Многие россияне соглашаются на обработку персональных данных (ПД), считая, что у них нет иного выбора. Ситуации, когда сбор сведений обязателен, действительно встречаются, однако в большинстве случаев от него можно уйти.
Артем Дмитриев, управляющий партнер Comply, предупреждает, что сбор данных зачастую может быть законным, а вот дальнейшее их использование – нет. Некоторые компании коммерциализируют накопленные клиентские сведения, например, помогают «обогатить» другим бизнесам клиентские профили для лучшего понимания аудитории. Нередко в пользовательском соглашении сайтов уже заложено условие о том, что полученные при регистрации учетные данные могут быть переданы партнерам организации.
Эксперт подчеркивает, что на российском рынке есть и много компаний, которые действительно заботятся о защите персональных данных своих пользователей. Этот тренд растет из года в год и стимулируется ужесточением законов. В целом большинство компаний заинтересовано в сохранении монополии на полученные данные и не раскрывают их своим конкурентам.
В большинстве случаев нарушения и утечки ПД происходят не по злому умыслу компаний, а от плохого понимания процессов. В качестве примера «вытягивания» ПД из пользователей можно назвать ситуацию, когда согласие на рекламу нужно оформить, чтобы получить доступ в какой-то раздел сайта или присоединиться к программе лояльности. В основном такие манипуляции сводятся к принуждению человека, что нарушает требования свободы согласия, или отсутствию информирования об обработке его данных. Артем выделяет и другие практики сбора ПД:
«Дай согласие на обработку данных, чтобы мы могли развивать наш продукт и показывать персонализированную рекламу, и пользуйся нашим сервисом бесплатно».
Многочисленные запросы согласий, эмоциональный язык, подталкивающий пользователей поделиться данными или отказаться от отзыва согласий («не покидайте нас», «мы будем скучать»).
Неконкретная, расплывчатая информация об обработке данных (для каких целей, какие данные обрабатываются): «Мы используем данные для улучшения вашего пользовательского опыта».
Такие манипуляции тоже могут нарушать закон в части принципов справедливости и прозрачности обработки данных и конкретности согласий. Но они гораздо реже оспариваются в судах и регуляторами, и поэтому многие компании используют подобные техники, не опасаясь немедленных санкций.
Передача ПД будет обязательной в том случае, если без нее нельзя достичь цели обработки данных – например, исполнить договор или выполнить обязанности по закону. Так, если человек оформляет доставку в онлайн-магазине, передача данных курьерской службе будет законна и необходима для исполнения договора купли-продажи. Кроме того, обязательный сбор нужен для подачи отчетности по работникам в налоговую службу или Социальный фонд России.