Пользовательские соглашения в России не имеют единой формы, – как подчеркивают эксперты, их создают по шаблонам из интернета, и разработчики даже не задумываются об избыточности персональных данных, которые будут собраны. Недобросовестные рыночные акторы также могут закладывать в них лазейки, которые приводят к серьезным последствиям для тех, подтверждает такие соглашения «галочкой», даже не прочитав. Защитить пользователей могла бы унификация пользовательских соглашений с учетом всех требований законодательства, однако возможно ли это на практике, пока неясно.

Признаки пользовательского соглашения и правила его заключения должны быть унифицированы и определены законодательно, считает директор Центра правовой помощи гражданам в цифровой среде Людмила Куровская. Это позволит уйти от неопределенной правовой сущности этого понятия, сократит необоснованный сбор и обработку персональных данных, а также сведет к минимуму риски их утечки, заявила она в рамках вебинара в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), посвященного теме персональных данных.

В 2022 году, рассказала Куровская, суд первой инстанции не удовлетворил иск к крупной страховой компании. В соответствии с пользовательским соглашением посетитель интернет-сайта автоматически давал согласие на обработку персональных данных с целью получения рекламы, а также на передачу сведений неопределенному кругу партнеров. Кроме того, страховая компания запрашивала избыточную информацию о пользователе – например, его пол для расчета стоимости полиса ОСАГО.

Московский городской суд отменил решение суда первой инстанции, согласившись, что запрашиваемая информация действительно была избыточной. В результате компанию обязали внести изменения в пользовательское соглашение.

«В значительной степени подобные нарушения операторов обусловлены отсутствием законодательного определения пользовательского соглашения. В настоящее время оно может содержать самую разную информацию: описание функций сервиса, правила копирования авторских материалов или размещения пользователем своего контента», — говорит Куровская.

При этом на практике пользовательские соглашения регулируют условия не только использования сайта и той информации, которая на нем размещается, но и совершения сделок: оплату товаров, их доставку или возврат, пояснила директор Центра правовой помощи гражданам в цифровой среде. Но при этом они должны четко описывать условия обработки персональных данных, уверена она.

Директор Ассоциации профессиональных пользователей социальных сетей и мессенджеров Владимир Зыков поддержал эту идею. «К сожалению, мы сталкивались даже с такими ситуациями, когда в пользовательском соглашении на сайте знакомств прописана необходимость оплатить пользование этой платформой сразу за год. Далее подписка автоматически продлевается, а на охоту за не оплатившими пользователями выходят коллекторы, которым компания уже передала все данные. Те, в свою очередь, требуют с людей не только деньги за подписку, но и свой процент», — рассказал он.

По мнению Зыкова, помочь проблеме мог бы единый конструктор по созданию пользовательского соглашения. «Роскомнадзор мог бы разработать унифицированную официальную рекомендацию по созданию пользовательского соглашения и запустить такой конструктор, который поможет избежать нарушения закона как со стороны пользователей, так и со стороны площадок», — полагает он.

Пользу такой инициативы также отметил управляющий партнер AVG Legal, адвокат Алексей Гавришев. Так как пользовательские соглашения по правовой природе действительно всегда представляют собой публичную оферту, регулироваться они должны по законодательству, считает эксперт. «Если Роскомнадзор предложит единый шаблон, в котором будут прописаны необходимые признаки пользовательского соглашения, то в дальнейшем утечка данных пользователей или же нарушение их прав должны пойти на снижение, поскольку само пользовательское соглашение, а вернее, его признаки и правила заключения будут прописаны на уровне законодательства», — подчеркнул он.

При этом технически осуществить унификацию пользовательских соглашений почти невозможно, считает директор по стратегическим проектам Института исследований интернета Ирина Левова.

«У всех сервисов и сайтов разные правила пользования, разная сфера деятельности, спектр услуг постоянно обновляется, корректируется и дополняется. Кроме того, собранные данные используются с разными целями, – во многих случаях они нужны для того, чтобы сервисы могли скорректировать свою работу. Ни в одной стране мира нет опыта такой унификации, это даже технически очень сложно осуществить. Например, сервис для оказания банковских услуг и сервис, который используется для размещения объявлений в сети или для доставки товаров, — это принципиально разные платформы, и подходы к ним должны отличаться. Кроме того, все сервисы собирают разный объем данных», — сказала она.

Правильнее было бы проработать механизмы минимизации сбора персональных данных у всех платформ, отметила Левова. Сейчас в законодательстве нет соответствующих положений, однако такие инициативы были бы полезны. «Оказать влияние они могли бы как минимум как декларативный лозунг, на который обратили бы внимание компании, которые занимаются сбором персональных данных. Возможно, это помогло бы им задуматься о том, что перебарщивать со сбором действительно не стоит», — говорит она.

В необходимости принятия мер, исключающих пользовательские соглашения, где установлено безграничное право компании на получение любых персональных данных клиента, убежден и член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.

«Потеря данных и их компрометирование — основные риски bigdata, поэтому ключевой принцип, который должен быть поставлен во главу угла, особенно если речь идет о персональных данных граждан, — чем меньше их собирают, тем лучше. Некоторые убеждены, что в большом массиве данных важные затеряются и при сливе не будут замечены и найдены, но это — ошибка, фильтры очень легко находят персональные данные в любом незашифрованном массиве вне зависимости от его объема. Кроме того, хочу напомнить, что запрет избыточности сбора таких сведений по отношению к целям их обработки уже заложен в законодательстве: это один из основных принципов Федерального закона “О персональных данных”, который и должен быть положен в основу комплексной работы по решению проблемы пользовательских соглашений», — сказал он.

Как ранее сообщили в Роскомнадзоре, в 2022 году ведомство составило 182 протокола о нарушении обработки персональный данных: по ним суды наложили на компании штрафы более чем на 50 млн рублей. В целом в 2022 году Роскомнадзор провел 91 внеплановую проверку компаний в сфере соблюдения законодательства о персональных данных. Из них 78 проводились по признакам утечек персональных данных, в 87% случаях эти утечки подтвердились.