Россияне смогут предоставлять организации или отзывать у нее согласие на обработку своих персональных данных не только через «Госуслуги», как предполагалось ранее, но и напрямую, следует из новой версии антимошеннических поправок. Если бы «Госуслуги» стали единственной платформой, где можно управлять согласиями на обработку персональных данных, то это фактически переложило бы на бизнес все административные издержки, говорят участники рынка
«Станет прозрачнее»
Россияне смогут давать согласие на обработку своих персональных данных не только через «Госуслуги», как предусматривала предыдущая версия второго пакета антимошеннических поправок. Теперь поправки в закон «О персональных данных» предлагают альтернативу: человек может дать согласие на обработку личной информации или отозвать его напрямую у компании, или же с помощью «Госуслуг».Кроме того, согласно законопроекту, на «Госуслуги» будет передаваться информация об обработке персональных данных, в том числе «посредством интернета». Перечень такой информации установит правительство.
Как рассказали в Минцифры, планируется, что у пользователей «Госуслуг» появится возможность видеть свое согласие, которое они дали не только на сайте, но и, например, на бумаге. «Предполагаем, что за счет инициативы процесс обработки данных станет прозрачнее, гражданин сможет видеть, кто, зачем и какие его данные обрабатывает, а при необходимости сможет отозвать их в личном кабинете», — добавили в министерстве. Это предварительная версия документа, которая может быть изменена в процессе межведомственного согласования, подчеркнули в Минцифры.
В ЦБ поддерживают позицию Минцифры — это позволит повысить эффективность защиты прав граждан, говорят в Центробанке. «Человеку будет понятно, кто и на каком основании обрабатывает его данные при оказании финансовых услуг, кроме того, он сможет своевременно отозвать неактуальные согласия», — замечают в ЦБ.
По Роскомнадзора, в настоящее время в России 2 392 801 операторов персональных данных.
По согласию или без
По мнению генерального директора Института исследований интернета (ИИИ) Карена Казаряна, вопрос согласия на обработку персональных данных затрагивает очень широкую сферу взаимодействия людей и бизнеса. «Здесь не обойтись небольшими поправками в рамках антимошеннического пакета. Документ нуждается в доработке и, в идеале, — в вынесении из антимошеннических поправок в отдельный законопроект», — уверен Казарян.Передача на «Госуслуги» информации о согласиях может привести к тому, что государственный сервис просто не справится с нагрузкой, так как речь идет о миллиардах согласий в год, обращает внимание он. «Даже небольшие интернет-ресурсы, не собирая идентификационную информацию (только IP-адрес посетителя), предоставляют ему форму согласия на обработку персональных данных», — добавил эксперт.
Информация об обработке персональных данных — это, по сути, констатация факта, что организация их обрабатывает, и не обязательно по согласию, поясняет Казарян. «Часто те же интернет-ресурсы не берут согласие на обработку персональных данных на все цели, а только, например, в целях маркетинга. Тогда как закон «О персональных данных» требует брать согласие на каждую цель обработки отдельно», — добавил он.
Первая версия законопроекта, которая появилась весной, предполагала эксклюзивный вариант получения согласия на обработку персональных данных только через портал госуслуг. «По ней организация не могла непосредственно получать согласие у человека, — говорит эксперт по защите персональных данных и соучредитель Regional Privacy Professionals Association (RPPA) Алексей Мунтян. — В актуальной версии эту норму поправили. Было много обсуждений и возражений по поводу того, что невозможно миллионы операторов приземлить на «Госуслуги» и через них собирать миллиарды согласий каждый год. Это была бы монополизация «Госуслугами» всего процесса сбора и управления согласиями на обработку персональных данных», — добавил он.
В новой версии речь идет о том, что в некоторых случаях, которые определит правительство, использование «Госуслуг» будет обязательным для фиксации факта получения согласия. Но более важная, по мнению эксперта, поправка предполагает, что в случае сбора персональных данных с помощью интернета операторам персональных данных все равно нужно будет сообщать об этом «Госуслугам». «Это требование может затронуть большое количество компаний. В России несколько миллионов интернет-ресурсов, многие из них принадлежат среднему и малому бизнесу. Это потребует много временных и организационных затрат от владельцев этих ресурсов — нужна интеграция с «Госуслугами» и постоянная передача данных на портал», — говорит Мунтян.
«Значительные затраты»
По сравнению с первой версией текст «стал лучше»: у граждан появилась альтернатива — давать согласие через «Госуслуги» или напрямую организации, считают в Ассоциации больших данных (АБД, объединяет «Яндекс», VK, «Сбер», Газпромбанк, Т-Банк, Россельхозбанк, «Мегафон», «Ростелеком», билайн, МТС, ВТБ, Avito, HeadHunter, Центр стратегических разработок, Аналитический центр при правительстве). При этом там подчеркивают, что организационно-техническая нагрузка на операторов в связи с передачей согласий на «Госуслуги», скорее всего, увеличится. Если бы «Госуслуги» стали единственной платформой, где можно управлять согласиями на обработку персональных данных, то это фактически переложило бы на бизнес все административные издержки: сбор, учет и администрирование согласий, а также организацию взаимодействия с «Госуслугами», отметили в АБД: «Это потребовало бы значительных затрат как от бизнеса, так и от государства».У АБД, впрочем, вызывает опасения прописанная в новой версии обязанность передавать на «Госуслуги» информацию именно об обработке персональных данных, а не о согласиях. «Например, отклик на резюме не всегда влечет наем, и без согласия обрабатывать данные кандидата нельзя. Роскомнадзор и Минцифры указывают, что согласие необходимо, если резюме отправлено напрямую, а не размещено в открытом доступе», — пояснили в ассоциации, подчеркнув, что передавать на «Госуслуги» информацию об обработке, а не о согласии, избыточно. «Если и вводить подобное регулирование, то целесообразно ограничиться передачей на «Госуслуги» только отдельных согласий, а не всей информации об обработке персональных данных», — заключили в АБД.
