В новой версии пакета антифрод-поправок Минцифры изменило требования к получению бизнесом согласий на обработку персональных данных. Предполагается, что передавать на «Госуслуги» нужно будет не все, а только то, что оговорено в подзаконных нормативных актах. При этом Минцифры решило оставить бизнесу полную свободу в сборе согласий во всех возможных случаях. Бизнес считает, что, по сравнению с предыдущей версией поправок, новые требования реализовать чуть проще
Избыточные данные
Минцифры опубликовало новую версию второго пакета антифрод-поправок на портале для размещения правовой информации. В частности, были скорректированы поправки в закон «О персональных данных».
Напомним, что в первой версии предполагалось создание на портале «Госуслуг» единой платформы управления согласиями на обработку персональных данных. Для этого операторы персональных данных — а это все организации, от корпорации до ИП — должны передавать полученные согласия на обработку персональных данных на «Госуслуги». Для того чтобы передавать согласия, им необходимо подключиться к единой системе идентификации и аутентификации (ЕСИА). С ее помощью на «Госуслугах» каждый человек сможет просматривать и отзывать свои согласия, которые он ранее давал той или иной организации.
В новой версии поправок предполагается, что передавать надо будет не все согласия, а только те, что будут оговорены в подзаконных нормативных актах.
Кроме того, было решено отказаться от идеи разрешить бизнесу брать согласия только в случаях, предусмотренных международным договором России или федеральным законом.
Если законопроект будет принят в текущем виде, новые требования вступят в силу в 2028 году.
В Минцифры отметили, что в действующем законодательстве закреплены общие принципы обработки персональных данных. Они в том числе предусматривают, что обрабатываемые персональные данные не должны быть избыточными, подчеркнули в министерстве. «Нужно напомнить, что версия документа не финальная и еще может корректироваться с учетом предложений заинтересованных ведомств и отрасли», — добавили в Минцифры. Сейчас министерство продолжает прорабатывать дополнительные механизмы, направленные на минимизацию сбора персональных данных.
Издержки для бизнеса
Требование передавать согласия на обработку персональных данных на портал «Госуслуг» обернется для бизнеса необходимостью интеграции с ЕСИА, отметила директор юридического департамента PLAN B Ольга Захарова. Сейчас к ЕСИА подключены только крупные игроки, поэтому малому и среднему бизнесу тоже придется это сделать, добавила она. По словам эксперта, регламент взаимодействия с ЕСИА требует использовать сертифицированные средства криптографической защиты информации (СКЗИ) и обеспечить безопасность инфраструктуры и софта. По мнению Ольги Захаровой, нововведение не столько решает проблему кибермошенничества, сколько вопрос обеспечения безопасности данных в целом.
В реестре Роскомнадзора содержатся сведения о 2,4 млн операторов персональных данных, и каждый из них, включая малый бизнес и ИП, должен подключиться к ЕСИА. А для этого необходимо иметь информационную систему, соответствующую определенным техническим требованиям, и обеспечить должный уровень защиты информации, отметили в Ассоциации больших данных (АБД, объединяет «Яндекс», VK, «Сбер», «Газпромбанк», Т-Банк, Россельхозбанк, «Мегафон», «Ростелеком», Билайн, МТС, ВТБ, «Авито», HeadHunter, Точка Банк). В ассоциации считают, что затраты на реализацию будут существенными.
По мнению АБД, нормы в части создания платформы согласий теперь чуть более реализуемы, чем в предыдущей редакции. При этом ассоциация считает, что нужно предусмотреть конечный перечень случаев, когда на эту платформу необходимо загружать согласия, и установить конкретный перечень информации о согласиях, которая передается на платформу. Кроме того, АБД считает, что нужно отказаться от передачи ранее собранных согласий, большинство из которых имеют бумажную форму, и перевод их в цифровой вид потребует от бизнеса еще больших издержек.
«Цифровой контроль»
«Бизнесу для подключения к ЕСИА нужно инвестировать в соответствующую инфраструктуру. Для операторов это будет определенным вызовом. У крупных компаний уже давно существуют собственные системы управления согласиями, и теперь им придется так или иначе «приземлять» всю эту активность на ЕСИА», — пояснил эксперт по защите персональных данных и соучредитель Regional Privacy Professionals Association (RPPA) Алексей Мунтян. «Каждый год компании и организации получают миллиарды согласий на обработку персональных данных. Это будет большой нагрузкой на ЕСИА и на бизнес. Инвестиции на присоединение к ЕСИА будут заложены в стоимость тех товаров, работ, услуг и сервисов, которые бизнес предоставляет», — добавил он.
Первоначальная редакция законопроекта предусматривала возможность получения согласия на обработку персональных данных только в тех ситуациях, когда это прямо определено законом, например, при обработке биометрических данных, получении согласия на директ-маркетинг (взаимодействие с клиентом через электронную почту, онлайн-рекламу, смс-сообщения, телефонные звонки и др.), рассказал Алексей Мунтян.
По его словам, сейчас бизнес берет согласие в любой непонятной либо сомнительной ситуации с точки зрения обработки персональных данных. Это порождает так называемый культ согласия, пояснил эксперт. «Проблема в том, что согласия часто навязываются, их встраивают в договор, когда человек хочет получить услугу. Заручившись согласием, можно легализовать почти любую обработку персональных данных, в том числе сомнительную. Подобные вещи до сих пор имеют широкое распространение, хотя государство пытается с этим бороться. Роскомнадзор и некоторые эксперты на рынке считают, что необходимо ограничить возможность получать согласие во всех возможных случаях», — рассказал Алексей Мунтян.
Первая редакция законопроекта насторожила многих — из текста следовало, что согласия на обработку персональных данных можно собирать только тогда, когда такая обязанность предусмотрена международным договором или федеральным законом, рассказал управляющий партнер Comply Артем Дмитриев.
«Таких случаев конечное количество. Да, культ согласий следует искоренять, но не так грубо. Иначе могли пострадать и вполне себе безобидные бизнес-процессы. Возможно, именно поэтому разработчик инициативы все же исключил эту норму из новой редакции проекта. И это ключевое изменение для нас по сравнению с первой редакцией», — добавил он.
«В целом второй пакет антифрод-инициатив все больше уводит нас в цифровой контроль, — считает Артем Дмитриев. — Люди смогут видеть в личном кабинете на «Госуслугах» условия обработки их данных и смогут жаловаться в Роскомнадзор через портал, если посчитают, что их права нарушаются. При этом законопроект пока не предлагает какие-либо специальные санкции за отказ от передачи сведений о согласиях в ЕСИА».
Анастасия Гаврилюк
21 октября 2025 года, Forbes.
