За избыточный сбор личных данных бизнесу грозит штраф до 100 тыс. руб., и 300 тыс. — за повторное нарушение. Более того, ответственность следует за каждый обнаруженный инцидент. За что еще могут наказать и как снизить риск, рассказал Артем Евсеев, руководитель практики интеллектуальной собственности, IT и защиты информации Savina Legal в своей статье для РБК Pro.
В большинстве случаев для предоставления той или иной услуги не нужно получать большой массив персональных данных. Например, при доставке продуктов, продаже товара в интернет-магазине и др. достаточно зачастую контактных данных покупателя и платежных реквизитов. Однако компании просят предоставить о пользователе больше информации, чем нам самом деле нужно для исполнения с ним договора.
Например, требуя номер телефона или email, компании «зашивают» в согласие на обработку его персональных данных согласие на получение маркетинговых рассылок. Во многих онлайн-транзакциях не требуется запрашивать пол, возраст, дату рождения и др., однако компании находят поводы, чтобы это делать, дабы собрать как можно больше сведений о лице и потом использовать эти сведения для таргетирования своих маркетинговых активностей. То есть, чем больше информации у компании о конкретном человеке, тем лучше можно прогнозировать его поведение и повышать качество продаж.
Такое настойчивое поведение компаний по сбору данных усугубляется мораторием на проверки Роскомнадзора, который действует с 2020 года. Поэтому многие компании агрегируют большие массивы персональных данных пользователей, которые являются избыточными по отношению к целям их сбора. В свою очередь, это повышает тяжесть последствий как для пользователей, так и для компаний при утечке таких данных.
Однако с мораторием не все однозначно. Он распространяется только на плановые визиты представителей ведомства, под него не подпадают проверки Роскомнадзором интернет-ресурсов компаний. Также Роскомнадзор может инициировать внеплановую проверку, если он:
При этом не все компании отдают себе отчет, что сбор избыточных данных нарушает прямое предписание закона. Так, например, требовать у потребителей паспортные данные и копии паспортов при перерасчете за потребляемые услуги является избыточным, недопустимым, влечет нарушение прав граждан на обработку персональных данных в соответствии с законом, на что прямо обратил внимание суд (Постановление Арбитражного суда Уральского округа от 31.03.2022 по делу № А60-24551/2021).
<…>
Читайте полную версию статьи по ссылке.