Только по делу: Роскомнадзор ограничит сбор персональных данных компаниями

Роскомнадзор (РКН) выступил с инициативой разработать шаблоны для стандартизации сбора персональных данных (ПД) по отраслям и провести ревизию правовых оснований для их обработки. Об этом сообщил заместитель руководителя службы Милош Вагнер в ходе дискуссии «Развитие законодательного регулирования в области информационной безопасности», прошедшей в Госдуме 25 ноября.

Инициатива связана с обсуждением законопроекта об оборотных штрафах за утечки данных, который планируется принять во втором чтении 26 ноября.

Инициативы Роскомнадзора

Вагнер отметил, что законопроект не предполагает введения новых требований для операторов данных. «Законопроект требует соблюдать то, что ты и так должен соблюдать», — сообщил он, комментируя заявления представителей бизнеса о том, что они не успеют подготовиться к вступлению в силу закона, если он будет принят уже завтра.

Также заместитель руководителя РКН отметил, что согласия на обработку персональных данных сегодня запрашиваются повсеместно, но в большинстве случаев решение субъекта данных не играет роли. По его словам, необходимо провести ревизию правовых оснований для сбора данных. Вагнер уточнил, что следует определить, в каких случаях согласие действительно требуется, когда оно имеет значение для человека, а когда является недобровольным решением в интересах оператора. Это, как он подчеркнул, приводит к непропорциональному сбору данных в интересах организаций.

Вагнер также предложил стандартизировать подходы к сбору данных. Он напомнил, что закон «О персональных данных» уже предусматривает обязательность соблюдения принципов работы с информацией, таких как целеполагание и удаление по достижении цели. Однако эти принципы, как он отметил, часто нарушаются. Поэтому было бы правильно рассмотреть возможность стандартизации работы с данными по отраслям совместно с профильными министерствами. Ведомствам, по его мнению, стоит разработать шаблоны, которые исключили бы там, где это не нужно, согласие субъекта. Это позволило бы избежать избыточного накопления данных и снизить риски их утечки.

История вопроса

Роскомнадзор уже высказывался о проблемах в области обработки персональных данных. Летом 2024 года на Петербургском международном юридическом форуме Милош Вагнер предложил внедрить механизм отзыва согласия на обработку данных «в один клик». Тогда он отметил, что граждане зачастую не осознают последствий предоставления данных и соглашаются на их обработку без анализа условий, изложенных в длинных пользовательских соглашениях.

Кроме того, в июле 2024 года сенаторы Андрей Клишас и Ирина Рукавишникова совместно с Александром Хинштейном внесли законопроект, запрещающий банкам, маркетплейсам и любым другим онлайн-площадкам ограничивать доступ потребителя к информации, если тот отказался предоставлять ПД. В конце октября законопроект был принят в первом чтении.

Практика показывает, что согласие на обработку персональных данных в его текущей форме часто утрачивает свою практическую значимость, указывают специалисты. Согласно Федеральному закону № 152 «О персональных данных», обработка данных допускается на основании требований законодательства или при наличии информированного согласия субъекта. Фактически согласие необходимо в том случае, когда закон требует этого напрямую. К таким случаям относятся разрешение на распространение персональных данных, обработка специальных категорий или биометрической информации, трансграничная передача данных в страны с недостаточным уровнем защиты, перечень которых ведёт Роскомнадзор, а также передача данных другому оператору для целей, не предусмотренных действующими договорами или законами. Кроме того, согласие может потребоваться при заключении соглашений, которые не подпадают под действие других регламентирующих норм.

При этом эксперты отмечают, что современные цифровые платформы строят свою работу на обработке персональной информации. Чтобы обеспечить корректную работу сервисов, необходимо учитывать историю действий пользователей, персонализировать предложения и связывать аккаунты с запросами. Однако при отказе пользователя от предоставления согласия такие процессы становятся затруднительными. Многие компании, как указывают специалисты, предпочитают ограничивать доступ к своим услугам для тех, кто не согласен на обработку данных, вместо того чтобы адаптировать системы для работы с разными группами пользователей.