В 7 утра по Москве 31 октября 2025 года на сайте Российской газеты и почти одновременно на сайте Интерфакса появляются новости:
"Роскомнадзор предложил отказаться от согласий на обработку персональных данных" - rg.ru
"Глава РКН заявил о необходимости отказаться от согласий на обработку персональных данных" - www.interfax.ru
Следом начинают это сообщение активно распространять другие СМИ. А в профильных каналах и чатах началось обсуждение экспертами этой идеи. Мнения экспертов можно свести к фразам:
- "неожиданно РКН решили координально изменить суть закона",
- "давно пора, тем более уже про это раньше говорили",
- "согласия должны давать не люди, а госорганы", "по аналогии с правами на вождение: есть права, рули, но не нарушай, нет прав, а ты взялся рулить, тюрьма".
В этой статье разберу заблуждения, которые встречаются при обсуждении этой инициативы.
"Механизм согласий был эффективен на заре появления закона"
СМИ приписывают эту мысль главе Роскомнадзора Андрею Липову. Эта мысль не совсем верна. Причина появления "механизма согласий" как и закона о персданных не была связана с анализом эффективности защиты данных или прав людей, а стала результатом стремления России к интеграции в европейское правовое и экономическое пространство, включая ВТО и Совет Европы.
Россия ратифицировала Конвенцию Совета Европы №108 от 1981 года о защите физических лиц при автоматизированной обработке персональных данных.
Для соответствия требованиям Конвенции требовалось создать национальную правовую базу по защите ПДн. Без этого была невозможна свободная передача данных из стран ЕС в Россию — критически важный вопрос для бизнеса. Таким образом, 152-ФЗ (со всеми механизмами согласий и т.п.) был ответом на условия со стороны Европы и необходимость обеспечить "адекватный уровень защиты" данных, такой же как в Европе.
Откуда появилась идея отказа от согласий?
В октябре 2023 года на официальном канале Роскомнадзора была новость о заседании Общественного совета Роскомнадзора, на котором
"доцент кафедры предпринимательского права, руководитель Центра азиатских правовых исследований Юридического факультета МГУ им. М.В. Ломоносова Александр Молотников рассказал о защите персональных данных граждан в Китае. "
В частности на этом заседании присутствовал и Андрей Липов:
Доклад прокомментировал руководитель Роскомнадзора Андрей Липов: «Новелла в китайском регулировании — отказ от согласия на обработку персональных данных. Если предприятие планирует обрабатывать данные, оно обязано получить согласие государства, а не каждого гражданина. И уже государство проверяет, соотносятся ли собираемые данные с заявленными предприятием целями. Возможно, нам тоже стоит задуматься о такой практике. Гражданин сейчас должен согласиться с тем, что его данные будут обрабатываться. Количество данных каждым человеком согласий множится ежедневно. Но насколько он в состоянии оценить возможные последствия во всех случаях?»
То есть, идея отказа от согласий пришла из Китая? Ввели согласия, чтобы быть ближе к Европе, а теперь отменяем, чтобы было как в Китае?
Что же такого нового придумали в Китае?
Хорошо, думаю я, надо почитать текст китайского закона о персональных данных. Нашёл предположительный первоисточник:
Воспользовался переводчиком в браузере и даже попробовал несколько разных вариантов... И тут открылось очень интересное обстоятельство! Два разных браузера законом о персональных данных называли два разных документа!
Один из законов (от 20 августа 2021 года) очень похож по смыслу на наш 152-ФЗ, а второй (от 10 июня 2021 года) сильно отличается.
Два ключевых закона Китая, регулирующих обработку данных:
- Закон о защите персональных данных (PIPL) — принят 20 августа 2021 года, вступил в силу 1 ноября 2021 года.
- Закон о безопасности данных (DSL) — принят 10 июня 2021 года, вступил в силу 1 сентября 2021 года.
Эти законы тесно связаны, но имеют разные цели, объекты регулирования и фокус. Их часто называют "близнецами" или двумя столпами китайского дата-регулирования наряду с Законом о кибербезопасности (CSL).
Основой PIPL является согласие на обработку персональных данных, а основой DSL - отраслевые стандарты на обработку информации!
В частности цитаты из DSL:
Статья 6. Каждый регион и департамент несет ответственность за данные, собранные и созданные в ходе его работы, а также за безопасность данных.
Компетентные органы, отвечающие за промышленность, телекоммуникации, транспорт, финансы, природные ресурсы, здравоохранение, образование, науку и технологии и т. д., берут на себя ответственность за надзор за безопасностью данных в соответствующих отраслях и сферах.
Статья 17. Государство содействует развитию системы стандартов технологий разработки и использования данных, а также безопасности данных. Управление стандартизации Госсовета и соответствующие департаменты Госсовета в соответствии со своими обязанностями организуют разработку и своевременный пересмотр соответствующих стандартов в области технологий разработки и использования данных, продуктов и безопасности данных. Государство поддерживает предприятия, общественные организации, а также образовательные и научно-исследовательские учреждения в участии в разработке стандартов.
А вот цитаты из PIPL:
Статья 13. Оператор персональных данных может обрабатывать персональные данные только при соблюдении одного из следующих условий:
(a) Получение согласия лица;
...
Статья 14. Если персональные данные обрабатываются с согласия физического лица, такое согласие должно быть дано им добровольно и явно, с полным пониманием сути вопроса. Если законы или административные правила предусматривают, что обработка персональных данных требует отдельного или письменного согласия физического лица, преимущественную силу имеют эти положения.
При изменении цели, способа или типа обрабатываемой персональной информации необходимо повторно получить согласие лица.
Статья 15. Если персональные данные обрабатываются с согласия физического лица, оно имеет право отозвать свое согласие. Операторы персональных данных должны предоставить удобный способ отзыва согласия.
Отзыв согласия физическим лицом не влияет на действительность действий по обработке персональных данных, которые уже были осуществлены на основании согласия физического лица до момента отзыва.
Госдума будет рассматривать инициативу, основанную на неумении пользоваться переводчиком
Судя по утверждению Интерфакса:
Глава РКН уточнил, что соответствующие предложения были направлены ведомством в правительство для включения во второй пакет мер по борьбе с мошенничеством. Его, как сообщалось, планируется внести на рассмотрение Госдумы в текущую осеннюю сессию.
Получается, что идея отказа от согласия на обработку персональных данных в пользу отраслевых стандартов появилась из-за того, что на заседании Общественного совета РКН перепутали документ из-за неправильного перевода, а глава РКН на основании этого внёс на рассмотрение в Госдуму поправки в закон?
Во всём этом вижу только один плюс, если поправки примут, обработка персданных будет ни как в Европе и ни как в Китае.
💡 Интересно? Подпишись: