С 1 сентября вступили в силу поправки в Закон о персональных данных и Закон о защите прав потребителей. Они существенно ужесточают контроль над компаниями, которые собирают, хранят и обрабатывают личную информацию. И дают гражданам больше прав по защите своего имени, лица и голоса.
Теперь если кто-то хочет получить от вас личную информацию и пользоваться ей без вашего согласия, вы можете добиться справедливости, а нарушитель понесёт ответственность. Но сначала стоит разобраться в определениях. Персональные данные — это любая информация, с помощью которой можно установить личность человека. Например, имя и фамилия, адрес жительства, телефон, электронная почта, страничка в соцсетях и так далее. Плюс биометрия — отпечатки пальцев, запись голоса и прочее.
Самое важное изменение для граждан — нельзя отказывать вам в обслуживании или в продаже товара, даже если данные не предоставлены. Единственное исключение, если эти данные необходимы для оказания услуги. Тут работает здравый смысл: например, вы хотите получить товар с доставкой, но отказываетесь говорить свой адрес. Куда же его тогда доставлять? Придётся адрес сообщить — но только адрес. Однако если вы хотите забрать товар из пункта выдачи, компания не может в этом отказать.
Если вы не даете своего согласия на использование личных данных, компания должна сообщить вам, к каким последствиям это приведет. Это касается не только доставки. Например, без вашей персональной информации никак не получится заключить договор с банком или мобильным оператором.
Само соглашение теперь должно быть конкретным, предметным и однозначным. У вас должна быть вся информация, чтобы сделать сознательный выбор. То есть в договоре компания обязана указать исчерпывающий список данных, которые у вас будут собирать. Прописать, для каких целей они будут использоваться. И согласие должно быть явным — то есть нельзя отсутствие протеста выдавать за согласие. Вы добровольно подписываете соглашение или ставите на сайте нужную галочку. Во всех других случаях будет считаться, что согласия нет.
Что делать, если вы поставили галочку вынуждено? Бороться и спорить с этим теперь можно. Необходимо обратиться в компанию, на сайте которой вы оставили свои персональные данные, и ждать ответа. Как правило, компания достаточно оперативно реагирует на такого рода запросы, так как игнорирование влечет прямую ответственность. Но если никакого ответа или реакции от компании не получено, следует обратиться в Роскомнадзор. Там инициируют более подробную проверку сбора согласий на сайте. Нюанс в том, что такая процедура занимает очень много времени, и реакция на жалобу может занять до нескольких месяцев.
Отдельная категория — биометрические данные. То есть те физиологические и биологические особенности, по которым можно установить личность человека. Например, образец голоса, отпечатки пальцев, снимки радужки глаза, результаты анализов ДНК и так далее. На их обработку обязательно нужно письменное согласие. К фотографиям и видео отношение чуть более лояльное, так как биометрическими данными в полной мере они не являются. Но здесь многое зависит от того, с какой целью создавалось такое изображение. Например, фото на пропуске — это явный способ идентификации человека.
Сейчас биометрическими данными признается та информация в цифровом виде, которая позволяет осуществить идентификацию с использованием автоматизированных систем. Самый яркий пример: единая биометрическая система, когда цифровое устройство может достоверно установить личность физического лица. Понятно, что по обычной фотографии и видео это сделать невозможно. Поэтому сейчас подход конкретно к этой информации чуть более лояльный. Это персональные данные, это отдельный правовой режим изображения гражданина в соответствии со статьей 152 ГК, но это не биометрические данные, если говорить именно об официальном определении таковых.
Еще жестче требования к биометрической обработке персональных данных несовершеннолетних. Она просто запрещена. Исключение — обязательная дактилоскопия и другие процедуры, которые возникают в ходе судебных процессов. В любом случае потребуется письменное согласие родителей или опекунов ребёнка.
В целом же все компании, которые занимаются обработкой персональных данных, обязаны уведомить об этом Роскомнадзор. И указать, какую именно информацию они собирают и зачем. Затем регулярно сообщать Роскомнадзору, если правила изменились. Компания в течение 10 рабочих дней обязана отреагировать на заявление клиента или работника, которое касается его личных данных.
Если всё-таки произошла утечка персональных данных, компания в течение 24 часов обязана сообщить об этом в Роскомнадзор. А в течение 72 часов — обязана провести внутреннее расследование и отчитаться: кто виноват в случившемся и какие меры приняты, чтобы такого больше не повторялось.