Недавно мне на домашний телефон позвонил незнакомый мужчина. Назвав адрес моей квартиры, он сообщил, что городской центр учета и экономии ресурсов намерен произвести в ней поверку счетчика воды. Однако, услышав, что счетчик был установлен не так уж давно, тут же отключился. Я покопался в Интернете и без труда узнал, что этот центр — некое ООО, никакими полномочиями ходить по квартирам и что-то там поверять не наделенное. Да, но откуда тогда, черт возьми, эта шарашкина контора знает мои адрес и телефон?
Секрет Полишинеля
Откровенно говоря, удивляюсь я лишь в силу своего возрастного консерватизма. Большинство моих сограждан (особенно те, кто помоложе) сегодня уже вполне спокойно воспринимают подобные звонки — как на стационарные телефоны, так и на мобильные (туда еще иногда приходят и SMS). «Репертуар» заезженный: реклама товаров и услуг, предложения кредитов, настойчивые требования (иногда со ссылкой на какие-то законы) установить счетчики газа и воды. Об электронной почте и говорить нечего — туда извергается просто поток сообщений от абсолютно неизвестных нам людей и организаций.
И на возмущенный возглас не совсем продвинутого гражданина — как это так, мол, я никому своих телефонов и адресов не давал! — его более просвещенный товарищ махнет рукой: «Да брось ты, все мы давно под колпаком у Большого Брата». И популярно объяснит, что, во-первых, все адресные базы давно украдены и свободно продаются на известном в городе рынке. А во-вторых, любой из нас, как ни скрывайся, какие-то следы в Сети все равно оставляет, и куда они «пойдут» дальше и в чьих руках окажутся — неизвестно.
Насчет воровства баз готов согласиться. Вот только вряд ли все, кто нам без спроса звонит и пишет, обзавелись информацией на указанном рынке. Так что все-таки наиболее вероятным представляется второй путь. Покопавшись в своей памяти, даже самый малокоммуникабельный гражданин вспомнит, как он хоть раз что-то покупал через Интернет или регистрировался в социальных сетях. Да, конечно, там можно представиться 100-летним Васей Пупкиным, но для получения кода идентификации все равно надо указать свой номер телефона…
И тут возникает вполне резонный вопрос: это что же, все мы — беспомощные игрушки в руках неизвестно кого? Успокойтесь, граждане, есть специальный закон № 152-ФЗ «О персональных данных», который с момента его создания в 2006 году претерпел аж 19 редакций. Столь серьезная работа была проделана, прежде всего чтобы поспеть за стремительно развивающимися информационными технологиями. При этом требовалось буквально «пройти по острию ножа» — выдержать хрупкий баланс между соблюдением права человека на приватность и необходимыми требованиями безопасности, оную приватность нарушающими.
Как это удалось, судите сами. Вот, к примеру, ст. 6 — «Условия обработки персональных данных» (под таковой понимается их хранение, использование, передача третьим лицам и т. д.). Таких условий одиннадцать: одно — когда сведения о себе человек сообщает добровольно, другое — когда распространяет их самостоятельно (например, в соцсетях) и остальные девять — когда его об этом спрашивать вообще не надо.
И ведь не подкопаешься, все причины уважительные: исполнение судебного акта, действия по возврату просроченной задолженности, достижение общественно значимых целей (простор для толкования — необъятный), осуществление профессиональной деятельности журналиста и т. д.
Та же петрушка с биометрическими персональными данными (статья 11): вообще-то для их получения требуется наше письменное согласие, но в особых случаях (перечень их весьма обширен) можно обойтись и без оного.
Закон допускает вмешательство гражданина в процесс обработки его персональных данных, но… в ряде случаев (статья 14) ему в этом могут и отказать.
Отдельная тема — использование изображения человека. Ведь здесь действует еще и соответствующая статья Гражданского кодекса. И в ней тоже говорится о согласии. Но… оно не требуется, когда «использование изображения осуществляется в государственных, общественных или иных публичных интересах» (это понимай как хочешь).
