В России предлагают отказаться от концепции согласий на обработку персональных данных и перейти к единым отраслевым стандартам сбора информации о пользователях. Эксперты отмечают, что при этом важно пересмотреть правила сбора “формальных” согласий.

Глава Роскомнадзора Андрей Липов отметил необходимость пересмотреть механизм работы бизнеса с согласиями на обработку персональных данных россиян. “Механизм согласий был эффективен на заре появления закона об обработке персональных данных. Мы приходили в компанию, она предлагала нам подписать согласие на обработку данных. И сегодня мало кто помнит, где какие согласия давал. А главное, если у нас с вами возникнут какие-то сомнения по поводу того, насколько эти согласия мы правомерно дали или у нас правомерно взяли, обычным гражданам это крайне сложно отыграть назад”, – рассказал Липов.

В ведомстве предлагают заменить эту систему едиными стандартами, которые создадут прозрачные правила обработки персональных данных пользователей.

В Ассоциации больших данных (АБД) поясняют, что для стандартизации согласия нужно стандартизировать процессы всех компаний, что невозможно, так как обработка персональных данных – это надстройка над реальными бизнес-процессами, и она не существует отдельно. “На наш взгляд, для решения проблемы с избыточным сбором согласий важно дать бизнесу более разнообразную палитру правовых оснований, включая законный интерес. Существенная часть действительно формальных согласий уйдет, когда будут работать другие основания”, – отмечают в АБД.

Кроме этого, добавляют в ассоциации, важно установить баланс между законными правами, интересами работников и работодателей и сократить сбор лишних, чаще всего “неинформированных”, но по существу неизбежных в рамках трудовых отношений согласий на обработку персональных данных.

Алексей Коробченко, начальник отдела по информационной безопасности компании “Код Безопасности”, отмечает, что многое зависит от того, насколько глубоко будут проработаны отраслевые стандарты, поскольку всегда есть риск сохранения “серых зон”. Это позволит компаниям находить лазейки, и, как следствие, у пользователей будет меньше возможностей контролировать свои персональные данные.

“Сама по себе идея создания стандартов сбора персональных данных на уровне единого отраслевого регулятора весьма логична. Главное, чтобы при проработке изменений были учтены все нюансы работы в каждой отдельной отрасли”, – поясняет эксперт.

Он добавляет, что уже есть такие примеры, которые можно назвать ориентиром в сфере. Например, государственную медицину в Москве с единым порталом или успешный опыт портала “Госуслуги”, которая уже представляет собой готовую единую платформу для агрегации персональных данных пользователей.

“Отказ от формальных согласий не гарантирует ни роста, ни сокращения объема обрабатываемых персональных данных. Итог зависит от содержания отраслевых стандартов. Если стандарты четко закрепят минимально необходимый состав данных, цели и ограниченные сроки хранения, это может снизить “сверхсбор” и улучшит управляемость обработки”, – говорит руководитель группы по обеспечению информационной безопасности облачной платформы K2 Cloud Александр Лугов.

Если же стандарты окажутся расплывчатыми, то возрастут риски избыточного сбора и длительного хранения, обращает внимание эксперт, что косвенно может увеличить вероятность компрометации данных. Требования к защите персональных данных продолжают действовать вне зависимости от механизма согласий.