Опубликован законопроект, запрещающий онлайн-сервисам требовать от россиян лишние ПД
Минкомсвязь опубликовала в среду для обсуждения законопроект, который предоставляет право субъектам персональных данных (ПД) отказаться от предоставления онлайн-сервисам согласия на обработку ПД в случае, когда затребованные сервисом ПД не соответствуют заявленным целям взаимодействия субъекта персональных данных с оператором сервиса.
Принципиально важная новация законопроекта – запрет для сервиса отказать пользователю в регистрации, если пользователь отказывается предоставить избыточные ПД. «Субъект персональных данных вправе отказаться от предоставления согласия на обработку персональных данных в случае, если указанные в согласии цели обработки персональных данных не соответствуют заявленным на этапе их сбора целям взаимодействия субъекта персональных данных с оператором», — сказано по этому поводу в тексте законопроекта (стиль оригинала – ред.)
«Как следует из анализа правоприменительной деятельности, зачастую операторы, помимо обработки персональных данных во исполнение договора, заинтересованы в предоставлении дополнительных услуг, не связанных с исполнением основного обязательства, и, соответственно, с обработкой персональных данных, выходящей за предметы договора», — сообщают авторы законопроекта в пояснительной записке.
Пример – дисконтная карта Licard дочерней компании LUKOIL. Вот какие персональные данные нефтяная компания хочет взять у граждан в обмен на скидку, предоставляемую заправочными станциями.
Законопроект определяет, что в случаях, когда запрашиваемые ПД выходят за границы необходимого для предоставления сервиса, оператор должен получить согласие пользователя на обработку его ПД. В настоящее время отказ предоставить «лишние» ПД означает невозожность воспользоваться сервисом.
Также законопроект содержит положение о том, что пользователи – физические лица – могут вносить изменения в согласие на обработку персональных данных после регистрации.
Биометрические ПД, которые используются оператором для установления личности субъекта ПД, могут обрабатываться только при наличии письменного согласия субъекта ПД, говорится в законопроекте.
Обработка биометрических ПД несовершеннолетних (не достигших 14 лет) согласно законопроекту будет осуществляться только с письменного согласия законного представителя.
Также законопроект обязывает компании, которые собирают ПД граждан в Интернете, публиковать на своём сайте сведения о составе собираемых данных и целях их обработки – на той же странице, на которой эти данные запрашиваются.
Законопроект не упоминает особенности сбора ПД, присущие мобильным приложениям – такие, как, например, доступ к списку контактов пользователя и данным в памяти мобильного устройства.
Отметим, что в мире и в России давно ведутся дебаты о том, как интернет-гиганты собирают, хранят и распоряжаются данными, получая при этом многомиллиардные прибыли (как правило, от рекламы).