Скорое будущее privacy-регулирования

Российская система регулирования персональных данных вступает в этап технологического переосмысления. Грядущие изменения предзнаменуют собой общую тенденцию к централизации: регулирование персональных данных становится частью инфраструктуры государственного управления, а взаимодействие бизнеса и граждан унифицируется через государственные интерфейсы. Что нас ждет — «заплаточный ремонт» или реновация privacy-регулирования, объясняет управляющий партнер Comply Артем Дмитриев.

Выйти из полноэкранного режима

Развернуть на весь экран

Проект «Антифрод-2» (пилотный проект для борьбы с кибермошенничеством, предполагающий взаимодействие госорганов, банков и операторов связи.— “Ъ”) уточняет порядок получения и управления согласиями на обработку персональных данных. Сейчас он на этапе оценки регулирующего воздействия перед дальнейшим его внесением в Государственную думу.

В новой редакции проекта законодатель хоть и исключил оговорку о сборе согласий только в случаях, прямо предусмотренных законом или международным договором, но существенно обновил требования к их учету, управлению и контролю. Так, предполагается, что управление согласиями будет осуществляться через Единую систему идентификации и аутентификации (ЕСИА), включая их предоставление и отзыв. Граждане получат возможность видеть сведения об обработке их персональных данных на основании согласий в личном кабинете «Госуслуг».

В проект также внесено положение о передаче в ЕСИА сведений о предоставлении или отзыве и тех согласий, которые получены оператором без ЕСИА непосредственно от субъекта. Это сделает ЕСИА единым реестром согласий, а регулятор получает инструмент перманентного мониторинга. Передавать в ЕСИА сведения о согласиях нужно будет только в случаях, установленных правительством РФ. Граждане смогут управлять согласиями через ЕСИА с 1 марта 2028 года, а бизнес будет обязан передать сведения о согласиях не позднее 1 сентября того же года.

Для бизнеса такая драматичная модернизация системы работы с согласиями повлечет неотвратимый рост операционных затрат. Кроме того, из-за борьбы Роскомнадзора с культом согласий потребуется и пересмотр оснований обработки персональных данных (далее — ПД), ведь скоро действия операторов станут видимы субъектам и контролирующим органам в режиме реального времени. Простота управления согласиями позволит субъекту свободно давать или отзывать свои согласия, а Роскомнадзору — отслеживать нарушения. Другими словами, согласия подорожают как в части стоимости получения и управления, так и в части риск-нагрузки. Поэтому переход к более устойчивым правовым основаниям — исполнению договора, выполнению обязанностей по закону или реализации законного интереса — видится более целесообразным.

Роскомнадзор уже приступил к подготовке отраслевых стандартов работы с ПД. Первые стандарты будут разработаны для сфер образования, ЖКХ, здравоохранения и туризма, где «обработка данных критична для оказания услуг и затрагивает массового потребителя». В создании стандартов примут участие отраслевые ведомства — Минцифры, Минэкономразвития и другие, частично опирающиеся в их разработке на положения Распоряжения правительства №2207-р. В этих документах планируется зафиксировать типовые цели и категории данных, правовые основания, рекомендуемые сроки хранения и условия передачи третьим лицам — по сути, речь идет о прикладной интерпретации требований 152-ФЗ «О персональных данных» для типовых бизнес-сценариев.

В отличие от федеральных законов, стандарты могут стать эффективным элементом «мягкого права» — понятными и структурированными ориентирами, на которые компании смогут опираться при построении своих бизнес-процессов. Несмотря на возможный рост операционных затрат в связи с перестройкой бизнес-процессов, в будущем следование стандарту может стать, например, смягчающим обстоятельством в разбирательствах по ст. 13.11 КоАП как явное подтверждение privacy-совестливости.

Параллельно продолжается обсуждение создания института специальных операторов ПД. Предполагалось, что они станут надежным звеном доверия, обеспечивающим высокий уровень защищенности ПД и единый технический контур для критичных сегментов обработки, однако на практике механизм пока продвигается крайне медленно. Среди основных причин промедления — неясность, каким именно образом спецоператору следует окупать инфраструктуру и сервисы и выстраивать тарифы, а также отсутствие понимания границ зоны рисков компании и спецоператора. Сегодня вопрос о создании вышеуказанного института обсуждается на уровне правительства с участием представителей отрасли, однако до выработки работоспособной модели еще далеко: задача слишком амбициозна, а рынок, кажется, пока не готов к принудительному перераспределению функций и рисков. Перспективным решением может стать добровольная модель делегирования обработки спецоператору с понятными принципами распределения ответственности за данные. В таком формате институт спецоператоров может заработать полноценно, не став дополнительным тяжелым обременением для рынка.

Совокупность обозначенных инициатив демонстрирует устойчивую тенденцию: регулирование персональных данных смещается от формального комплаенса к реальной защите прав физических лиц. Основные признаки этого перехода — закрепление роли государства как технического посредника при подтверждении законности обработки, формирование единого цифрового контура согласий и обращений субъектов и переход от декларативных норм к отраслевым рекомендациям, отражающим реальные бизнес-процессы.