« — Здравствуйте, мы — медицинский центр и хотим пригласить Вас на бесплатную процедуру по полному обследованию Вашего организма…
— Спасибо, предложение не интересует, но откуда у Вас мои контакты?»
В последние 5 лет подобный разговор становится настолько частым явлением, что потребители не могут не задаваться логичным вопросом: откуда та или иная организация узнала их номер телефона, ФИО, а то и паспортные данные? Ответ прост. Зачастую при заключении различного рода договоров, будь то кредитное соглашение или договор на услуги связи, мы подписываем сомнительное с точки зрения закона согласие на использование контрагентом персональных данных. При этом отказ от такого шага нередко сопряжен с отказом в выдаче необходимых кредитных средств или подключении нового приложения на смартфоне. Любой гражданин, хоть раз обращавшийся за услугами банковского сектора, подтвердит, что стоит только начать задаваться вопросом на стадии подписания кредитного договора о необходимости предоставления столь широкого круга личных данных, как вопрос о заключении договора резко затягивается. В то же время не совсем адекватной видится мера по выяснению банком данных всех родственников вплоть до троюродного дедушки по материнской линии или запрос о предоставлении справки из нарко-, психдиспансера при оформлении, например, ипотеки.
Можно предположить, что организации стараются обеспечить максимальный уровень безопасности своих вложений и минимизировать предпринимательские риски, однако это никак не сочетается с правами граждан, которые не желают, чтобы в дальнейшем эти персональные данные перепродавались третьим лицам для получения личной выгоды, а то и в мошеннических целях. Данная практика вступает в явное противоречие с принципами обработки персональных данных, в частности с принципами справедливой обработки и минимизации обрабатываемых данных. Фактически формальное согласие потребителя в таких случаях развязывает руки оператору для обработки данных любыми способами, которые он сочтет необходимыми. Такой подход тем более сложно оправдать, учитывая, что Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» уже содержит специальные основания для обработки персональных данных в отсутствие согласия субъекта как раз для того, чтобы учитывать законные интересы операторов и не блокировать их деятельность, а само такое согласие должно предусматривать обработку персональных данных с указанием целей, способов, сроков и иных параметров, которые явно избыточны по отношению к тем целям, ради которых субъект персональных данных обратился к оператору.
Судебная практика Российской Федерации из года в год свидетельствует о необходимости внесения изменений в действующее законодательство по этому вопросу. Так, к примеру, 9-й арбитражный апелляционный суд в своем постановлении от 30.12.2020 № 09АП-50411/2020 по делу № А40-98225/2020 мотивирует сделанные выводы следующим: «Отсутствие у потребителя права выбора возможности согласия или отказа в согласии на обработку персональных данных ущемляет права потребителей и свидетельствует об их недействительности в этой части»*
.
* Постановление 9-го арбитражного апелляционного суда от 30.12.2020 № 09АП-50411/2020 [Электронный ресурс] / ЗАО «КонсультантПлюс». — Москва, 2021.
К такому же выводу ранее в постановлении от 18.07.2016 № Ф07-5537/2016 по делу № А44-9647/2015 приходит и Арбитражный суд Северо-Западного округа: «Отсутствие у потребителя права выбора возможности согласия или отказа в согласии на обработку персональных данных ущемляет права потребителей, что в силу ст. 16 Закона Российской Федерации от 07.02.1992 № 2300-1 (ред. от 11.06.2021) «О защите прав потребителей» свидетельствует об их недействительности в этой части»*.
* Постановление Арбитражного суда Северо-Западного округа от 18.07.2016 № Ф07-5537/2016 [Электронный ресурс] / ЗАО «КонсультантПлюс». — Москва, 2021.
Федеральный арбитражный суд Уральского округа в постановлении от 07.04.2015 № Ф09-793/15 указал, что «условия вышеуказанных правил изложены таким образом, что гражданин не имеет возможности свободно выразить согласие или отказаться от передачи персональных данных и иным образом объективно повлиять на содержание того согласия, которое в силу закона должно даваться им самостоятельно»*.
* Постановление Федерального арбитражного суда Уральского округа от 07.04.2015 № Ф09-793/15 [Электронный ресурс] / ЗАО «КонсультантПлюс». — Москва, 2021.
Законопроектом, внесенным на обсуждение Государственной Думы Российской Федерации еще 23 сентября 2020 г. (с текстом документа можно ознакомиться на федеральном портале проектов нормативных правовых актов (режим доступа: https://sozd.duma.gov.ru/bill/1184517-7 ID: 02/04/09-20/00108592), такая практика правоприменения учитывается, предусматривая, что в ст. 16 Закона о защите прав потребителей будут внесены изменения в части установления запрета для продавца (исполнителя, владельца агрегатора) отказывать в заключении, изменении, расторжении или исполнении договора в связи с отказом потребителя предоставить персональные данные, а также перечня недопустимых условий договора, ущемляющих права потребителей.
Кроме того, в КоАП РФ предлагается закрепить меры административной ответственности за необоснованное понуждение к предоставлению персональных данных (проект Федерального закона № 1184517-7 «О внесении изменения в статью 14.8 Кодекса Российской Федерации об административных правонарушениях» доступен по адресу: https://sozd.duma.gov.ru/bill/1184517-7). Согласно законопроекту, отказ в заключении, исполнении, изменении или расторжении договора в связи с отказом потребителя предоставить персональные данные, за исключением случаев, когда такая обязанность предусмотрена законодательством Российской Федерации или связана с исполнением договора, влечет наложение административного штрафа:
— на должностных лиц — в размере от 5 тыс. до 10 тыс. руб.;
— на юридических лиц — от 30 тыс. до 50 тыс. руб.
Таким образом, российский законодатель предлагает ограничить возможность субъекта хозяйствования пользоваться персональными данными, злоупотребляя правами их владельца или в ущерб ему, что соответствует общемировой тенденции к усилению контроля за «трафиком» персональных данных.