По результатам проверок, проведенных Роскомнадзором в 2025 году, было зафиксировано около 6,5 тыс. нарушений в работе с согласиями на обработку персональных данных.
Глава ведомства Андрей Липов подчеркнул: «Институт согласий сегодня выглядит достаточно устаревшим и нуждается в переходе к отраслевым стандартам сбора и обработки персональных данных»
Комментариями по этому поводу поделились руководитель программы ДПО «Правовое регулирование персональных данных», заведующий кафедрой информационного права и цифровых технологий Алексей Минбалеев и директор Института правового анализа проблем информационной и медиабезопасности Университета имени О.Е. Кутафина (МГЮА) Владимир Никишин.
Какие типичные ошибки допускают компании и организации?
«Если ранее большинство организаций стремилось минимизировать возможные риски будущих проверок и преследовали цель «пусть согласие будет на всякий случай», то сейчас данная практика становится негативной тенденцией, на которую необходимо обратить пристальное внимание. Согласие выступает лишь одним из 12 поименованных в законе случаев, допускающих обработку персональных данных; и согласие излишне, если есть иное основание для обработки. Например, одной из типовых ошибок является сбор согласий на обработку персданных с контрагентов по договорам, если их данные обрабатываются именно в целях исполнения договора. Нельзя не отметить и проблему шаблонного использования согласий, когда одна и та же форма применяется в разных ситуациях без учёта конкретных обстоятельств и реальных потребностей: в каком объеме данные нужны и насколько это соответствует целям обработки, не является ли избыточным и т.д.», – разъяснил Алексей Минбалеев.
Станет ли новая тенденция проблемой для специалистов в сфере персональных данных?
«Прежде всего стоит отметить, что тренд на отказ от лишних, избыточных согласий, в том числе согласий формата «на всякий случай» не совсем новый, он стал очень обсуждаемым за последнее время, о целесообразности придерживаться такому тренду при выстраивании своих бизнес-процессов неоднократно говорили представители Роскомнадзора – ключевого регулятора в сфере персональных данных – на различных публичных площадках. И с точки зрения логики минимизации согласий на обработку персональных данных и их обработки по иным основаниям, предусмотренным законом, и выстроена наша программа повышения квалификации, реализуемая совместно с Роскомнадзором», – отметил Владимир Никишин.
Если ожидается упразднение института согласий и переход к отраслевым стандартам сбора и обработки персональных данных, значит, все максимально упрощается и не нужно иметь в штате специалиста, компетентного в правовом регулировании персональных данных?
«Во-первых, вряд ли институт согласий целиком упразднится как таковой. Скорее, речь идет о дальнейшей законодательной минимизации набора ситуаций, в которых действительно нужно прибегать к согласиям. Переход к отраслевым стандартам – это упрощение скорее для самих субъектов персональных данных, обеспечение стандартизированного подхода и прозрачности. Но специалистам в сфере персональных данных, в том числе ответственным за обработку персональных данных, наверное, рано мечтать о сокращении объема работы (или переживать на этот счет), ведь их работа далеко не сводится к разработке форм согласий и их обработке. Напротив, обработка персданных по иным основаниям, предусмотренным законом, требует, как правило, глубокой теоретической подготовки и знания правоприменительной практики. А переход на отраслевые стандарты потребует еще дополнительного обучения таких специалистов. На наш взгляд, внедрение нового подхода вовсе не ведёт к сокращению занятости или уменьшению объема работы, но повышает ответственность и способствует формированию культуры осознанного отношения к персональным данным», –подчеркнул Алексей Минбалеев.