Как частным компаниям Узбекистана соблюдать законодательство о персональных данных

Целью настоящей заметки является попытка обратить внимание частных компаний, реализующих свои услуги (работы, товары) посредством электронной коммерции, вопросам соблюдения цифровых прав граждан посредством отражения соответствующих положений в публичных офертах и других документах, с которыми пользователь должен ознакомиться перед получением услуг (работ, товаров).

После 2020 года, благодаря пандемии, электронная коммерция в Узбекистане получила бурный рост. Например, в исследовании, проведенном в 2023 году KPMG, в 2020 году рынок электронной коммерции в Узбекистане достиг показателя в 150 миллионов долларов США (2022 год – 311 млн. долл. США). Данный результат выше показателя 2018 г. (66 млн. долл. США) в 2,5 раза, что подтверждает, по мнению KPMG, позицию Узбекистана как самого быстрорастущего рынка электронной коммерции в Центральной Азии.

При этом необходимо понимать, что бурное развитие электронной коммерции приводит к экспоненциальному росту сбора, хранения, обработки, передачи третьим лицам персональных данных граждан, которые необходимы для оказания услуг компаниями в области электронной коммерции. Наши персональные данные собираются практически любым сайтом, приложением или иным сервисом, в котором необходимо регистрироваться для получения услуг.

В этой связи нас в процессе развития электронной коммерции интересует вопрос необходимого уровня соблюдения цифровых прав граждан в целом, и в частности вопросов должного уровня работы с персональными данными, их утечек, предотвращения мошенничества, связанного с незаконной передачей персональных данных граждан и других вопросов незаконного использования персональными данными.

Полагаем, что практически все компании, работающие в сети интернет, содержат на своих сайтах пользовательские соглашения. Эти пользовательские соглашения в большей или меньшей степени содержат в себе политики конфиденциальности, порядок обработки персональных данных и другие положения, предусмотренные законодательством о персональных данных. Однако очень сложно оценить, насколько эффективны эти документы и насколько эффективно они применяются в повседневной жизни.

Однако, мы считаем, исходя из опыта как развитых, так и развивающихся стран, а также имеющейся информации об утечках персональных данных в Республике Узбекистан, что вопросам законного сбора, хранения, обработки персональных данных граждан субъектами электронной коммерции необходимо уделять большее внимание.

На текущий момент в Республике Узбекистан не было проведено широкомасштабных исследований на предмет соответствия публичных оферт игроков рынка электронной коммерции законодательству Республики Узбекистан в области персональных данных, электронной коммерции и т.п.

На основании изложенного хотели бы озвучить общие предложения для субъектов электронной коммерции в области сбора, хранения и обработки персональных данных:

1. Открытые документы субъектов электронной коммерции обычно написаны сложным для восприятия юридическим языком, могут составлять более 50 страниц мелким шрифтом, и на практике очень малое количество пользователей перед началом пользования электронным сервисом ознакамливаются с положениями этих документов. Поэтому предлагается, чтобы кроме основных документов (публичная оферта, соглашение о конфиденциальности, соглашение об обработке персональных данных и др.) на сайте (или в приложении) была размещена отдельная страница, на которой информация из документов будет представлена в более простой и доступной для обычного пользователя форме. Это может быть сделано в форме наиболее частых вопросов и ответов, или в виде документа с вопросами, которые могут возникнуть у пользователя с краткими и понятными ответами на них, при необходимости со ссылками на соответствующие пункты документов.
2. Публиковать документы в таком разделе сайта (или приложения), чтобы пользователь мог легко найти документы.
3. Предусмотреть в своих документах и обеспечить соблюдение порядка удаления персональных данных пользователей после удаления самим пользователем своей учетной записи в сервисе.
4. Предусмотреть в своих документах понятный порядок изменения персональных данных пользователей.
5. Подробно раскрывать информацию: о видах собираемых персональных данных, способе сбора данных о пользователях, сроке хранения, процедуре изменения и уничтожения пользовательских данных, предоставлять пользователям возможность запросить и получить информацию о собранных субъектом предпринимательства персональных данных, а также предусмотреть процедуру уведомления пользователей о факте утечки их персональных данных.
6. Вести архив всех предыдущих версий документов (политики конфиденциальности и пользовательского соглашения), чтобы пользователи могли отслеживать изменения.
7. Уведомлять о введении в действие изменений в документы, или принятии их новых версий. Способы могут быть разные, например, всплывающее уведомление на сайте (или приложении), отправка смс сообщений или сообщений на электронную почту, с указанием краткой сути вносимых в документы изменений.
8. Позволять пользователям контролировать использование их данных в целевой рекламе, предоставляя возможность выбора, чтобы не отслеживать их.

Илхом Хамидов, медиа юрист, специалист по цифровым правам