Так что, по сути, помимо нашей воли вполне легально (и в значительной степени бесконтрольно) нами «ведает» немереное количество инстанций. Стоит ли удивляться, что наши персональные данные — секрет Полишинеля.
Мимо кассы
На практике же, впрочем, и тот единственный пункт статьи 6, который вроде бы дает нам право не согласиться с обработкой своих персональных данных, по сути, оборачивается профанацией. Постоянных читателей газеты отсылаю к своей статье «Концерт для жулика с оркестром» от 25 февраля 2017 года. Описывалась в ней ситуация самая заурядная — онлайн покупка театрального билета через известную каждому театралу фирму.
«Оказывается, — цитирую самого себя, — при покупке билета в этой фирме человек, сам не подозревая того, заключает два (!) договора: один с самим продавцом, а другой — с организатором мероприятия, которого он в глаза не видел. Все это совершается на правах публичной оферты — предложения «для всех», содержащего конкретные условия, которые размещены на сайте «Кассира.ру». Сей документ весьма объемен, и вряд ли кто-то из покупателей электронных билетов, нажимая на кнопку «оформить заказ», реально его читает».
А зря. В пункте 5 там перечислены данные, которые покупатель билета должен о себе сообщить: фамилия, имя, отчество, пол, контактный номер телефона, город, дата рождения (или возраст) и контактный адрес электронной почты. При этом он автоматически дает свое согласие на обработку указанных данных в течение неограниченного времени и передачу их третьим лицам. А пункт 2.2 ставит его в известность, что билет ему продадут лишь в случае полного и безоговорочного принятия сей оферты. Вот такое, уважаемые господа-товарищи, «право не согласиться»: не подпишешь договор — гуляй мимо кассы.
Те же данные, в соответствии с пунктом 4.4, похоже, надо сообщить, приобретая билет в офисе продаж фирмы. Такое действие, оказывается, также признается принятием данной оферты «и равносильно заключению договора в простой письменной форме».
А зачем, позвольте поинтересоваться, театральному кассиру столько обо мне знать? Ему не все равно, кто будет сидеть в зале — Вася Петров или Маша Иванова? И что он будет с этими знаниями делать?
Подчеркиваю для непонятливых: против «Кассира.ру» лично я ничего не имею. Данная фирма ничем не отличается от сотен других. Подобные договоры, думаю, каждый из нас не раз подписывал, не читая, при покупке любой более-менее серьезной вещи или оказании услуги. Много страниц, мелкий шрифт, язык — черт ногу сломит. А над душой стоит менеджер-продавец: «Да не парьтесь вы, это чистая формальность».
Между тем статья 13.11 КоАП РФ, предусматривающая наказание за нарушение законодательства о персональных данных, в последнее время сильно ужесточилась. Раньше весь состав правонарушения исчерпывался только этим названием. Но с февраля 2017 года статья конкретизирована — теперь она содержит семь отдельных деяний. При этом штрафы увеличились в несколько раз. В частности, обработка персональных данных без согласия их носителя может обойтись юридическому лицу в 75 тысяч рублей вместо прежних 10 тысяч.
Понятно, что и это для солидных людей копейки. Но те, кто все же хочет работать в правовом поле, сталкиваются с неожиданными трудностями. Взять хотя бы взаимоотношения работодателя со своими подчиненными.
— В законе сказано, что получить согласие на обработку персональных данных можно только указав, для какой цели это делается, — говорит директор по правовым вопросам ПАО «Росбанк» Полина Лебедева. — Но функции, которые работодатель возлагает на сотрудника, обычно содержат много целей, к тому же они могут меняться. А согласие на каждую должно быть отдельное. В итоге люди подписывают огромное количество бумаг. В фирмах, где десятки тысяч сотрудников (да еще тысячи работают на аутсорсинге), а кадровый, бухгалтерский, юридический учет централизован, затраты на обработку становятся астрономическими.
