Реформирование института согласий на обработку персональных данных
Планируется создание единой платформы по управлению согласиями на обработку персональных данных на базе ГосУслуг
1
Общий обзор законопроекта
Минцифры РФ подготовило проект федерального закона, предлагающий внести ряд изменений, направленных на борьбу с онлайн-мошенничеством. Законопроект также предполагает изменения в регулирование обработки персональных данных (далее - ПДн).
Изначальная редакция законопроекта предполагала радикальное перестраивание института согласий на обработку ПДн. Так, предполагалось, что получать согласия можно будет только в случаях, которые определены законом или международным договором. В дальнейшем Минцифры опубликовало новую редакцию антифрод-поправок (так называемый второй “антифрод-пакет”), из которой убрали это ограничение. Тем не менее, регулятор в последнее время уверенно держит курс на борьбу с “культом” согласий как главного правового основания обработки ПДн.
Изначальная редакция законопроекта предполагала радикальное перестраивание института согласий на обработку ПДн. Так, предполагалось, что получать согласия можно будет только в случаях, которые определены законом или международным договором. В дальнейшем Минцифры опубликовало новую редакцию антифрод-поправок (так называемый второй “антифрод-пакет”), из которой убрали это ограничение. Тем не менее, регулятор в последнее время уверенно держит курс на борьбу с “культом” согласий как главного правового основания обработки ПДн.
Напомним: чтобы начать законно обрабатывать ПДн гражданина, оператор должен иметь на это правовое основание. Таких оснований довольно много: от обработки для исполнения договора до обработки в связи с участием гражданина в судебном процессе (ч. 1 ст. 6 ФЗ «О персональных данных»). В качестве одного из оснований закон предусматривает согласие субъекта ПДн.
2
Как может измениться сбор согласий на обработку ПДн?
Поправки предполагают создание на базе портала “ГосУслуги” единой платформы по управлению согласиями на обработку ПДн. Это позволит гражданам увидеть, какие организации и с какой целью обрабатывают их данные, и, как следствие, более эффективно контролировать личную информацию.
В соответствии с законопроектом согласие можно будет предоставить:
В соответствии с законопроектом согласие можно будет предоставить:
- непосредственно оператору ПДн (как это происходит сейчас) или
- с использованием Единой системы идентификации и аутентификации (ЕСИА) (предлагаемое нововведение).
Порядок и случаи обязательного предоставления согласия с помощью ЕСИА будут определены Правительством РФ и ЦБ РФ (для банков и финансовых организаций). Если в указанных случаях оператор получил согласие непосредственно от субъекта ПДн, он должен будет внести информацию в ЕСИА.
Требование передавать согласия в ЕСИА в случаях, установленных нормативными актами, коснется в том числе и согласий, полученных до вступления закона в силу (в случае принятия законопроекта - с 1 марта 2028 года).
Требование передавать согласия в ЕСИА в случаях, установленных нормативными актами, коснется в том числе и согласий, полученных до вступления закона в силу (в случае принятия законопроекта - с 1 марта 2028 года).
На это указал заместитель руководителя Роскомнадзора Милош Вагнер во время выступления на Евразийском конгрессе по защите данных 2025. Однако пока не ясно, за какой конкретно период необходимо будет предоставить ранее собранные согласия в ЕСИА.
На Роскомнадзор планируется возложить обязанность разработать типовые формы согласий на обработку ПДн, которые могут быть даны с использованием ЕСИА.
С использованием ЕСИА субъект ПДн сможет также:
На Роскомнадзор планируется возложить обязанность разработать типовые формы согласий на обработку ПДн, которые могут быть даны с использованием ЕСИА.
С использованием ЕСИА субъект ПДн сможет также:
- отозвать согласие;
- получить информацию об обработке его ПДн оператором на основании согласия;
- обжаловать действия/бездействия оператора ПДн.
3
Что это может означать для бизнеса?
В случае принятия поправок бизнесу необходимо будет готовиться к подключению к ЕСИА. Процедура подключения может потребовать несения затрат, т.к. нужно будет обеспечить соответствие инфраструктуры оператора ПДн регламенту ЕСИА, в частности, использовать сертифицированные средства криптографической защиты информации (СКЗИ).
В случае, если бизнес на постоянной основе берет большое количество согласий на обработку ПДн, после принятия поправок он может столкнутся с необходимостью переносить их в ЕСИА. Такой процесс представляется трудоемким и затратным, поэтому лучше уже сейчас начать задумываться, как сократить количество получаемых согласий, и исследовать возможность применения иных правовых оснований для обработки персональных данных. Для этого важно пересмотреть процессы обработки ПДн и минимизировать случаи, когда основанием для их обработки выступает согласие субъекта ПДн.
Несмотря на то, что новая редакция антифрод-поправок не ограничивает свободу оператора брать согласия, перспектива выгружать в ЕСИА согласия, полученные до вступления закона в силу, представляется достаточно обременительной для операторов.
4
Заключение
Второй “антифрод-пакет” предполагает значимые изменения в регулирование ПДн и, в случае его принятия, потребует от бизнеса пересмотра своей деятельности по обработке ПДн.
Юристы ЦПО групп помогут привести бизнес-процессы в соответствие с требованиями законодательства и минимизировать риски.
Петрова Дарья Владимировна
Руководитель практики «Информационные технологии и защита данных»
+7 (812) 603-45-25 (доб.334)
E-mail: cpo2@pravorf.ru
+7 (812) 603-45-25 (доб.334)
E-mail: cpo2@pravorf.ru
Юридическая поддержка в соблюдении требований законодательства о персональных данных
Функции ответственного за организацию обработки персональных данных (DPO), минимизация финансовых рисков, разработка пакета документов, четкие инструкции для команды (процедуры и контроль). Результат: проактивное соответствие
Читайте в разделе Персональные данные (152-ФЗ)
-
Новости ЦПО ГРУПП14.08.2025 -
Персональные данные (152-ФЗ)02.07.2025
Получить консультацию
Спасибо! Ваше сообщение получено
