Законодательством в области персональных данных установлено, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей.
Часть 2 статьи 5 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Вместе с тем операторы, осуществляющие обработку персональных данных, часто собирают данные в отсутствие такой необходимости или в большем объёме, чем это необходимо для целей их обработки. Сбор персональных данных, несовместимых с заявленными целями обработки, представляет собой существенное нарушение принципов защиты персональных данных, определённых законодательством в области персональных данных. Это деяние может привести к нарушению прав граждан на конфиденциальность чувствительной информации, а также создать условия для её незаконного использования или распространения, что может квалифицироваться как административное правонарушение, за совершение которого установлена ответственность.
Статья 5 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Вместе с тем установление в документе, определяющем политику оператора в отношении обработки персональных данных, или локальных актах по вопросам обработки персональных данных максимального перечня обрабатываемых персональных данных является распространённой практикой.
Так, например, зачастую указывается, что организацией запрашивается и собирается следующая информация: имя, фамилия, адрес электронной почты, дата рождения, адрес, номер телефона, фотография профиля, изображение удостоверения личности государственного образца, паспорта, национального удостоверения личности, водительского удостоверения, иная идентификационная информация, информация о банковском счёте или карте, информация об общении клиента, информация о номерах мобильных телефонов из адресной книги мобильного устройства. Кроме того, по собственной инициативе пользователь сервисов может предоставить информацию о своём поле, предпочтительных языках общения, городе и рассказ о себе, а автоматически организация собирает информацию о местоположении, в том числе IP-адрес или данные GPS-датчика на мобильном устройстве, статистику использования сервисов, данные журнала и информацию о мобильном устройстве и прочее.
Между тем наличие такого объёма информации может стать причиной злоупотреблений со стороны как недобросовестного владельца, так и злоумышленников. В связи с этим для обеспечения принципа недопустимости избыточности такой информации представляется целесообразным ограничение объёма обрабатываемых операторами персональных данных посредством установления в законодательстве запрета для операторов требовать персональные данные в большем объёме, чем это необходимо для исполнения конкретной сделки, с учетом цели использования обрабатываемых данных.
Кроме того, статья, устанавливающая ответственность за нарушение законодательства в области персональных данных, предусматривает ответственность при сборе информации, несовместимой с целями обработки.
Статья 13.11 Кодекса Российской Федерации об административных правонарушениях.
Однако в Федеральном законе от 27 июля 2006 г. № 152‑ФЗ «О персональных данных» принципы несовместимости и избыточности разделены. Представляется, что таким образом законодатель хотел подчеркнуть различие несовместимой информации от избыточной, так как избыточность не всегда подразумевает несовместимость.
Части 2, 5 статьи 5 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
В связи с этим в Кодексе Российской Федерации об административных правонарушениях представляется целесообразным закрепить отдельную норму, предусматривающую ответственность за обработку персональных данных в большем объёме, чем требуется для исполнения сделки, – избыточных персональных данных.
Важным также видится категоризация в законодательстве в области персональных данных как операторов, осуществляющих обработку персональных данных, так и самих данных. Кроме того, действенным способом борьбы со сбором избыточных персональных данных может стать утверждение федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства в области персональных данных, нормативных правовых актов, содержащих перечень разрешённых для сбора персональных данных по целевому и отраслевому признакам.
Введение таких нормативных правовых актов позволит чётко определить, какие именно данные могут собираться в зависимости от конкретных целей обработки и отраслевой принадлежности оператора. Это будет способствовать снижению риска злоупотребления персональными данными и обеспечению большей защиты прав субъектов персональных данных. Например, для операторов, занимающихся медицинскими услугами, для сбора будут доступны одни персональные данные, а для операторов, предоставляющих финансовые услуги, — другие.