Но эффект от данных процедур, если иметь в виду охрану права на частную жизнь, — нулевой. Многостраничные документы люди подписывают не глядя. И благой порыв законодателя, как часто бывает, становится тем самым паром, который уходит в свисток.
Обсудим правила игры
Итак, официально декларируемая идея максимальной гарантии приватности явно проваливается, превращаясь в собственную противоположность. Что далеко не всем юристам кажется нормальным. Большинство из них уверены: многострадальный закон «О персональных данных» нуждается не в точечных корректировках, а в коренном реформировании.
Вот только мнения по поводу концепции этой реформы отличаются кардинально.
Одни — за «универсальное согласие», когда человек, сказав «да», пускает свои персональные данные в свободное и неконтролируемое плавание. Другие — за согласие лишь в строго определенных целях. Третьи — за концепцию «цифрового профиля», когда объединяются разнородные базы персональных данных и без ведома их носителей создаются виртуальные «портреты» оных. Что очень удобно, к примеру, для адресной рекламы товаров и услуг. Наконец, четвертые — за полный и тотальный контроль человека над использованием его персональных данных (как это реально сделать, правда, представить трудно). Разумеется, пока эти лебедь, рак и щука между собой не договорятся, дело с места не сдвинется.
Тем не менее, как уверяют специалисты, работа по сближению позиций активно идет — в частности, в рамках программы «Цифровая экономика».
Но уже сейчас, по признанию одного из авторов данного закона, ныне исполнительного вице-президента по взаимодействию с органами государственной власти ПАО «ВымпелКом» Михаила Якушева, жизнь требует «ослабить гайки» — отказаться от избыточных норм регулирования. Ряд отношений, считает он, может быть урегулирован на контрактном, корпоративном уровне или в рамках соцсетей. Перечень же персональных данных, подлежащих защите, надо строго ограничить, сведя к разумному минимуму. Сейчас этот перечень открытый, и каждый «дует в свою дуду», создавая хаос.
Между тем 25 мая в ЕС вступил в силу Общий регламент по защите персональных данных GDPR (General Data Protection Regulation). Документ жесткий, многие его положения по-настоящему революционны. Суть их, если совсем сжато: больше прав у владельца данных, больше обязанностей у их обработчика, усиленные меры контроля и максимальная прозрачность. А штраф за нарушение данного закона, на минуточку, до 20 миллионов евро.
Конечно, тут же все бросить и, «задрав штаны», бежать за Европой нам ни к чему. Тем более что некоторые важные положения GDPR уже перенесены на российскую почву Роскомнадзором либо находятся в стадии рассмотрения законопроектов. Так что общие тренды совпадают. Да, мы признаем необходимость существования Большого Брата, который в целях нашей же безопасности может вторгаться в нашу жизнь. Но его действия должны быть разумны и прозрачны. А всем «младшим братьям» нужно назначить жесткие и понятные правила игры. И предусмотреть реальные наказания за их нарушение.
Я хочу точно знать, кто и зачем пытается войти в мой дом. И иметь полное право закрыть перед ним дверь.
Материал опубликован в газете «Санкт-Петербургские ведомости» № 182 (6291) от 02.10.2018 под заголовком «Жизнь в стеклянном доме».
Об авторе:
Рутман Михаил Исаакович
Обозреватель
Родился 1 августа 1955 года в Ленинграде.
Окончил ЛИАП, специальность – радиоинженер-технолог (1978).
Работал корреспондентом, обозревателем газеты «Единство» (1990 – 1991), корреспондентом газеты «Вечерний Петербург» (1991 – 1996).
С 1996 года – обозреватель газеты «Санкт-Петербургские ведомости».
Профессиональная специализация: криминал, право, журналистские расследования.
Член Союза журналистов Санкт-Петербурга и Ленинградской области.
Удостоен профессиональной премии «Золотое перо» (1998), премии Союза журналистов России (1999), премии «За успехи в юридической науке и практике» и премии «СеЗаМ»