин дал согласие на обработку данных до вступления в силу нового закона, он может его отозвать?

– Безусловно.

Любой гражданин вправе отозвать свое согласие на обработку персональных данных и потребовать от оператора прекратить обработку личной информации.

Более того, такое право имелось у каждого человека и до внесения изменений в закон, поскольку только он сам принимает решение, как распорядиться своими личными данными.

В случае, если сохранение персональных данных более не требуется для целей их обработки, оператор обязан прекратить обработку и уничтожить информацию по запросу пользователя.

– Оформить отзыв согласия на обработку данных можно только через суд?

– Вовсе нет.

Достаточно обратиться с соответствующей просьбой к оператору персональных данных. Он обязан рассмотреть запрос и прекратить обработку информации.

Обращаться в суд нужно в случаях, когда оператор немотивированно отказывает человеку в завершении обработки его персональных данных или просто его обманывает.

Но следует помнить, что в некоторых случаях оператор обязан будет продолжить обрабатывать персональные данные даже после того, как пользователь отзовет ранее данное согласие. Подробно такие ситуации прописаны в законе «О персональных данных» и иных нормативных правовых актах. Например, банки обязаны хранить данные о своих клиентах с целью соблюдения требований Федерального закона 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» независимо от желания граждан.

– Может ли гражданин убедиться в том, что его данные больше не обрабатываются тем или иным интернет-сервисом?

– В настоящее время гражданин не всегда может проверить, действительно ли оператор прекратил обработку персональных данных. После отзыва согласия оператор не обязан предоставлять человеку какие-либо документы, подтверждающие уничтожение информации о нем.

Единственный способ убедиться в добросовестности компании – самостоятельно узнавать, продолжается ли обработка ваших данных.

К слову, сейчас проходит обсуждение подготовленного Роскомнадзором проекта нормативного правового акта, который устанавливает механизм подтверждения сведений о том, что оператор персональных данных удалил всю информацию о заявителе.

– Есть ли косвенные признаки того, что требование прекратить обработку персональных данных было проигнорировано?

– Самым ярким примером того, что использование персональных данных человека продолжается, является реклама.

Если компания, которая якобы удалила личную информацию, по-прежнему звонит с предложениями и отправляет на почту рекламу, скорее всего требование о прекращении обработки конфиденциальных сведений было проигнорировано.

– Если в случае утечки данных того или иного сервиса пользователь выяснит, что организация проигнорировала его требование прекратить обработку данных, это будет признано судом отягчающим обстоятельством?

– Это зависит от того, о каком суде идет речь. Если оператор персональных данных привлекается Роскомнадзором к административной ответственности за утечку персональных данных и при этом ранее им было допущено нарушение законодательства, то это может считаться обстоятельством, отягчающим ответственность оператора, а значит, штраф для компании-нарушителя может быть больше.

Что касается рассмотрения спора в гражданском процессе, то при обращении гражданина в суд в связи с утечкой данных, истец может лишь сослаться на то, что компания ранее уже нарушала его права как субъекта персональных данных. Такое обстоятельство будет относиться к доказательствам по делу.

– Как часто российские операторы данных выплачивают жертвам утечек личных сведений какую-либо компенсацию?

– Мы не знаем ни об одном таком случае.

Например, только с начала года в РФ у различных интернет-компаний случилось около 60 крупных утечек, в результате которых в общий доступ попали 230 млн записей с личной информацией россиян. После подтверждения фактов утечек эти компании никакой компенсации пострадавшим не выплатили.

Поэтому Минцифры изучает возможность создать специальный фонд материальных компенсаций для граждан, которые пострадали от утечек личных сведений. Предполагается, что для его финансирования будут использоваться штрафы, наложенные на компании, в которых и произошли такие утечки.

– Правильно ли в случае утечки не ждать компенсацию от компании, а потребовать ее самостоятельно в суде?

– Несмотря на то, что даже коллективных исков по таким случаям становится все больше, добиться компенсации непросто. Одна из главных проблем – оценка вреда, который может быть как материальным, так и моральным. При этом «утекшие» данные становятся проблемой, когда оказываются в распоряжении недобросовестных лиц. Пострадавшие сталкиваются с навязчивой рекламой и мошенническими звонками. Также утечка может привести к взлому аккаунта в соцсетях или корпоративной учетной записи компании, в которой работает жертва.

В ближайшем будущем вступит в силу уже принятая на законодательном уровне новая поправка. Она предполагает, что оценка вреда в связи с утечкой персональных данных будет осуществляться в соответствии с требованиями, установленными Роскомнадзором.

Полагаю, что для граждан эта мера существенно упростит процедуру получения компенсации.

– Увеличение штрафов и упрощение получения компенсаций улучшат защиту данных со стороны интернет-компаний?

– Думаю, что усиление административной ответственности и сумм компенсации гражданам со стороны операторов за неисполнение требований закона послужит толчком для того, чтобы компании приняли более серьезные меры для защиты персональных данных граждан.

Поделиться:
Загрузка