Бизнесу запретят автоматическое создание клиентских профайлов на основе персданных

Операторам персональных данных граждан (ПД) могут запретить собирать профили клиентов, т. е. автоматически обрабатывать ПД с целью анализа личности и предугадывания интересов, предпочтений и поведения людей без отдельного на то согласия. Это означает, что коммерческие банки, операторы связи, маркетплейсы и т.д. не смогут собирать данные из разных источников без ведома клиентов. 

Такая мера предусмотрена новым законопроектом по противодействию мошенничеству, который подготовило Минцифры во исполнение поручения вице-премьера Дмитрия Григоренко. Законопроект есть в распоряжении «Ведомостей», подлинность документа подтвердили источник в правительстве и два источника в компаниях телекомрынка. Наказание за нарушение этого запрета пока в законопроекте не предусмотрено.

Поправки планируют внести в ст.5 №152-ФЗ «О персональных данных», и тогда бизнесу придётся получать отдельное согласие клиента для осуществления вышеуказанных действий.

Авторы законопроекта уточняют, что мера направлена на борьюу с IT-мошенничеством, следует из пояснительной записки. Согласно документу, по данным МВД, в 2024 г. было зарегистрировано 380 300 преступлений, предусмотренных ст. 159 (мошенничество), ст. 159.3 (мошенничество с использованием электронных средств платежа) и ст. 159.6 (мошенничество в сфере компьютерной информации) УК РФ. Это на 6,8% больше, чем в 2023 г. В результате был причинен материальный ущерб в размере 188,7 млрд руб. – на 38,2% больше, чем в 2023 г.

Сейчас «второй пакет» мер по борьбе с мошенниками находится на межведомственном согласовании и может меняться с учетом предложений ведомств и отрасли, уточнил представитель аппарата Григоренко. Законопроект еще не поступал на площадку аппарата правительства, в связи с этим преждевременно говорить о конкретных мерах, сказал он.

Согласно документу, пользователи смогут направить согласие на обработку данных непосредственно оператору или через Единую систему идентификации и аутентификации (ЕСИА). Кроме того, оператор будет обязан передавать в ЕСИА информацию о любых фактах обработки личных данных клиентов, взятых из разных источников.

Из поправок следует, что обработка персональных данных должна быть ограничена конкретными целями — рассмотрением заявки на кредит или заключением сделки – не больше, сказала гендиректор юридической компании Enterprise Legal Solutions Анна Барабаш. При этом похожее требование уже содержится в текущей версии закона «О персональных данных», отметила она.

Новый законопроект значительно усложнит ситуацию для бизнеса и пользователей, поскольку фактически вводится запрет на автоматизированный профайлинг, усиливается контроль через ЕСИА, устанавливается строгий порядок обработки ПД, подчеркнул источник «Ведомостей» в телекомкомпании. Как говорит собеседник, это негативно скажется на крупных технологических компаниях, финансовых структурах и рекламных платформах, вложивших значительные средства в системы скоринга и персонализации.