Глава Роскомнадзора Андрей Липов отметил необходимость пересмотреть механизм работы бизнеса с согласиями на обработку персональных данных россиян. "Механизм согласий был эффективен на заре появления закона об обработке персональных данных. Мы приходили в компанию, она предлагала нам подписать согласие на обработку данных. И сегодня мало кто помнит, где какие согласия давал. А главное, если у нас с вами возникнут какие-то сомнения по поводу того, насколько эти согласия мы правомерно дали или у нас правомерно взяли, обычным гражданам это крайне сложно отыграть назад", - рассказал Липов.
В ведомстве предлагают заменить эту систему едиными стандартами, которые создадут прозрачные правила обработки персональных данных пользователей.
В Ассоциации больших данных (АБД) поясняют, что для стандартизации согласия нужно стандартизировать процессы всех компаний, что невозможно, так как обработка персональных данных - это надстройка над реальными бизнес-процессами, и она не существует отдельно. "На наш взгляд, для решения проблемы с избыточным сбором согласий важно дать бизнесу более разнообразную палитру правовых оснований, включая законный интерес. Существенная часть действительно формальных согласий уйдет, когда будут работать другие основания", - отмечают в АБД.
Кроме этого, добавляют в ассоциации, важно установить баланс между законными правами, интересами работников и работодателей и сократить сбор лишних, чаще всего "неинформированных", но по существу неизбежных в рамках трудовых отношений согласий на обработку персональных данных.
Алексей Коробченко, начальник отдела по информационной безопасности компании "Код Безопасности", отмечает, что многое зависит от того, насколько глубоко будут проработаны отраслевые стандарты, поскольку всегда есть риск сохранения "серых зон". Это позволит компаниям находить лазейки, и, как следствие, у пользователей будет меньше возможностей контролировать свои персональные данные.
"Сама по себе идея создания стандартов сбора персональных данных на уровне единого отраслевого регулятора весьма логична. Главное, чтобы при проработке изменений были учтены все нюансы работы в каждой отдельной отрасли", - поясняет эксперт.
Он добавляет, что уже есть такие примеры, которые можно назвать ориентиром в сфере. Например, государственную медицину в Москве с единым порталом или успешный опыт портала "Госуслуги", которая уже представляет собой готовую единую платформу для агрегации персональных данных пользователей.
"Отказ от формальных согласий не гарантирует ни роста, ни сокращения объема обрабатываемых персональных данных. Итог зависит от содержания отраслевых стандартов. Если стандарты четко закрепят минимально необходимый состав данных, цели и ограниченные сроки хранения, это может снизить "сверхсбор" и улучшит управляемость обработки", - говорит руководитель группы по обеспечению информационной безопасности облачной платформы K2 Cloud Александр Лугов.
Если же стандарты окажутся расплывчатыми, то возрастут риски избыточного сбора и длительного хранения, обращает внимание эксперт, что косвенно может увеличить вероятность компрометации данных. Требования к защите персональных данных продолжают действовать вне зависимости от механизма согласий.
Также Андрей Липов рассказал о снижении числа утечек персональных данных в России. По его словам, в 2024 году было зафиксировано 135 фактов утечек, которые затронули 710 млн записей. В 2025 году по состоянию на середину ноября - 103 факта, 50 млн записей.
Ранее стало известно, что большая часть российских компаний не выполняет требования закона о защите персональных данных. Согласно исследованию К2Тех, только 30% респондентов заявили, что их компании соответствуют установленным регуляторами требованиям: актуализируют политику безопасности, проводят регулярный аудит персональной информации и обновляют средства защиты с учетом необходимости обезличивания данных.
Больше половины компаний при выборе продуктов для защиты данных обращают внимание на сертификации ФСТЭК. При этом закон обязывает использовать исключительно сертифицированные решения для объектов критической информационной инфраструктуры. Это широкий список отраслей: энергетика, транспорт, IT и телеком, финансовый сектор, здравоохранение и образование. Для всех остальных прямого требования нет, но если компания не использует средства защиты, ей нужно будет самостоятельно оценивать соответствие требованиям.